最近 Flatpak 1.12 新版本發布 其中進行了一些更改和改進,其中對 Steam 的改進、錯誤的糾正以及對 TUI 應用程序的支持脫穎而出。
對於不熟悉 Flatpak 的人,你應該知道這個 使應用程序開發人員可以簡化其程序的分發 通過準備一個通用容器而不為每個發行版形成單獨的程序集,從而不包含在標準發行版存儲庫中。
對於有安全意識的用戶, Flatpak 允許不准確的應用程序在容器中運行 通過僅提供對用戶的網絡功能和與應用程序相關聯的文件的訪問。 對於對新產品感興趣的用戶,Flatpak 允許他們安裝最新的穩定版和試用版應用程序,而無需更改系統。
為了減小包的大小,它只包含特定於應用程序的依賴項,並且基本系統和圖形庫(GTK、Qt、GNOME 和 KDE 庫等)被設計為可插拔的標準運行時環境。
LFlatpak 和 Snap 的關鍵區別在於 Snap 使用核心系統環境組件l 和基於系統調用過濾的隔離, 而 Flatpak 創建了一個獨立於系統的容器並使用大型運行時集進行操作, 提供的不是包作為依賴,而是標準。 系統環境(例如,運行 GNOME 或 KDE 程序所需的所有庫)。
除了通過特殊存儲庫安裝的典型系統環境(運行時)之外,還提供了應用程序運行所需的其他依賴項(包)。 簡而言之,運行時和包組成了容器群,即使運行時是單獨安裝的,並且一次加入多個容器,無需將公共系統文件複製到容器中。
Flatpak 1.12的主要新功能
在這個新版本中 嵌套沙箱的改進管理突出顯示 在與客戶端的 flatpak 包中使用 用於遊戲交付服務 Steam. 在嵌套的 sanbox 中,允許創建 /usr 和 /app 目錄的單獨層次結構,Steam 使用它們在具有自己的 /usr 部分的單獨容器中運行遊戲,與 Steam 客戶端的環境隔離。
還有,全部 具有相同應用程序 ID 的包實例共享 /tmp 和 $XDG_RUNTIME_DIR 目錄 並且可選地,使用“–allow = per-app-dev-shm”標誌,您可以啟用共享目錄/dev/shm 的使用。
也在這個新版本中 突出顯示對文本用戶界面 (TUI) 應用程序的增強支持 像 gdb 一樣,“ostree prune”命令的更快實現也被添加到 build-update-repo 實用程序中,為使用文件模式存儲庫進行了優化。
另一方面,提到 漏洞CVE-2021-41133在門戶機制的實現中得到修復, 與 seccomp 規則中與掛載分區相關的新系統調用的非阻塞相關。 該漏洞允許應用程序創建嵌套沙箱以繞過用於提供對容器外部資源的訪問的“門戶”驗證機制。
因此,攻擊者可以繞過沙箱隔離機制 執行掛載相關的系統調用 並獲得對宿主環境中內容的完全訪問權限。 該漏洞只能在允許應用程序直接訪問 AF_UNIX 套接字的包中被利用,例如 Wayland、Pipewire 和 pipewire-pulse 使用的那些。 該漏洞在 1.12.0 版本中並未完全修復,因此緊追其後發布了 1.12.1 更新。
終於 如果您有興趣了解更多信息 關於這個新版本,您可以查看詳細信息 在下面的鏈接中。