Vor kurzem die Veröffentlichung der neuen Version von Flatpak 1.12 wurde angekündigt in denen einige Änderungen und Verbesserungen vorgenommen wurden, von denen die Verbesserungen für Steam, die Behebung von Fehlern und auch die Unterstützung für TUI-Anwendungen hervorstechen.
Für diejenigen, die mit Flatpak nicht vertraut sind, sollten Sie wissen, dass dies ermöglicht Anwendungsentwicklern die Verteilung ihrer Programme zu vereinfachen die nicht in den Standard-Distributions-Repositorys enthalten sind, indem Sie einen universellen Container vorbereiten, ohne separate Assemblys für jede Distribution zu bilden.
Für sicherheitsbewusste Benutzer, ermöglicht Flatpak die Ausführung einer ungenauen Anwendung in einem Container durch Bereitstellung des Zugriffs nur auf die Netzwerkfunktionen und Dateien des Benutzers, die mit der Anwendung verbunden sind. Für Benutzer, die an neuen Produkten interessiert sind, ermöglicht Flatpak die Installation der neuesten stabilen und Testversionen von Anwendungen ohne Systemänderungen.
Um die Paketgröße zu reduzieren, enthält es nur anwendungsspezifische Abhängigkeiten, und die grundlegenden System- und Grafikbibliotheken (GTK-, Qt-, GNOME- und KDE-Bibliotheken usw.) sind als steckbare Standard-Laufzeitumgebungen ausgelegt.
LDer Hauptunterschied zwischen Flatpak und Snap besteht darin, dass Snap die Kernkomponenten der Systemumgebung verwendetl und Isolierung basierend auf Systemaufruffilterung, während Flatpak einen separaten Container vom System erstellt und mit großen Laufzeitsets arbeitet, Bereitstellung von Paketen nicht als Abhängigkeiten, sondern als Standard. Systemumgebungen (zum Beispiel alle Bibliotheken, die zum Ausführen von GNOME- oder KDE-Programmen erforderlich sind).
Neben der typischen Systemumgebung (Runtime), die über ein spezielles Repository installiert wird, werden zusätzliche Abhängigkeiten (Pakete) bereitgestellt, die für die Funktion der Anwendung erforderlich sind. Kurz gesagt, die Laufzeit und das Paket bilden die Containerpopulation, obwohl die Laufzeit separat installiert wird und mehrere Container gleichzeitig verbindet, wodurch die Notwendigkeit entfällt, gemeinsame Systemdateien in die Container zu duplizieren.
Die wichtigsten neuen Funktionen von Flatpak 1.12
In dieser neuen Version verbesserte Verwaltung von verschachtelten Sandboxen hervorgehoben verwendet in einem Flatpak-Paket mit einem Kunden für den Spielelieferdienst Steam. In verschachtelten Sanboxen ist es erlaubt, separate Hierarchien der /usr- und /app-Verzeichnisse zu erstellen, die Steam zum Ausführen von Spielen in einem separaten Container mit eigenem /usr-Abschnitt verwendet, isoliert von der Umgebung mit dem Steam-Client.
Auch alle Paketinstanzen mit derselben Anwendungs-ID teilen sich die Verzeichnisse /tmp und $ XDG_RUNTIME_DIR und optional können Sie mit dem Flag "–allow = per-app-dev-shm" die Verwendung des freigegebenen Verzeichnisses /dev/shm aktivieren.
Auch in dieser neuen Version verbesserte Unterstützung für Anwendungen der Textbenutzeroberfläche (TUI) hervorgehoben wie gdb, plus eine schnellere Implementierung des Befehls "ostree prune" wurde auch dem Dienstprogramm build-update-repo hinzugefügt, das für die Arbeit mit Dateimodus-Repositorys optimiert ist.
Andererseits wird das erwähnt die Schwachstelle CVE-2021-41133 wurde in der Implementierung des Portalmechanismus behoben, im Zusammenhang mit der Nichtblockierung neuer Systemaufrufe im Zusammenhang mit dem Mounten von Partitionen in seccomp-Regeln. Die Sicherheitslücke ermöglichte es der Anwendung, eine verschachtelte Sandbox zu erstellen, um die "Portal"-Überprüfungsmechanismen zu umgehen, die für den Zugriff auf Ressourcen außerhalb des Containers verwendet werden.
Dadurch könnte ein Angreifer den Sandbox-Isolationsmechanismus umgehen Ausführen von mount-bezogenen Systemaufrufen und erhalten Sie vollen Zugriff auf Inhalte in der Host-Umgebung. Die Schwachstelle kann nur in Paketen ausgenutzt werden, die Anwendungen direkten Zugriff auf AF_UNIX-Sockets ermöglichen, wie sie beispielsweise von Wayland, Pipewire und pipewire-pulse verwendet werden. Die Sicherheitsanfälligkeit wurde in Version 1.12.0 nicht vollständig behoben, daher wurde Update 1.12.1 in kurzer Zeit veröffentlicht.
Schließlich wenn Sie mehr darüber wissen möchten Über diese neue Version können Sie die Details überprüfen im folgenden Link.