Останнім часом було оголошено про вихід нової версії Flatpak 1.12 в якому були внесені деякі зміни та вдосконалення, серед яких виділяються поліпшення для Steam, виправлення помилок, а також підтримка додатків TUI.
Для тих, хто не знайомий з Flatpak, ви повинні знати, що це дає можливість розробникам додатків спростити розповсюдження своїх програм які не включені до стандартних сховищ розповсюдження шляхом підготовки універсального контейнера без формування окремих збірок для кожного дистрибутива.
Для користувачів, що знають про безпеку, Flatpak дозволяє запускати неточну програму в контейнері надаючи доступ лише до мережевих функцій користувача та файлів, пов’язаних із додатком. Користувачам, яким цікаві нові продукти, Flatpak дозволяє їм встановлювати найновіші стабільні та пробні версії програм без необхідності системних змін.
Щоб зменшити розмір пакета, він включає лише залежності від конкретних програм, а основні системні та графічні бібліотеки (бібліотеки GTK, Qt, GNOME та KDE тощо) розроблені як стандартні середовища виконання, що підключаються.
LКлючова відмінність між Flatpak і Snap полягає в тому, що Snap використовує основні компоненти системного середовищаl та ізоляція на основі фільтрації системних викликів, в той час як Flatpak створює окремий контейнер із системи і працює з великими наборами середовища виконання, надання не пакетів як залежностей, а стандартних. Системні середовища (наприклад, усі бібліотеки, необхідні для запуску програм GNOME або KDE).
На додаток до типового системного середовища (середовища виконання), встановленого через спеціальне сховище, надаються додаткові залежності (пакет), необхідні для функціонування програми. Коротше кажучи, середовище виконання та пакет складають популяцію контейнерів, навіть якщо середовище виконання встановлюється окремо і приєднується до кількох контейнерів одночасно, усуваючи необхідність дублювати загальні системні файли в контейнерах.
Основні нові можливості Flatpak 1.12
У цій новій версії виділено покращене управління вкладеними пісочницями використовується в пакеті flatpak з клієнтом для служби доставки ігор Steam. У вкладених скриньках дозволено створювати окремі ієрархії каталогів / usr та / app, які Steam використовує для запуску ігор в окремому контейнері з власним розділом / usr, ізольованим від середовища за допомогою клієнта Steam.
Також усі екземпляри пакетів з однаковим ідентифікатором програми мають спільний доступ до каталогів / tmp та $ XDG_RUNTIME_DIR і за бажанням, використовуючи прапор "–allow = per-app-dev-shm", ви можете включити використання спільного каталогу / dev / shm.
Також у цій новій версії розширена підтримка програм текстового інтерфейсу користувача (TUI) як і gdb, а також більш швидка реалізація команди "ostree prune" також була додана до утиліти build-update-repo, оптимізованої для роботи зі сховищами файлового режиму.
З іншого боку, це згадується виправлена вразливість CVE-2021-41133 при реалізації механізму порталу, пов'язані з неблокуванням нових системних викликів, пов'язаних із встановленням розділів у правилах seccomp. Вразливість дозволила програмі створити вкладену пісочницю, щоб обійти механізми перевірки "порталу", що використовуються для надання доступу до ресурсів поза контейнером.
В результаті зловмисник може обійти механізм ізоляції пісочниці виконання системних викликів, пов'язаних з монтуванням та отримати повний доступ до вмісту в середовищі хоста. Вразливість може бути використана лише в пакетах, які надають додаткам прямий доступ до сокетів AF_UNIX, таких як ті, що використовуються Wayland, Pipewire та pipewire-pulse. Уразливість не була повністю виправлена у версії 1.12.0, тому оновлення 1.12.1 було випущено за гарячими слідами.
В кінці кінців якщо вам цікаво дізнатись більше про це про цю нову версію, ви можете перевірити деталі У наступному посиланні.