A Flatpak 1.12.3 a modern GNU/Linux disztribúciókhoz szánt, nyílt forráskódú, és nagyon hatékony Linux alkalmazások sandboxing és disztribúciós keretrendszerének legújabb stabil sorozata. A Linux Mint 20.3-as verziója megkapta a Flatpak 1.12-es verzióját, így érdekes lehet, hogy milyen újdonságok vannak az 1.12-es sorozatban és mit várhat a felhasználó az 1.12.3-as verziótól.
A Flatpak 1.12.3 fontos frissítés, mivel kijavít két kritikus biztonsági problémát, amelyeket a Flatpak-ban találtak, például a CVE-2021-4386 számon jegyzett sebezhetőséget, amely lehetővé teszi, hogy egy rosszindulatú tárolóhely érvénytelen alkalmazás-metaadatokat küldjön úgy, hogy az alkalmazás engedélyeit a telepítés során elrejtse.
Szintén javított egy, a Flatpak flatpak-builder komponensét érintő problémát, amely miatt a flatpak-builder --mirror-screenshots-url parancsok a build könyvtáron kívüli fájlokhoz is hozzáférhetnek.
„A Flatpak-ban a --nofilesystem=host és a --nofilesystem=home paramétereket erőteljesebbé tételével történik a javítás. Korábban csak az adott helyhez való hozzáférést szüntették meg, azaz a --nofilesystem=host és ellentettjét a --filesystem=host paramétert, de a --filesytem=/some/dir paramétert nem.” – olvasható a kiadási megjegyzésekben. „Ez egy kisebb változás a viselkedésben, mivel megváltoztathatja az ilyen konkrét opciókkal történő felülbírált viselkedését, azonban valószínű, hogy az új viselkedés volt az elvárt.”
A biztonsági javításokon kívül a Flatpak 1.12.3-as kiadása több PulseAudio konfiguráció támogatását is megkapta, így például a WSL2-ben használtakat.
Ebben a kiadásban a fejlesztők javították a több tárolóból származó bővítményfrissítések kezelését és a parancssori kimenetet is javítva lett a nem terminálban megjelenő kimenetek esetében. Továbbá a „flatpak run --session-bus” parancs is hibajavítást kapott. A Bash automatikus kiegészítése, többé már nem ajánlja a parancsnév álneveket (alias). A javítások érintik a csomagok „Since" jelzéseket a FlatpakTransaction eseményeknél.
Újdonság még, hogy a Flatpak elvégzi az összefoglaló gyorsítótárak ellenőrző összegeinek ellenőrzését, hogy javítsa a helyi fájlrongálások felismerését.
Egyéb változások mellett a Flatpak 1.12.3 javítja az extra adatok letöltését, hogy megfelelően kezelje a tömörített tartalom kódolását és javítsa az ellenőrző összegek ellenőrzését, valamint kisebb javításokat tartalmaz a lista, javítás és keresés parancsokhoz.
Végül, de nem utolsósorban: a Flatpak 1.12.3 javítja az extra adatok letöltését, hogy megfelelően kezelje a tömörített tartalom kódolását, továbbfejleszti az ellenőrző összegek ellenőrzését, javítja az átnevezett azonosítókkal rendelkező Flatpak-alkalmazások kezdeti telepítését, kijavítja a no-enumerate távoli alkalmazásokból származó frissítésekre vonatkozó hibát, továbbá javítja a PyParsing 3.0.4 vagy újabb verzióval történő felépítést, valamint frissíti a dokumentációt és a különböző nyelvű fordításokat.
Fejlesztő oldalról több automatatesztet adtak hozzá a készítők.
A Flatpak 1.12.3 már most letölthető a projekt GitHub oldaláról, de hamarosan elérhető lesz a Linux Mint 20.3 felhasználói és valószínűleg kedvenc GNU/Linux disztribúcióid stabil szoftvertárolójában is megjelenik hamarosan.
Az előzményeket tekintve a Flatpak 1.12 sorozat nyolc hónappal a Flatpak 1.10 után érkezett, tavaly októberben, mint új stabil sorozat, amely számos új funkciót és fejlesztést vezet be. A legfontosabb újdonságok közé tartozik a Steam Linux Runtime mechanizmus jobb támogatása, amely lehetővé teszi a Steam számára, hogy a játékokat saját konténer futásidejű konténerével indítsa el „/usr” néven.
Valójában ez az új funkció lehetővé teszi, hogy bármelyik subsandbox-nak más és más „/usr”, illetve „/app” legyen. Szintén újdonság a TUI (szövegalapú felhasználói felület) programok, mint a GNU Debugger támogatása. Remek újdonság az azonos app-ID-vel rendelkező Flatpak példányok támogatása, amelyek így megosszák a „/tmp”, illetve a „/dev/shm” könyvtárakat, valamint a „$XDG_RUNTIME_DIR” könyvtárakat.
Emellett a 1.12 verzió most már a GNU Bison általános célú feldolgozó generátort (general-purpose parser generator) használja, javítja a hibaellenőrzési mechanizmust, javítja a több architektúrához tartozó referenciák kezelését, és továbbfejleszti a sudo flatpak run parancs hibaüzenetét.
Továbbá a Flatpak mostantól lehetővé teszi az exportálás során használandó Flatpak bináris megadását, az „/etc/gai.conf” állományt elérhetővé teszi a sandbox számára, kezeli azokat az eseteket, amikor a „/var/tmp” egy szimbolikus link, információt nyújt a biztonsági komponensek támogatott szolgáltatásairól és a biztonsági sebezhetőségek jelentéséről, és jól kezeli az esetlegesen hiányzó /etc/ld.so.cache (musl) állományt is.
Természetesen hiba- és biztonsági javítások is vannak ebben az új stabil Flatpak sorozatban. Az egyik legfontosabb biztonsági javítás az alkalmazás sandbox kezelésben felfedezett sebezhetőségre vonatkozik, amely lehetővé teszi, hogy az alkalmazás al-homokozókat, és benne VFS-t (Virtual File System) hozzon létre, ami összezavarhatja a rendszer homokozó ellenőrzési mechanizmusait, és abból való kitörést tesz lehetővé.
A bubblewrap 0.5.0 verzió használatával jobb diagnosztikát tesz lehetővé, ha egy --bind vagy más bind-mount sikertelen, csökkenti a felesleges kernelüzeneteket a bind-mountok-nál, támogatja a nem könyvtárak mountolását egy meglévő nem könyvtár fölé, elérhetővé teszi a biztonságosabb jogosultságokkal rendelkező nem könyvtárak létrehozását, és javítja a könyvtárak bind-mountolásának képességét a nagy- és kisbetűre érzéketlen fájlrendszerek esetében.
