Nesen tika paziņots par Flatpak 1.12 jaunās versijas izlaišanu kurā ir veiktas dažas izmaiņas un uzlabojumi, no kuriem izceļas uzlabojumi Steam, kļūdu labošana un arī atbalsts TUI lietojumprogrammām.
Tiem, kas nepazīst Flatpak, jums jāzina, ka tas ļauj lietojumprogrammu izstrādātājiem vienkāršot savu programmu izplatīšanu kas nav iekļauti standarta izplatīšanas krātuvēs, sagatavojot universālu konteineru, neveidojot atsevišķus komplektus katrai izplatīšanai.
Drošības lietotājiem, Flatpak ļauj konteinerā darboties neprecīzai lietojumprogrammai nodrošinot piekļuvi tikai lietotāja tīkla funkcijām un failiem, kas saistīti ar lietojumprogrammu. Lietotājiem, kurus interesē jauni produkti, Flatpak ļauj viņiem instalēt jaunākās stabilās un izmēģinājuma lietojumprogrammu versijas, neveicot sistēmas izmaiņas.
Lai samazinātu iepakojuma lielumu, tajā ir iekļautas tikai lietojumprogrammu atkarības, un pamata sistēmas un grafikas bibliotēkas (GTK, Qt, GNOME un KDE bibliotēkas utt.) Ir veidotas kā pievienojamas standarta izpildlaika vides.
LGalvenā atšķirība starp Flatpak un Snap ir tā, ka Snap izmanto sistēmas galvenās vides komponentusl un izolācija, kuras pamatā ir sistēmas zvanu filtrēšana, kamēr Flatpak no sistēmas izveido atsevišķu konteineru un darbojas ar lieliem izpildlaika komplektiem, nodrošinot nevis paketes kā atkarības, bet gan standarta. Sistēmas vides (piemēram, visas bibliotēkas, kas nepieciešamas GNOME vai KDE programmu palaišanai).
Papildus tipiskajai sistēmas videi (izpildlaiks), kas instalēta, izmantojot īpašu krātuvi, tiek nodrošinātas papildu atkarības (pakotne), kas nepieciešama lietojumprogrammas darbībai. Īsāk sakot, izpildlaiks un pakotne veido konteineru populāciju, lai gan izpildlaiks ir instalēts atsevišķi un vienlaikus savieno vairākus konteinerus, tādējādi nav nepieciešams dublēt kopējos sistēmas failus konteineros.
Galvenās Flatpak 1.12 jaunās iespējas
Šajā jaunajā versijā izcelta uzlabota ligzdoto smilškastes pārvaldība lieto kopā ar klientu flatpak iepakojumā spēļu piegādes pakalpojumam Steam. Ligzdotās sanboxēs ir atļauts izveidot atsevišķas direktoriju / usr un / app hierarhijas, kuras Steam izmanto, lai palaistu spēles atsevišķā konteinerā ar savu / usr sadaļu, kas ir izolēta no vides ar Steam klientu.
Arī visi pakotņu gadījumiem ar vienu un to pašu lietojumprogrammas ID tiek koplietoti / tmp un $ XDG_RUNTIME_DIR katalogi un pēc izvēles, izmantojot karodziņu “–allow = per-app-dev-shm”, varat iespējot koplietotā direktorija / dev / shm izmantošanu.
Arī šajā jaunajā versijā uzlabots teksta lietotāja interfeisa (TUI) lietojumprogrammu atbalsts tāpat kā gdb, kā arī ātrāka komandas "ostree prune" ieviešana ir pievienota utilītai build-update-repo, kas ir optimizēta darbam ar failu režīma krātuvēm.
No otras puses, tas ir minēts īstenojot portāla mehānismu, tika novērsta ievainojamība CVE-2021-41133, kas saistīti ar jaunu sistēmas zvanu nebloķēšanu, kas saistīti ar starpsienu uzstādīšanu seccomp noteikumos. Ievainojamība ļāva lietojumprogrammai izveidot ligzdotu smilšu kasti, lai apietu “portāla” verifikācijas mehānismus, ko izmanto, lai nodrošinātu piekļuvi resursiem ārpus konteinera.
Tā rezultātā uzbrucējs varētu apiet smilšu kastes izolācijas mehānismu izpildot ar savienojumu saistītus sistēmas zvanus un iegūt pilnīgu piekļuvi saturam saimniekdatora vidē. Ievainojamību var izmantot tikai pakotnēs, kas nodrošina lietojumprogrammām tiešu piekļuvi ligzdām AF_UNIX, piemēram, tām, kuras izmanto Wayland, Pipewire un pipewire-pulse. Versijā 1.12.0 ievainojamība nebija pilnībā novērsta, tāpēc atjauninājums 1.12.1 tika izlaists, veicot vajāšanu.
Beidzot ja jūs interesē uzzināt vairāk par to par šo jauno versiju varat pārbaudīt informāciju Šajā saitē.