א מעלדונג פון מכשירים פֿאַר אָרגאַנייזינג די אַרבעט פון אפגעזונדערט ינווייראַנמאַנץ Bubblewrap 0.6 איז בנימצא, יוזשאַוואַלי געניצט צו באַגרענעצן יחיד אַפּלאַקיישאַנז פון אַנפּריווילאַדזשד ניצערס. אין פיר, Bubblewrap איז געניצט דורך די Flatpak פּרויעקט ווי אַ שיכטע צו יזאָלירן אַפּלאַקיישאַנז לאָנטשט פֿון פּאַקאַדזשאַז. די פּרויעקט קאָד איז געשריבן אין C און איז פונאנדערגעטיילט אונטער די LGPLv2+ דערלויבעניש.
פֿאַר אפגעזונדערטקייט, טראדיציאנעלן לינוקס קאַנטיינער ווירטואַליזאַטיאָן טעקנאַלאַדזשיז זענען געניצט, באזירט אויף די נוצן פון קגרופּס, נאַמעספּאַסעס, Secomp און SELinux. צו דורכפירן פּריוולידזשד אַפּעריישאַנז צו קאַנפיגיער אַ קאַנטיינער, Bubblewrap איז לאָנטשט מיט וואָרצל רעכט (אַן עקסעקוטאַבלע טעקע מיט אַ סויד פאָן) און דעמאָלט ריסעץ פּריווילאַדזשאַז נאָך דעם קאַנטיינער איז ינישאַלייזד.
אַקטאַוויישאַן פון באַניצער נאַמעספּאַסעס אין די נאַמעספּאַסע סיסטעם, וואָס אַלאַוז איר צו נוצן דיין אייגענע באַזונדער גאַנג פון אידענטיפיצירן אין קאַנטיינערז, איז נישט פארלאנגט פֿאַר אָפּעראַציע, ווייַל עס אַרבעט נישט דורך פעליקייַט אין פילע דיסטריביושאַנז (Bubblewrap איז פּאַזישאַנד ווי אַ לימיטעד סויד ימפּלאַמענטיישאַן פון אַ סובסעט פון באַניצער נאַמעספּאַסעס קייפּאַבילאַטיז - צו ויסשליסן אַלע באַניצער און פּראָצעס ידענטיפיערס פון די סוויווע, אַחוץ דעם קראַנט, די CLONE_NEWUSER און CLONE_NEWPID מאָדעס זענען געניצט). פֿאַר נאָך שוץ, מגילה עקסאַקיוטאַד אונטער Bubblewrap זענען לאָנטשט אין די PR_SET_NO_NEW_PRIVS מאָדע, וואָס פּראָוכיבאַץ די אַקוואַזישאַן פון נייַ פּריווילאַדזשאַז, למשל, אויב די סעטויד פאָן איז פאָרשטעלן.
אפגעזונדערטקייט אין דער טעקע סיסטעם מדרגה איז דורכגעקאָכט דורך קריייטינג אַ נייַ אָנקלאַפּן נאַמעספּאַסע דורך פעליקייַט, אין וואָס אַ ליידיק וואָרצל צעטיילונג איז באשאפן מיט tmpfs. אויב נייטיק, פונדרויסנדיק FS פּאַרטישאַנז זענען אַטאַטשט צו דעם צעטיילונג אין די "בארג -בינדן" מאָדע (למשל, ווען לאָנטשט מיט די "bwrap -ro-bind /usr /usr" אָפּציע, די /usr צעטיילונג איז פאָרווערדיד פֿון די הויפּט סיסטעם אין ליינען-בלויז מאָדע). נעץ קייפּאַבילאַטיז זענען לימיטעד צו אַקסעס צו די לופּבאַקק צובינד מיט נעץ אָנלייגן אפגעזונדערטקייט דורך די CLONE_NEWNET און CLONE_NEWUTS פלאַגס.
דער שליסל חילוק פון די ענלעך Firejail פּרויעקט, וואָס אויך ניצט די סעטויד קאַטער מאָדעל, איז אַז אין Bubblewrap די קאַנטיינער שיכטע שיכטע ינקלודז בלויז די נויטיק מינימום קייפּאַבילאַטיז, און אַלע די אַוואַנסירטע פאַנגקשאַנז נייטיק פֿאַר פליסנדיק גראַפיקס אַפּלאַקיישאַנז, ינטעראַקטינג מיט די דעסקטאַפּ און פילטער ריקוועס. צו Pulseaudio, טראַנספערד צו די פלאַטפּאַק זייַט און עקסאַקיוטאַד נאָך די פּריווילאַדזשאַז זענען באַשטעטיק. Firejail, אויף די אנדערע האַנט, קאַמביינז אַלע די פֿאַרבונדענע פאַנגקשאַנז אין איין עקסעקוטאַבלע טעקע, וואָס מאכט עס שווער צו קאָנטראָלירן און האַלטן זיכערהייט אויף די געהעריק מדרגה.
אין די נייַע מעלדונג:
- Добавлена поддержка сборочной системы Meson. Поддержка сборки при помощи Autotools пока сохранена, но будет удалена в одном из следующих выпусков.
- Реализована опция «—add-seccomp» для добавления более чем одной программы seccomp. Добавлено предупреждение о том, что при повторном указании опции «—seccomp» будет применён только последний параметр.
- Ветка master в git-репозитории переименована в main.
- Добавлена частичная поддержка спецификации REUSE, унифицирующей процесс указания сведений о лицензиях и авторских правах. Во многие файлы с кодом добавлены заголовки SPDX-License-Identifier. Следование рекомендациям REUSE позволяет упростить автоматическое определение какая лицензия применяется к каким из частей кода приложения.
- Добавлена проверка значения счётчика аргументов командной строки (argc) и реализован экстренный выход в случае если счётчик равен нулю. Изменение позволяет блокировать проблемы с безопасностью, вызванные некорректной обработкой передаваемых аргументов командной строки, такие как CVE-2021-4034 в Polkit.
מקור: opennet.ru