最近 Flatpak 1.12 新版本发布 其中进行了一些更改和改进,其中对 Steam 的改进、错误的纠正以及对 TUI 应用程序的支持脱颖而出。
对于那些不熟悉 Flatpak 的人,你应该知道这个 使应用程序开发人员可以简化其程序的分发 通过准备一个通用容器而不为每个发行版形成单独的程序集,从而不包含在标准发行版存储库中。
对于有安全意识的用户, Flatpak 允许不准确的应用程序在容器中运行 通过仅提供对用户的网络功能和与应用程序相关联的文件的访问。 对于对新产品感兴趣的用户,Flatpak 允许他们安装最新的稳定版和试用版应用程序,而无需更改系统。
为了减小包的大小,它只包含特定于应用程序的依赖项,基本系统和图形库(GTK、Qt、GNOME 和 KDE 库等)被设计为可插拔的标准运行时环境。
LFlatpak 和 Snap 的关键区别在于 Snap 使用核心系统环境组件l 和基于系统调用过滤的隔离, 而 Flatpak 创建了一个独立于系统的容器并使用大型运行时集进行操作, 提供的不是包作为依赖项,而是标准的。 系统环境(例如,运行 GNOME 或 KDE 程序所需的所有库)。
除了通过特殊存储库安装的典型系统环境(运行时)之外,还提供了应用程序运行所需的其他依赖项(包)。 简而言之,运行时和包组成了容器群,即使运行时是单独安装的,并且一次加入多个容器,无需将公共系统文件复制到容器中。
Flatpak 1.12的主要新功能
在这个新版本中 嵌套沙箱的增强管理突出显示 在与客户端的 flatpak 包中使用 用于游戏交付服务 Steam. 在嵌套的 sanbox 中,允许创建 /usr 和 /app 目录的单独层次结构,Steam 使用它们在具有自己的 /usr 部分的单独容器中运行游戏,与 Steam 客户端的环境隔离。
还有,全部 具有相同应用程序 ID 的包实例共享 /tmp 和 $XDG_RUNTIME_DIR 目录 并且可选地,使用“–allow = per-app-dev-shm”标志,您可以启用共享目录/dev/shm 的使用。
同样在这个新版本中 突出显示对文本用户界面 (TUI) 应用程序的增强支持 像 gdb 一样,“ostree prune”命令的更快实现也被添加到 build-update-repo 实用程序中,为使用文件模式存储库进行了优化。
另一方面,提到 漏洞CVE-2021-41133在门户机制的实现中得到修复, 与不阻止与 seccomp 规则中的挂载分区相关的新系统调用有关。 该漏洞允许应用程序创建嵌套沙箱以绕过用于提供对容器外部资源的访问的“门户”验证机制。
因此,攻击者可以绕过沙箱隔离机制 执行挂载相关的系统调用 并获得对宿主环境中内容的完全访问权限。 该漏洞只能在允许应用程序直接访问 AF_UNIX 套接字的包中被利用,例如 Wayland、Pipewire 和 pipewire-pulse 使用的那些。 该漏洞在1.12.0版本中并未完全修复,因此紧追其后发布了1.12.1更新。
最后 如果您有兴趣了解更多信息 关于这个新版本,您可以查看详细信息 在下面的链接中。