Faz pouco o lançamento da nova versão do Flatpak 1.12 foi anunciado no qual foram feitas algumas mudanças e melhorias, das quais se destacam as melhorias para Steam, a correção de erros e também o suporte para aplicações TUI.
Para aqueles que não estão familiarizados com Flatpak, você deve saber que este torna possível para os desenvolvedores de aplicativos simplificar a distribuição de seus programas que não são incluídos nos repositórios de distribuição padrão, preparando um contêiner universal sem formar conjuntos separados para cada distribuição.
Para usuários preocupados com a segurança, Flatpak permite que um aplicativo impreciso seja executado em um contêiner fornecendo acesso apenas às funções de rede do usuário e aos arquivos associados ao aplicativo. Para usuários interessados em novos produtos, o Flatpak permite que instalem as versões de teste e estáveis mais recentes dos aplicativos sem a necessidade de alterações no sistema.
Para reduzir o tamanho do pacote, ele inclui apenas dependências específicas do aplicativo, e o sistema básico e as bibliotecas gráficas (GTK, Qt, GNOME e bibliotecas KDE, etc.) são projetados como ambientes de tempo de execução padrão plugáveis.
LA principal diferença entre Flatpak e Snap é que o Snap usa os componentes principais do ambiente do sistemal e isolamento com base na filtragem de chamadas do sistema, enquanto o Flatpak cria um contêiner separado do sistema e opera com grandes conjuntos de tempo de execução, fornecendo não pacotes como dependências, mas padrão. Ambientes de sistema (por exemplo, todas as bibliotecas necessárias para executar programas GNOME ou KDE).
Além do ambiente de sistema típico (tempo de execução) instalado por meio de um repositório especial, são fornecidas dependências adicionais (pacote) necessárias para que o aplicativo funcione. Resumindo, o tempo de execução e o pacote constituem a população do contêiner, embora o tempo de execução seja instalado separadamente e junte vários contêineres de uma vez, eliminando a necessidade de duplicar arquivos de sistema comuns para os contêineres.
Principais novos recursos do Flatpak 1.12
Nesta nova versão gerenciamento aprimorado de sandboxes aninhados em destaque usado em um pacote flatpak com um cliente para o serviço de entrega de jogos Steam. Em sanboxes aninhados, é permitido criar hierarquias separadas dos diretórios / usr e / app, que o Steam usa para rodar jogos em um contêiner separado com sua própria seção / usr, isolada do ambiente com o cliente Steam.
Além disso, todos instâncias de pacote com o mesmo ID de aplicativo compartilham os diretórios / tmp e $ XDG_RUNTIME_DIR e opcionalmente, usando o sinalizador "–allow = per-app-dev-shm", você pode habilitar o uso do diretório compartilhado / dev / shm.
Também nesta nova versão suporte aprimorado para aplicativos de interface de usuário de texto (TUI) em destaque como o gdb, mais uma implementação mais rápida do comando "ostree prune" também foi adicionada ao utilitário build-update-repo, otimizado para trabalhar com repositórios em modo de arquivo.
Por outro lado, é mencionado que a vulnerabilidade CVE-2021-41133 foi corrigida na implementação do mecanismo do portal, relacionado a não bloquear novas chamadas de sistema relacionadas à montagem de partições em regras seccomp. A vulnerabilidade permitiu que o aplicativo criasse uma sandbox aninhada para contornar os mecanismos de verificação do 'portal' usados para fornecer acesso a recursos fora do contêiner.
Como resultado, um invasor pode ignorar o mecanismo de isolamento da sandbox executar chamadas de sistema relacionadas à montagem e obter acesso total ao conteúdo no ambiente de host. A vulnerabilidade só pode ser explorada em pacotes que dão aos aplicativos acesso direto aos soquetes AF_UNIX, como os usados por Wayland, Pipewire e pipewire-pulse. A vulnerabilidade não foi totalmente corrigida na versão 1.12.0, então a atualização 1.12.1 foi lançada em perseguição.
Finalmente se você estiver interessado em saber mais sobre isso sobre esta nova versão, você pode verificar os detalhes no link a seguir.