recentemente è stato annunciato il rilascio della nuova versione di Flatpak 1.12 in cui sono state apportate alcune modifiche e miglioramenti, tra cui spiccano i miglioramenti per Steam, la correzione degli errori e anche il supporto per le applicazioni TUI.
Per chi non ha familiarità con Flatpak, dovresti sapere che questo consente agli sviluppatori di applicazioni di semplificare la distribuzione dei loro programmi che non sono inclusi negli archivi di distribuzione standard preparando un contenitore universale senza formare assiemi separati per ogni distribuzione.
Per utenti attenti alla sicurezza, Flatpak consente l'esecuzione di un'applicazione imprecisa in un contenitore fornendo l'accesso solo alle funzioni di rete dell'utente e ai file associati all'applicazione. Per gli utenti interessati a nuovi prodotti, Flatpak consente loro di installare le ultime versioni stabili e di prova delle applicazioni senza la necessità di modifiche al sistema.
Per ridurre le dimensioni del pacchetto, include solo dipendenze specifiche dell'applicazione e le librerie di sistema e grafiche di base (GTK, Qt, GNOME e KDE, ecc.) sono progettate come ambienti runtime standard collegabili.
LLa differenza chiave tra Flatpak e Snap è che Snap utilizza i componenti principali dell'ambiente di sistemal e isolamento basato sul filtraggio delle chiamate di sistema, mentre Flatpak crea un contenitore separato dal sistema e opera con grandi set di runtime, fornendo pacchetti non come dipendenze, ma come standard. Ambienti di sistema (ad esempio, tutte le librerie necessarie per eseguire programmi GNOME o KDE).
Oltre al tipico ambiente di sistema (runtime) installato tramite un repository speciale, vengono fornite dipendenze aggiuntive (pacchetto) necessarie per il funzionamento dell'applicazione. In breve, il runtime e il pacchetto costituiscono la popolazione del contenitore, anche se il runtime viene installato separatamente e unisce più contenitori contemporaneamente, eliminando la necessità di duplicare file di sistema comuni in I contenitori.
Principali novità di Flatpak 1.12
In questa nuova versione gestione migliorata delle sandbox nidificate evidenziate utilizzato in un pacchetto flatpak con un client per il servizio di consegna di giochi Steam. Nei sanbox nidificati, è consentito creare gerarchie separate delle directory / usr e / app, che Steam utilizza per eseguire i giochi in un contenitore separato con la propria sezione / usr, isolata dall'ambiente con il client Steam.
Inoltre, tutto le istanze del pacchetto con lo stesso ID applicazione condividono le directory / tmp e $ XDG_RUNTIME_DIR e facoltativamente, utilizzando il flag "–allow = per-app-dev-shm", è possibile abilitare l'uso della directory condivisa /dev/shm.
Anche in questa nuova versione supporto migliorato per le applicazioni di interfaccia utente di testo (TUI) evidenziato come gdb, oltre a un'implementazione più rapida del comando "ostree prune" è stata aggiunta anche all'utility build-update-repo, ottimizzata per lavorare con i repository in modalità file.
D'altra parte si è detto che la vulnerabilità CVE-2021-41133 è stata corretta nell'implementazione del meccanismo del portale, relativo al non bloccare nuove chiamate di sistema relative al montaggio di partizioni nelle regole seccomp. La vulnerabilità ha consentito all'applicazione di creare una sandbox nidificata per aggirare i meccanismi di verifica del "portale" utilizzati per fornire l'accesso alle risorse al di fuori del contenitore.
Di conseguenza, un utente malintenzionato potrebbe aggirare il meccanismo di isolamento della sandbox eseguire chiamate di sistema relative al montaggio e ottenere l'accesso completo ai contenuti nell'ambiente host. La vulnerabilità può essere sfruttata solo nei pacchetti che danno alle applicazioni l'accesso diretto ai socket AF_UNIX, come quelli usati da Wayland, Pipewire e pipewire-pulse. La vulnerabilità non è stata completamente risolta nella versione 1.12.0, quindi l'aggiornamento 1.12.1 è stato rilasciato all'inseguimento.
Infine se sei interessato a saperne di più su questa nuova versione, puoi controllare i dettagli nel seguente link