Недавно анонсирован выпуск новой версии Flatpak 1.12 в котором были внесены некоторые изменения и улучшения, среди которых выделяются улучшения для Steam, исправление ошибок, а также поддержка приложений TUI.
Тем, кто не знаком с Flatpak, следует знать, что это позволяет разработчикам приложений упростить распространение своих программ которые не входят в репозитории стандартных дистрибутивов, подготовив универсальный контейнер без формирования отдельных сборок для каждого дистрибутива.
Для пользователей, заботящихся о безопасности, Flatpak позволяет запускать неточное приложение в контейнере. предоставляя доступ только к сетевым функциям пользователя и файлам, связанным с приложением. Для пользователей, интересующихся новыми продуктами, Flatpak позволяет им устанавливать последние стабильные и пробные версии приложений без необходимости внесения изменений в систему.
Чтобы уменьшить размер пакета, он включает только зависимости для конкретного приложения, а базовые системные и графические библиотеки (библиотеки GTK, Qt, GNOME, KDE и т. Д.) Разработаны как подключаемые стандартные среды выполнения.
LКлючевое различие между Flatpak и Snap заключается в том, что Snap использует основные компоненты системной среды.l и изоляция на основе фильтрации системных вызовов, в то время как Flatpak создает отдельный контейнер из системы и работает с большими наборами среды выполнения, предоставление не пакетов как зависимостей, а стандартных. Системные среды (например, все библиотеки, необходимые для запуска программ GNOME или KDE).
В дополнение к типичной системной среде (среде выполнения), устанавливаемой через специальный репозиторий, предоставляются дополнительные зависимости (пакет), необходимые для работы приложения. Короче говоря, среда выполнения и пакет составляют совокупность контейнеров, даже если среда выполнения устанавливается отдельно и объединяет несколько контейнеров одновременно, что устраняет необходимость дублировать общие системные файлы в контейнерах.
Основные новые функции Flatpak 1.12
В этой новой версии выделено улучшенное управление вложенными песочницами используется в пакете Flatpak с клиентом для службы доставки игр Steam. Во вложенных санбоксах разрешено создавать отдельные иерархии каталогов / usr и / app, которые Steam использует для запуска игр в отдельном контейнере с собственным разделом / usr, изолированным от среды с клиентом Steam.
Также все экземпляры пакета с одинаковым идентификатором приложения совместно используют каталоги / tmp и $ XDG_RUNTIME_DIR и, при желании, с помощью флага «–allow = per-app-dev-shm» вы можете разрешить использование общего каталога / dev / shm.
Также в этой новой версии выделена расширенная поддержка приложений с текстовым пользовательским интерфейсом (TUI) как и gdb, плюс более быстрая реализация команды «ostree prune» также была добавлена в утилиту build-update-repo, оптимизированную для работы с репозиториями файлового режима.
С другой стороны, упоминается, что уязвимость CVE-2021-41133 была исправлена в реализации механизма портала, связанных с неблокированием новых системных вызовов, связанных с монтированием разделов в правилах seccomp. Уязвимость позволила приложению создать вложенную песочницу для обхода «портальных» механизмов проверки, используемых для предоставления доступа к ресурсам вне контейнера.
В результате злоумышленник может обойти механизм изоляции песочницы. выполнение системных вызовов, связанных с монтированием и получить полный доступ к контенту в среде хоста. Уязвимость может быть использована только в пакетах, которые предоставляют приложениям прямой доступ к сокетам AF_UNIX, например используемым Wayland, Pipewire и pipewire-pulse. Уязвимость не была полностью исправлена в версии 1.12.0, поэтому обновление 1.12.1 было выпущено по горячим следам.
В конце концов если вам интересно узнать об этом больше об этой новой версии вы можете проверить подробности По следующей ссылке.