د جلا شوي چاپیریال د کار تنظیم کولو لپاره د وسیلو خوشې کول د بلبل ریپ 0.6 شتون لري، معمولا د غیرمستقیم کاروونکو انفرادي غوښتنلیکونو محدودولو لپاره کارول کیږي. په عمل کې، بلبل ریپ د فلیټپیک پروژې لخوا د کڅوړو څخه پیل شوي غوښتنلیکونه جلا کولو لپاره د پرت په توګه کارول کیږي. د پروژې کوډ په C کې لیکل شوی او د LGPLv2+ جواز لاندې ویشل شوی.
دودیز مواد د موصلیت لپاره کارول کیږي Linux د کانټینر مجازی کولو ټیکنالوژي چې د cgroups، namespaces، Seccomp او SE کارولو پر بنسټ والړ ديLinuxد امتیازي کانټینر ترتیب عملیاتو ترسره کولو لپاره، ببل ریپ د روټ امتیازاتو سره چلیږي (د اجرا وړ فایل کې د سوډ بیرغ فعال شوی دی) او بیا د کانټینر پیل بشپړیدو وروسته امتیازات پریږدي.
د نوم ځای سیسټم کې د کارن نوم ځایونو فعالول، کوم چې تاسو ته اجازه درکوي په کانټینرونو کې د خپل ځان د پیژندونکو جلا سیټ وکاروئ، د عملیاتو لپاره اړین ندي، ځکه چې دا په ډیری توزیعونو کې د ډیفالټ لخوا کار نه کوي (بلبلورپ د محدود سوډ پلي کولو په توګه موقعیت لري. د کارن نوم ځایونو وړتیاو فرعي سیټ - د چاپیریال څخه ټول کارونکي او پروسس پیژندونکي لرې کولو لپاره ، پرته له اوسني څخه ، CLONE_NEWUSER او CLONE_NEWPID حالتونه کارول کیږي). د اضافي محافظت لپاره ، د بلبل ریپ لاندې اجرا شوي برنامې په PR_SET_NO_NEW_PRIVS حالت کې پیل شوي ، کوم چې د نوي امتیازاتو ترلاسه کول منع کوي ، د مثال په توګه ، که چیرې د سیټیوډ بیرغ شتون ولري.
د فایل سیسټم په کچه جلا کول د ډیفالټ په واسطه د نوي ماونټ نوم ځای په رامینځته کولو سره سرته رسیدلی ، په کوم کې چې د tmpfs په کارولو سره د روټ خالي برخه رامینځته کیږي. که اړتیا وي، بهرنۍ FS برخې د دې برخې سره په "ماونټ - باند" حالت کې تړل کیږي (د مثال په توګه، کله چې د "bwrap -ro-bind /usr /usr" اختیار سره پیل شي، د /usr ویش د اصلي سیسټم څخه لیږل کیږي. یوازې د لوستلو حالت کې). د شبکې وړتیاوې د CLONE_NEWNET او CLONE_NEWUTS بیرغونو له لارې د شبکې سټیک انزوا سره لوپ بیک انٹرفیس ته لاسرسي پورې محدود دي.
د ورته فائرجیل پروژې څخه کلیدي توپیر ، کوم چې د سیټیوډ لانچ ماډل هم کاروي ، دا دی چې په ببلورپ کې د کانټینر رامینځته کولو پرت کې یوازې اړین لږترلږه وړتیاوې شاملې دي ، او ټول پرمختللي فعالیتونه د ګرافیکي غوښتنلیکونو چلولو لپاره اړین دي ، د ډیسټاپ سره متقابل عمل او د فلټر کولو غوښتنې. پلسودیو ته، د فلیټپاک لوري ته لیږدول شوی او د امتیازاتو له بیا تنظیمولو وروسته اعدام شوی. فائرجیل، له بلې خوا، ټولې اړونده دندې په یوه اجرایوي فایل کې یوځای کوي، کوم چې په مناسبه کچه د امنیت پلټنه او ساتل ستونزمن کوي.
په نوې خپرونه کې:
- د میسن جوړونې سیسټم لپاره اضافه شوی ملاتړ. د آټوټولز سره د جوړولو لپاره ملاتړ لاهم شتون لري، مګر په راتلونکي نسخه کې به لرې شي.
- د "--add-seccomp" اختیار د یو څخه ډیرو seccomp پروګرامونو اضافه کولو لپاره پلي شوی دی. یو خبرداری اضافه شوی چې که تاسو د "--seccomp" اختیار له یو ځل څخه ډیر مشخص کړئ، یوازې وروستی پیرامیټر به پلي شي.
- د ګیټ ذخیره کې د ماسټر څانګې نوم مین ته بدل شوی دی.
- د REUSE مشخصاتو لپاره جزوي ملاتړ اضافه شوی، کوم چې د جواز او کاپي حق معلوماتو مشخص کولو پروسه سره یوځای کوي. د SPDX-License-Identifier سرلیکونه په ډیری کوډ فایلونو کې اضافه شوي. د REUSE سپارښتنو تعقیب د اتوماتیک ټاکلو ساده کوي چې کوم جواز د غوښتنلیک کوډ په کومو برخو کې پلي کیږي.
- د کمانډ لاین دلیل کاونټر (argc) لپاره چیک اضافه کړ او که کاونټر صفر وي نو د بیړني وتلو پلي کول یې پلي کړل. دا بدلون د امنیتي مسلو مخه نیسي چې د پاس شوي کمانډ لاین دلیلونو غلط اداره کولو له امله رامینځته کیږي، لکه CVE-2021-4034 په پولکیټ کې.
سرچینه: opennet.ru
