🥇Ukukhutshwa kwe-Bubblewrap 0.6, iileya zokudala iindawo ezizimeleyo

Ukukhutshwa kwezixhobo zokuququzelela umsebenzi weendawo ezizimeleyo I-Bubblewrap 0.6 iyafumaneka, idla ngokusetyenziselwa ukukhawulela izicelo zabasebenzisi abangenamalungelo. Ngokwesiqhelo, iBubblewrap isetyenziswa yiprojekthi yeFlatpak njengomaleko wokuhlukanisa usetyenziso oluqaliswe kwiiphakheji. Ikhowudi yeprojekthi ibhalwe kwi-C kwaye ihanjiswa phantsi kwelayisensi ye-LGPLv2 +.

Ukwahlukaniswa, itekhnoloji yesiqhelo ye-Linux yesikhongozeli iyasetyenziswa, esekwe kusetyenziso lwamaqela, izithuba zamagama, i-Seccomp kunye ne-SELinux. Ukwenza imisebenzi enelungelo lokumisela isikhongozeli, iBubblewrap iqalwa ngamalungelo engcambu (ifayile ephunyeziweyo eneflegi ye-suid) kwaye iphinde imisele amalungelo emva kokuba isikhongozeli siqalisiwe.

Ukwenziwa kusebenze kwezithuba zegama lomsebenzisi kwinkqubo yesithuba samagama, ekuvumela ukuba usebenzise ezakho iiseti ezahlukeneyo zezazisi kwizikhongozeli, ayifuneki ukuba isebenze, kuba ayisebenzi ngokungagqibekanga kunikezelo oluninzi (i-Bubblewrap ibekwe njengophumezo olulinganiselweyo lwe-suid iseti engaphantsi yezakhono zomsebenzisi zezithuba zamagama - ukungabandakanyi bonke abasebenzisi kunye nenkqubo yokuchonga ukusuka kokusingqongileyo, ngaphandle kwale yangoku, i-CLONE_NEWUSER kunye ne-CLONE_NEWPID iindlela ziyasetyenziswa). Ngokhuseleko olongezelelweyo, iinkqubo eziqhutywa phantsi kweBubblewrap zindululwa kwimo ye-PR_SET_NO_NEW_PRIVS, ethintela ukufunyanwa kwamalungelo amatsha, umzekelo, ukuba iflegi ye-setuid ikhona.

Ukwahlulwa kwinqanaba lenkqubo yefayile kufezekiswa ngokudala indawo entsha yegama lokunyuka ngokungagqibekanga, apho isahlulelo sengcambu esingenanto sidalwa kusetyenziswa i-tmpfs. Ukuba kuyimfuneko, izahlulo zeFS zangaphandle zincanyathiselwe kolu lwahlulelo kwimowudi "yokunyuka -bopha" (umzekelo, xa iqaliswa nge "bwrap -ro-bind /usr /usr" ukhetho, isahlulelo /usr sithunyelwa ukusuka kwinkqubo ephambili. kwimowudi yokufunda kuphela). Ubunakho bothungelwano buthintelwe ukufikelela kujongano lweloopback kunye nokwahlukaniswa kwesitaki sothungelwano nge-CLONE_NEWNET kunye ne-CLONE_NEWUTS iiflegi.

Umahluko ophambili kwiprojekthi efanayo ye-Firejail, ekwasebenzisa imodeli yokumiliselwa kwe-setuid, kukuba kwi-Bubblewrap umaleko wokwenza isikhongozeli ubandakanya kuphela ubuncinci obufunekayo, kunye nayo yonke imisebenzi ephambili eyimfuneko ekuqhubeni usetyenziso lomzobo, ukusebenzisana nedesktop kunye nezicelo zokucoca. ukuya ePulseaudio, idluliselwe kwicala leFlatpak kwaye iqhutywe emva kokuba amalungelo abuyiselwe. I-Firejail, ngakolunye uhlangothi, idibanisa yonke imisebenzi ehambelanayo kwifayile enye ephunyezwayo, eyenza kube nzima ukuphicotha nokugcina ukhuseleko kwinqanaba elifanelekileyo.

Kukhupho olutsha:

Добавлена поддержка сборочной системы Meson. Поддержка сборки при помощи Autotools пока сохранена, но будет удалена в одном из следующих выпусков.
Реализована опция «—add-seccomp» для добавления более чем одной программы seccomp. Добавлено предупреждение о том, что при повторном указании опции «—seccomp» будет применён только последний параметр.
Ветка master в git-репозитории переименована в main.
Добавлена частичная поддержка спецификации REUSE, унифицирующей процесс указания сведений о лицензиях и авторских правах. Во многие файлы с кодом добавлены заголовки SPDX-License-Identifier. Следование рекомендациям REUSE позволяет упростить автоматическое определение какая лицензия применяется к каким из частей кода приложения.
Добавлена проверка значения счётчика аргументов командной строки (argc) и реализован экстренный выход в случае если счётчик равен нулю. Изменение позволяет блокировать проблемы с безопасностью, вызванные некорректной обработкой передаваемых аргументов командной строки, такие как CVE-2021-4034 в Polkit.

umthombo: opennet.ru

Ukukhutshwa kweBubblewrap 0.6, umaleko wokudala iindawo ezizimeleyo

Yongeza izimvo Phendula impendulo