Hace poco se a dio a conocer la liberación de la nueva versión de Flatpak 1.12 en la cual se han realizado algunos cambios y mejoras de las cuales se destacan por ejemplo las mejoras para Steam, la corrección de errores y también el soporte para aplicaciones TUI.
Para quienes desconocen de Flatpak, deben saber que este hace posible que los desarrolladores de aplicaciones simplifiquen la distribución de sus programas que no están incluidos en los repositorios de distribución estándar al preparar un contenedor universal sin formar ensamblajes separados para cada distribución.
Para los usuarios preocupados por la seguridad, Flatpak permite que una aplicación inexacta se ejecute en un contenedor al proporcionar acceso solo a las funciones de red del usuario y los archivos asociados con la aplicación. Para los usuarios interesados en nuevos productos, Flatpak les permite instalar las últimas versiones de prueba y estables de aplicaciones sin la necesidad de realizar cambios en el sistema.
Para reducir el tamaño del paquete, solo incluye dependencias específicas de la aplicación, y el sistema básico y las bibliotecas gráficas (bibliotecas GTK, Qt, GNOME y KDE, etc.) están diseñadas como entornos de tiempo de ejecución estándar conectables.
La diferencia clave entre Flatpak y Snap es que Snap usa los componentes del entorno del sistema principal y el aislamiento basado en el filtrado de llamadas al sistema, mientras que Flatpak crea un contenedor separado del sistema y opera con grandes conjuntos de tiempo de ejecución, proporcionando no paquetes como dependencias, sino estándar. Entornos del sistema (por ejemplo, todas las bibliotecas necesarias para ejecutar programas GNOME o KDE).
Además del entorno de sistema típico (tiempo de ejecución) instalado a través de un repositorio especial, se proporcionan dependencias adicionales (paquete) necesarias para que la aplicación funcione. En resumen, el tiempo de ejecución y el paquete forman el llenado del contenedor, a pesar de que el tiempo de ejecución se instala por separado y se une a varios contenedores a la vez, lo que elimina la necesidad de duplicar archivos de sistema comunes a los contenedores.
Principales novedades de Flatpak 1.12
En esta nueva versión se destaca la gestión mejorada de entornos sandbox anidados utilizados en un paquete flatpak con un cliente para el servicio de entrega de juegos Steam. En las sanbox anidadas, se permite crear jerarquías separadas de los directorios /usr y /app, que Steam utiliza para ejecutar juegos en un contenedor separado con su propia sección /usr, aislado del entorno con el cliente Steam.
Además, todas las instancias de paquetes con el mismo ID de aplicación comparten los directorios /tmp y $ XDG_RUNTIME_DIR y opcionalmente, usando el indicador «–allow = per-app-dev-shm», se puede habilitar el uso del directorio compartido /dev/shm.
También en esta nueva versión se destaca el soporte mejorado para aplicaciones de interfaz de usuario de texto (TUI) como gdb, además de que también se ha agregado una implementación más rápida del comando «ostree prune» a la utilidad build-update-repo, optimizada para trabajar con repositorios en modo de archivo.
Por otra parte se menciona que se corrigió la vulnerabilidad CVE-2021-41133 en la implementación del mecanismo del portal, relacionada con la falta de bloqueo de nuevas llamadas al sistema relacionadas con el montaje de particiones en reglas seccomp. La vulnerabilidad permitió que la aplicación creara una caja de arena anidada para evitar los mecanismos de verificación del «portal» que se utilizan para proporcionar acceso a recursos fuera del contenedor.
Como resultado, un atacante podría eludir el mecanismo de aislamiento de la zona de pruebas ejecutando llamadas al sistema relacionadas con el montaje y obtener acceso completo al contenido del entorno del host. La vulnerabilidad solo puede explotarse en paquetes que brindan a las aplicaciones acceso directo a los sockets AF_UNIX, como los utilizados por Wayland, Pipewire y pipewire-pulse. La vulnerabilidad no se corrigió por completo en la versión 1.12.0, por lo que la actualización 1.12.1 se lanzó en persecución .
Finalmente si estás interesado en conocer más al respecto sobre esta nueva versión, puedes consultar los detalles en el siguiente enlace.