Récemment la sortie de la nouvelle version de Flatpak 1.12 a été annoncée dans lequel quelques modifications et améliorations ont été apportées, parmi lesquelles se distinguent les améliorations pour Steam, la correction des erreurs et également le support des applications TUI.
Pour ceux qui ne connaissent pas Flatpak, sachez que ce permet aux développeurs d'applications de simplifier la distribution de leurs programmes qui ne sont pas inclus dans les référentiels de distribution standard en préparant un conteneur universel sans former d'assemblages séparés pour chaque distribution.
Pour les utilisateurs soucieux de la sécurité, Flatpak permet à une application inexacte de s'exécuter dans un conteneur en fournissant un accès uniquement aux fonctions réseau de l'utilisateur et aux fichiers associés à l'application. Pour les utilisateurs intéressés par les nouveaux produits, Flatpak leur permet d'installer les dernières versions stables et d'essai des applications sans avoir besoin de modifier le système.
Pour réduire la taille du package, il n'inclut que les dépendances spécifiques à l'application, et les bibliothèques système et graphiques de base (bibliothèques GTK, Qt, GNOME et KDE, etc.) sont conçues comme des environnements d'exécution standard enfichables.
LLa principale différence entre Flatpak et Snap est que Snap utilise les composants principaux de l'environnement systèmel et isolation basée sur le filtrage des appels système, tandis que Flatpak crée un conteneur séparé du système et fonctionne avec de grands ensembles d'exécution, fournir non pas des packages en tant que dépendances, mais standard. Environnements système (par exemple, toutes les bibliothèques nécessaires pour exécuter des programmes GNOME ou KDE).
En plus de l'environnement système typique (runtime) installé via un référentiel spécial, des dépendances supplémentaires (package) nécessaires au fonctionnement de l'application sont fournies. En bref, le runtime et le package constituent la population du conteneur, même si le runtime est installé séparément et joint plusieurs conteneurs à la fois, éliminant ainsi le besoin de dupliquer les fichiers système communs dans les conteneurs.
Principales nouveautés de Flatpak 1.12
Dans cette nouvelle version amélioration de la gestion des bacs à sable imbriqués mis en évidence utilisé dans un emballage flatpak avec un client pour le service de livraison de jeux Steam. Dans les sanbox imbriquées, il est permis de créer des hiérarchies distinctes des répertoires / usr et / app, que Steam utilise pour exécuter des jeux dans un conteneur séparé avec sa propre section / usr, isolé de l'environnement avec le client Steam.
Aussi, tous les instances de package avec le même ID d'application partagent les répertoires / tmp et $ XDG_RUNTIME_DIR et éventuellement, en utilisant le drapeau "–allow = per-app-dev-shm", vous pouvez activer l'utilisation du répertoire partagé / dev / shm.
Aussi dans cette nouvelle version prise en charge améliorée des applications d'interface utilisateur texte (TUI) mise en évidence comme gdb, ainsi qu'une implémentation plus rapide de la commande "ostree prune" a également été ajoutée à l'utilitaire build-update-repo, optimisé pour travailler avec des référentiels en mode fichier.
D'autre part, il est mentionné que la vulnérabilité CVE-2021-41133 a été corrigée dans la mise en place du mécanisme de portail, lié au fait de ne pas bloquer les nouveaux appels système liés au montage de partitions dans les règles seccomp. La vulnérabilité a permis à l'application de créer un bac à sable imbriqué pour contourner les mécanismes de vérification de « portail » utilisés pour fournir un accès aux ressources en dehors du conteneur.
En conséquence, un attaquant pourrait contourner le mécanisme d'isolation du bac à sable exécution d'appels système liés au montage et obtenez un accès complet au contenu dans l'environnement hôte. La vulnérabilité ne peut être exploitée que dans des packages qui donnent aux applications un accès direct aux sockets AF_UNIX, tels que ceux utilisés par Wayland, Pipewire et pipewire-pulse. La vulnérabilité n'a pas été entièrement corrigée dans la version 1.12.0, la mise à jour 1.12.1 a donc été publiée à la poursuite.
Enfin si vous souhaitez en savoir plus à propos de cette nouvelle version, vous pouvez vérifier les détails dans le lien suivant.