The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость во flatpak, позволяющая обойти sandbox-изоляцию

18.04.2024 21:35

В инструментарии Flatpak, предназначенном для создания самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и изолированных от остальной системы, выявлена уязвимость (CVE-2024-32462). Уязвимость позволяет вредоносному или скомпрометированному приложению, поставляемому в пакете flatpak, обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе. Проблема проявляется только в пакетах, использующих порталы Freedesktop (xdg-desktop-portal), применяемые для организации доступа к ресурсам пользовательского окружения из изолированных приложений. Уязвимость устранена в корректирующих обновлениях flatpak 1.15.8, 1.14.6, 1.12.9 и 1.10.9. Обходной путь для защиты также предложен в выпусках xdg-desktop-portal 1.16.1 и 1.18.4.

Благодаря уязвимости, находящееся в изолированном окружении приложение может использовать интерфейс xdg-desktop-portal для создания файла ".desktop" с командой запуска приложения из flatpak, позволяющей получить доступ к файлам основной системы. Для выхода из изолированного окружения используются манипуляции с параметром "--command", применяемым для передачи имени программы, находящейся внутри flatpak-пакета, которую нужно запустить в изолированном окружении. Для настройки изолированного окружения flatpak вызывает утилиту bwrap, передавая ей указанное имя программы. Например, для запуска утилиты ls в изолированном окружении пакета можно использовать конструкцию "flatpak run --command=ls org.gnome.gedit" которая приведёт к запуску "bwrap <параметры_изоляции> ls".

Суть уязвимости в том, что если имя программы начинается на символы "--", то оно будет воспринято утилитой bwrap как собственная опция. Например, запуск "flatpak run --command=--bind org.gnome.gedit / /host ls -l /host" приведёт к выполнению "bwrap <параметры_изоляции> --bind / /host ls -l /host", т.е. имя "--bind" будет обработано не как имя запускаемого приложения, а как опция bwrap.

Уязвимость усугубляется тем, что D-Bus интерфейс "org.freedesktop.portal.Background.RequestBackground" позволяет приложению из пакета Flatpak указать любую команду для выполнения при помощи "flatpak run --command", в том числе начинающуюся с символа "--". Подразумевалось, что передача любых команд не опасна, так как они будут выполнены в изолированном окружении пакета. Но не было учтено, что команды, начинающиеся на "--" будут обработаны как опции утилитой bwrap. В итоге, интерфейс xdg-desktop-portal может использоваться для создания файла ".desktop" с командой, эксплуатирующей уязвимость.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Обновление Flatpak с устранением двух уязвимостей
  3. OpenNews: Официальные редакции Ubuntu прекратят поддержку Flatpak в базовой поставке
  4. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.14.0
  5. OpenNews: Уязвимость во Flatpak, позволяющая обойти режим изоляции
  6. OpenNews: Уязвимость в snapd и flatpak, позволяющая обойти режим изоляции
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61024-flatpak
Ключевые слова: flatpak
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (101) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Аноним (5), 23:21, 18/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Потому что надо было использовать CLI11/Lyra/TCLap, а не выпендриваться.
     
     
  • 2.69, Аноним (69), 08:02, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это если Flatpak написан на C++ (не вкурсе).
     

  • 1.6, YetAnotherOnanym (ok), 23:32, 18/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Как будто нельзя было с самого начала понять, что полностью изолированное ПО - это бесполезная "вещь для себя", и для использования придётся как-то давать ему доступ к чему-то, и вот здесь хомосапиенсы обязательно накосячат.
     
     
  • 2.13, nonon (?), 00:01, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Та понятно что в любом случае придется ставить "доверительные пакеты" не важно в изоляции они или не

    Flatpak наверное больше про "не париться с зависимостями" во всяких сильно старых, сильно новых или не на всех дистрах протестированных программах

     
     
  • 3.62, Кирилл (??), 06:51, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Они хотели всё и сразу, а получилось как всегда. А так как это красношапки - будут игнорировать недостатки и веми щупальцами проталкивать этот ужас в продакшен.
     
  • 2.20, Аноним (20), 00:28, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да нет, задача вполне реализуемая и реализованная, а доступ и так дается, просто заранее указывается к чему
     
     
  • 3.63, Аноним (63), 06:56, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а доступ и так дается, просто заранее указывается к чему

    Могу пример. Приложение "Фонарик" к адресной книге, звонкам и СМС.

     
     
  • 4.107, Аноним (20), 13:42, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так не запускай этот фонарик, если не нравится, в этом и суть, что ты знаешь что приложению нужно. Или вообще отключи что считаешь лишним.
     
  • 2.29, Аноним (29), 01:50, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как будто нельзя было с самого начала понять

    Можно, но кто будет заниматься латанием дыр? Все хотят кушать, поэтому сначала с умным видом создаем проблемный продукт, а затем обнаруживаем, что здесь дырка, а там еще одна.

     
     
  • 3.34, Аноним (34), 02:18, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Как будто нельзя было с самого начала понять
    > Можно, но кто будет заниматься латанием дыр? Все хотят кушать, поэтому сначала
    > с умным видом создаем проблемный продукт, а затем обнаруживаем, что здесь
    > дырка, а там еще одна.

    Все хотят кушать никак не коррелирует с тем, что современные разработчики, как и индустрия в целом порядком охренели и делают кое-как и на отлюбись. При Сталине тоже все хотели кушать, однако ссыковали делать заведомо кое-как, и правильно делали. Боюсь, что общество этих самых сапиенсов к сожалению не доросло до того, что чтобы что-то делать хотябы хорошо, а не отлично, должно держаться на страхе неминуемых последствий для своего благополучного существования.

     
     
  • 4.144, Neon (??), 03:14, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    При Сталине косячили тоже еще только так. Как, например, бракованные 45 мм снаряды для противотанковых пушек. Или супер эпопея с динамореактивными пушками Курчевского. МММ отдыхает и рядом не валялось.
     

  • 1.9, Аноним (29), 23:55, 18/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Порочная во всех смыслах технология, которая противоречит изначальной идеологии юникс с общими библиотеками. Теперь каждый калькулятор тянет с собой половину ОС на пару гигов. В общем, нет, спасибо, я уж как-то на дебиане с xfce4 с божественной во (всех смыслах) темой "xfce classicLooks".
     
     
  • 2.18, Аноним (18), 00:22, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Эти все философии юниксов это хорошо ровно до того момента, когда в систему надо поставить что-то новое (Ещё не в репе) или старое (Уже не в репе), и у этого чего-то есть какие-то зависимости, которые тоже, как вы понимаете, вероятно ещё/уже не в репе. Вот тут пляски и начинаются. Но всё равно, конечно, аппимейдж лучше.
     
     
  • 3.21, Аноним (29), 00:29, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Когда требуется что-то супер-пупер свежее (мне лично никогда такого не требовалось), можно самостоятельно скомпилировать, если автору лень предоставлять статически слинкованный бинарник. Да, сложно, требуется квалификация, но в юниксе не место домохозяйкам.
     
     
  • 4.64, Аноним (63), 07:00, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Коллега выше прав. Но к примеру, проблемы в корпоративных приложениях не в том, что требуются свежие пакеты, а в том, что требуется что-то устаревшее.
     
  • 4.111, scriptkiddis (?), 15:56, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И ты решил только пол дела. Ну как всегда, юнюхвейнинько.
     
  • 3.22, Аноним (22), 00:30, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Просто всем нужна Гента и не будет таких проблем. Настоящие проблемы возникают когда нужно поставить библиотеки с разными версиями или строго определённые версии. И для этого как раз есть контейнеры.
     
     
  • 4.33, bdrbt (ok), 02:15, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для этого есть статическая линковка, а не контейнеры.
     
     
  • 5.38, Аноним (22), 02:28, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Статическая линковка, во-первых, существенно увеличивает размер бинарей. Во-вторых есть ABI/API и остальная система и не всегда просто так можно одновременно работать в одной системе с разными версиями либ. В третьих, кроме so-шек есть другие ЯП, конфигы и данные в пакетах, которые тоже имеют версии и их никуда статически прилинковать нельзя. Садись, два.
     
  • 5.108, pic (?), 13:53, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    flatpak создан для решения далеко не только проблемы dll hell.
     
     
  • 6.109, тыквенное латте (?), 13:58, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > flatpak создан для решения далеко не только проблемы dll hell.

    он создан для решения одной проблемы (текущей практики разработки лапками) путём создания другой.

     
  • 4.51, EULA (?), 06:13, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот поэтому для библиотек существует указание версии в имени и симлинки для самой последней версии, а линковке есть возможность задать конкретную версию библиотеки.
     
  • 4.103, Аноним (103), 13:09, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >нужно поставить библиотеки с разными версиями или строго определённые версии

    Странно читать, что человек, предлагающий Генту, для разных версий предлагает какие то богомерзкие контейнеры, при том, что это штатная функциональность Генты.

     
     
  • 5.105, тыквенное латте (?), 13:17, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>нужно поставить библиотеки с разными версиями или строго определённые версии
    > Странно читать, что человек, предлагающий Генту, для разных версий предлагает какие то
    > богомерзкие контейнеры, при том, что это штатная функциональность Генты.

    ничего странного, гентушник ряженый.

     
  • 3.31, Аноним (31), 02:05, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >это хорошо ровно до того момента, когда в систему надо поставить что-то новое (Ещё не в репе) или старое

    Выбирай подходлящий дистр, в котором оно или не старое, или не новое. Или выбирай долгоживущие  lts-ы, где оно десятилетиями не устаревает и нового ничего нет. Так нет же, все хотят плясок на канате без шеста с закрытми глазами и сальтами, и готовы для этого тащить десятки гигабайт одного и того же мусора

     
     
  • 4.66, Аноним (63), 07:07, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    LTS - не панацея. Вот есть одно известное всем коллегам приложение, которому всего-то 2 года. Оно нормально работает в Ubuntu 18.04 (LTS!), Debian 9.12, Astra 1.7.3. И не работает в Ubuntu 22.04 (LTS), Debian 12 и Astra 1.7.5.
     
     
  • 5.140, Аноним (140), 10:27, 23/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так как LTS в Убунту - иллюзия и маркетинговая привлекалочка после года 16-го, 18-го примерно. Когда на самом деле они плывут по технологиям и версиям в пределах одного долгосрочного релиза.

    У них смысл LTS искажён до: долго портируют обновления к софту, версии которого лихо обновляли.

    А стабильности функционала у них нет. Могут в любой момент выбросить что угодно.

     
  • 2.19, Аноним (20), 00:24, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Эту "идеологию" где-то кто-то формулировал, или ты ее сейчас выдумал? И причем тут вообще темы, флатпаки могут через портал получать настройки оформления.
     
     
  • 3.23, errandrunner (?), 00:56, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Можешь не спорить, тут сейчас прибежит кучка фанатиков и будет доказывать, что у них ничего никогда не работает и что бесы из фридесктоп им задали документацию

     
  • 2.36, Аноним (34), 02:21, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Порочная во всех смыслах технология, которая противоречит изначальной идеологии юникс
    > с общими библиотеками. Теперь каждый калькулятор тянет с собой половину ОС
    > на пару гигов. В общем, нет, спасибо, я уж как-то на
    > дебиане с xfce4 с божественной во (всех смыслах) темой "xfce classicLooks".

    Есть такая прикольная штука distrobox, с ней в систему можно затащить хоть ауропомойку, если нужно, а руление этими самыми плоскопакетами, чем их больше в системе, тем больше геморроя с их рулением, жиреют и тупеют со временем.

     
  • 2.44, MegaFon929 (ok), 03:56, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вот только ядро Linux тоже не следует концепции Unix. Так что ваша претензия через чур бессмысленная. Ядро Linux монолитное
     
     
  • 3.70, Аноним (69), 08:05, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А ядро оригинального UNIX (TM) v7 следовало концепции Unix?
     
     
  • 4.89, MegaFon929 (ok), 09:40, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну как бы да. Там по концепции микросерверов. Одна задача - один компонент ядра.
     
  • 2.72, AleksK (ok), 08:23, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так как раз флэтпаки тоже имеют зависимости, так что если калькулятор у тебя вытянул зависимости то следующий флэтпак будет использовать их.
     
     
  • 3.123, iPony129412 (?), 19:44, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Один калькулятор потянет KDE 5.21 с кучей мусора. А второй KDE 5.22 с кучей мусора
     
     
  • 4.125, AleksK (ok), 20:55, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Один калькулятор потянет KDE 5.21 с кучей мусора. А второй KDE 5.22
    > с кучей мусора

    Очередной надуманный пример.

     
     
  • 5.134, iPony129412 (?), 05:08, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    не надуманный, а из реальности
     
     
  • 6.136, AleksK (ok), 09:07, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > не надуманный, а из реальности

    Тогда может покажешь вывод flatpak list?

     
     
  • 7.137, iPony129412 (?), 09:49, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не покажу, я во второй раз в это наступать не хочу без крайне необходимости.
    Хотя уже слышу - "это уже было очень давно (полтора года назад) и неправда".
     
  • 7.138, iPony129412 (?), 09:55, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и ещё сразу за тебя напишу ещё один ответ "а причём тут Flatpak? это конкретные создатели конкртеного ПО плохие".


     
  • 2.93, n00by (ok), 10:51, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > противоречит изначальной идеологии юникс с общими библиотеками.

    Не стоит выдавать свои фантазии за концепции УНИХ.

     
  • 2.106, sena (ok), 13:32, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    flatpak не надо использовать для каждого калькулятора, но для каких-то уникальны... большой текст свёрнут, показать
     
  • 2.127, laindono (ok), 01:43, 20/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я всегда считал, что следование идеологии юникс обязывает покупку сертифицированния на юникс.
     
  • 2.145, Neon (??), 03:23, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    "Изначальной идеологии юникс" давно пора на пенсию, борода до пола
     

  • 1.12, Аноним (12), 23:58, 18/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Какие-то флетпаки-шматпаки, снапы--шмапы. Для чего это все? Тыщу лет все работало без них, зачем+то решили сделать как в Винде. Хочется чтоб переносимый бинарь был, ну собери статически, включая всякие gtk, qt и прочее. Нафига вот эта вот шляпа вся?
     
     
  • 2.14, Аноним (29), 00:02, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Нафига вот эта вот шляпа вся?

    Рискну предположить, современная айтишечка упёрлась в предел своих возможностей, а бабосики зарабатывать нужно, вот и переставляют кровати, занимаются усложнением ради усложнения, когда условный хеллоуворлд  подтягивает 4 гига библиотек, во внутренностях которых та за всю свою жизнь не разберешься.

     
     
  • 3.130, Tron is Whistling (?), 09:46, 20/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Блджад, вчера нечаянно наткнули на не работающую "разработку"-пятистрочник, слияние двух таблиц с небольшой обработкой у людей. Они туда целый doctrine притащили. Это 3.14ц, уважаемая рыдагцыя.
     
  • 2.24, errandrunner (?), 00:57, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Поставь мне на старую версию какой-нибудь центоси или бубунты свежие пакеты, которым нужна конкретная версия либы

    Или наоборот, старый пакет на свежую федору или арч

    Я посмотрю на это

     
     
  • 3.53, EULA (?), 06:14, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ставил. Просто компилировал с указанием версии в имени, и все.
     
     
  • 4.129, noc101 (ok), 02:44, 20/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ставил. Просто компилировал с указанием версии в имени, и все.

    а старые либы тоже будешь компилировать? )) Удаленные 10 лет назад.
    Ой ну мелочь же, не подумал и ляпнул, да?

     
     
  • 5.133, Аноним (12), 12:58, 20/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А эти старые либы в шматпаке из воздуха берутся? Если бы положили их в обычный тарбол, то все так же работало бы. А можно ещё и в deb опакетить и тоже все будет работать
     
     
  • 6.141, noc101 (ok), 02:50, 26/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А эти старые либы в шматпаке из воздуха берутся? Если бы положили
    > их в обычный тарбол, то все так же работало бы. А
    > можно ещё и в deb опакетить и тоже все будет работать

    Снапы и флатпаки это задел на будущие, чтобы не было проблем. Увы, такие гении как ты, в прошшло, уже угробили сотни тысяч программ.

     
  • 5.135, EULA (?), 05:18, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну конечно же у того, кто собирает флатпаки и снап-паки удаленные либы есть, но тебе их не дадут, да? Или либы 10-летней давности в свежих снах и флаках берутся сразу из астрала?
    > Ой ну мелочь же, не подумал и ляпнул, да?
     
  • 3.92, Аноним (92), 10:03, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну да. свежие пакеты поставь на старое ядро и недоумевай почему не хватает сисколов
     
     
  • 4.94, n00by (ok), 10:54, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Эксперты не знают, что спецификация LSB запрещает "пакетам" вызывать ядро через syscall? Это делает glibc.
     
  • 3.100, Аноним (100), 12:38, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    1. Тарбол со всеми либами, как в станки, не катит?

    2. Допустим ты поставил это все во флетпаке на старую юубнту или центос со старым ядром. В ядре у тебя нет нужных сисколовя несмотря на то что glibc в твоём контейнере про них знает, но в ядре их нет. Сильно тебе помог твой флетпак?

     
     
  • 4.101, Аноним (100), 12:39, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > , как в станки

    Как в симанки

     
  • 4.113, sena (ok), 16:22, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Тарбол со всеми либами, как в станки, не катит?

    Просто тарбол - нет конечно. Надо же и удалять потом и апгрейд уметь делать и в путях прописываться и библиотеки расшаривать-переиспользовать.

    >  В ядре у тебя нет нужных сисколовя

    ну тут уж ничего не поделаешь...

     
  • 3.128, noc101 (ok), 02:42, 20/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Поставь мне на старую версию какой-нибудь центоси или бубунты свежие пакеты, которым
    > нужна конкретная версия либы
    > Или наоборот, старый пакет на свежую федору или арч
    > Я посмотрю на это

    Понимаешь... большинство сидящих тут, никогда ничем серьезным кроме клацанием мышки не занимались.
    Они просто не сталкивались с софтом, собранный последний раз в 2000 году. И который сейчас в принципе работать не будет.
    Когда закрываешь глаза и кричишь - ТАКОГО НЕ МОЖЕТ БЫТЬ - и жить спокойней.
    Вон у васяня под твоим комментам всё собирается, только версию укажи... версию чего только не спрашивай, он придумает очередную чушь)

     
     
  • 4.131, Анонис (?), 11:04, 20/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Понимаешь... ты походу сам не понимаешь о чем пишешь. Если бы софт собранный последний раз в 2000 году, больше не запускался, то он и во флетпаке бы не запускался. Если он всё же запускается во флетпаке, то значит запустится и без него.

    У меня есть нативная сборка HOMM3 под linux, она выпущена толи в 1999г, толи в 2000. И до сих пор работает на kernel 6.1. Там два варианта бинарника: статический и динамический. Статический просто запускаешь и всё, и он работает без каких-то танцев с бубном. Для динамического надо подложить старые либы, включая линковщик ld.so, libc.so и всё остальное. Но даже он работает.

    Так что ты несешь какой-то бред про то, что кто-то тут с чем-то не сталкивался. Очевидно просто, что ты врешь

     
     
  • 5.139, noc101 (ok), 02:49, 23/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Чел ты явно не сталкивался с проблемами, поэтому такой б... большой текст свёрнут, показать
     
  • 3.132, Анонис (?), 12:07, 20/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты правда веришь, что если ты ставишь новейший софт на древнюю центось, то все отсутствующие функции и сисколы эмулируются какой-то магией в этом твоем флетпаке? Ты какой-то реальный случай знаешь или просто теоритизируешь? Этот вариант не будет работать и во флетпаке. Но если каким-то чудом оно всё же работает, то оно и без флетпака заработает.

    > Или наоборот, старый пакет на свежую федору или арч

    Запустил для прикола древнюю версию OpenOffice на свежем дебиане - еще вопросы?

     
  • 2.32, 78 (?), 02:11, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот купил я чпу станок, и давай всякий софт пробовать, которого навалом, и что компилировать...2 часа собирал станок отверткой, а потом 2 месяца компилировал какойто хрен пойми софт.. просто чтобы понять что это не то ага.
     
     
  • 3.67, Аноним (12), 07:20, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А типа у тебя на ЧПУ станке флетпак работает, ага?
     
  • 2.45, MegaFon929 (ok), 03:58, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для того, чтобы как минимум ты мог использовать свежий софт на том же RHEL / Alma Linux / Oracle Linux / RockyLinux 8.x. Учитывая, что зависимости тоже не первой свежести и не весь софт можно скомпилировать, чтобы корректно работал
     
  • 2.49, Аноним (49), 04:58, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > зачем

    ради проприетарщины, опенсорсу все эти приседания с изоляцией и "своей" средой тупо не нужны

     
     
  • 3.52, iPony129412 (?), 06:14, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то создатели "проприетарщины" вообще не горят желанием делать что-то в Flatpak.
    А вот как раз движку по Flatpak вся у опнсорс проектов по сути.
     
  • 2.95, Аноним (95), 11:18, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати, забыл добавить. SeaMonkey и Firefox, к примеру, распространяются в виде простых тарболов. Распаковал и запустил, все либы там же рядом лежат. И никаких новомодных флэтпаков и даже статически собирать не надо
     
  • 2.114, sena (ok), 16:24, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Какие-то флетпаки-шматпаки, снапы--шмапы. Для чего это все? Тыщу лет все работало без
    > них, зачем+то решили сделать как в Винде. Хочется чтоб переносимый бинарь
    > был, ну собери статически, включая всякие gtk, qt и прочее. Нафига
    > вот эта вот шляпа вся?

    https://www.opennet.ru/openforum/vsluhforumID3/133453.html#106

     

  • 1.15, Аноним (29), 00:07, 19/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Из всех этих снапов и флэтпаков самая "правильная" технология, если уж на то пошло, так это appimage.
     
     
  • 2.17, Самый умный аноним (?), 00:11, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ты nix неправильно написал
     
     
  • 3.26, Здрасти (?), 01:23, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А что там у них с зависимостью от версий GLIBC?

    Самые правильные - это:

    1) Просто запустить, чтобы работало - chroot

    2) Если надо побезопаснее, то apparmor + rootless podman

     
     
  • 4.28, IdeaFix (ok), 01:47, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    флатпак это во многом про гуёвые локалхостовые программки, а не про самое правильное.
     
  • 4.43, Аноним (34), 03:56, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А что там у них с зависимостью от версий GLIBC?
    > Самые правильные - это:
    > 1) Просто запустить, чтобы работало - chroot
    > 2) Если надо побезопаснее, то apparmor + rootless podman

    У nix интересная идея, годная, но реализация через одно место, это поправимо, не будь никсоводы очередными илитариями в стиле GoboLinux с гипертрофированным nih-сидромом и ЧСВ до небес.

     
     
  • 5.50, Здрасти (?), 05:07, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    GUIX хуже/лучше Никса?

    Тот и другой вроде rolling, что как бы отталкивает от подобного на серверах.

    У GUIX ещё и пакетный поисковик на сайте IMHO похож на какое-то недоразумение.

     
     
  • 6.58, тыквенное латте (?), 06:35, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > GUIX хуже/лучше Никса?

    guix это лисп, от и до, вместо "ini-файлов" никсоса. Если надо объяснять - то не надо объяснять (с)

     
     
  • 7.75, Аноним (75), 08:26, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вам явно шашечки, а не ехать.
     
     
  • 8.78, тыквенное латте (?), 08:35, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    кому ехать - тому ни guix, ни никсос не впёрлось ... текст свёрнут, показать
     
  • 5.99, Стив Балмер (?), 12:17, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    вон serpentos на подходе, типа срединного пути, может чёт годное и выйдет
     
  • 3.42, Аноним (34), 03:51, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    nix штука прикольная, но жутко зависимая от каналов - читай такого же рантайма, ... большой текст свёрнут, показать
     
     
  • 4.55, Здрасти (?), 06:28, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да какой же AppImage самодостаточный, когда он зависит от GLIBC, установленной в системе?
    И от некоторых других либ.

    Самодостаточные - контейнеры, например, Docker.

    А более безопасным рантаймом тех же самых Docker контейнеров является AppArmor + rootless Podman.

     
     
  • 5.60, тыквенное латте (?), 06:38, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Да какой же AppImage самодостаточный, когда он зависит от GLIBC, установленной в
    > системе?
    > И от некоторых других либ.
    > Самодостаточные - контейнеры, например, Docker.

    да какой же он самодостаточный, когда он зависит от GLIBC, установленной системе?
    И от некоторых других либ.

    > А более безопасным рантаймом тех же самых Docker контейнеров является AppArmor +
    > rootless Podman.

    да какой же podman самодостаточный, когда он зависит от GLIBC, установленной системе?
    И от некоторых других либ.


     
     
  • 6.80, Здрасти (?), 08:38, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > да какой же podman самодостаточный, когда он зависит от GLIBC, установленной системе?

    И от некоторых других либ.

    Речь о контейнерах, а не самом подмане очевидно же.

    Кроме того таки бывает и статический подман и даже статическое наполнение контейнеров.

     
     
  • 7.84, тыквенное латте (?), 08:42, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> да какой же podman самодостаточный, когда он зависит от GLIBC, установленной системе?
    > И от некоторых других либ.
    > Речь о контейнерах, а не самом подмане очевидно же.

    а контейнер работает без glibc, чтоль?

    > Кроме того таки бывает и статический подман и даже статическое наполнение контейнеров.

    ну, это всё меняет. а, нет. не меняет.

     
  • 2.46, MegaFon929 (ok), 03:59, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только AppImage можно загрузить с любого места и запустить с любого места. Чем это лучше exe в Windows?
     
     
  • 3.61, тыквенное латте (?), 06:41, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот только AppImage можно загрузить с любого места

    загружай не с любого.

    > и запустить с любого места.

    запускай с /usr/bin.

    > Чем это лучше exe в Windows?

    сорта на8оза, как и вся эта ваша контейнеризация в линуксе.


     
     
  • 4.73, Здрасти (?), 08:23, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > сорта на8оза, как и вся эта ваша контейнеризация в линуксе.

    Что есть лучше докера (подмана, K8S, etc.)?

    Оно поддерживается даже на SmartOS (открытая солярка).

     
     
  • 5.76, тыквенное латте (?), 08:33, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> сорта на8оза, как и вся эта ваша контейнеризация в линуксе.
    > Что есть лучше докера (подмана, K8S, etc.)?

    ничего. как нет ничего хуже дыркера и ко. эта %3рня вне категории, а линукс впереди планеты всей.

    > Оно поддерживается даже на SmartOS (открытая солярка).

    да кому оно там нужно?) это как с пшшшаудио на Net/OpenBSD: формально есть, но даже чтоб доплатили за его использование - мало кто согласится.

     
     
  • 6.79, Здрасти (?), 08:36, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ничего. как нет ничего хуже дыркера и ко.

    А чем плохо? И какая есть замена?

    Ansible + ZFS снэпшоты состояний системы?

     
     
  • 7.85, тыквенное латте (?), 08:56, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> ничего. как нет ничего хуже дыркера и ко.
    > А чем плохо?

    всем. контейнеризация это частный случай изоляции, и как любая молодёжная %3рня - сделана плохо, претендует на одно, делает другое, предназначена для третьего. в сухом остатке, дыркер и ко - больше про модель деплоя, дистрибуции софта и сохранения состояния (снэпшоттинга).

    > И какая есть замена? Ansible + ZFS снэпшоты состояний системы?

    подписки/пакаджи/порты если есть необходимость тюнинга, зоны/жейлы, и да zfs снэпшоты.

    но это не смузихлёбно, так что расслабься и привыкай к тому, что в том, что не предназначено для изоляции - нашли очередную дырку в изоляции. вай-вай-вай. :-D

     
     
  • 8.96, Здрасти (?), 11:30, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так, а где ваши доказательства, что использовав zones в SmartOS на x86 получится... большой текст свёрнут, показать
     

  • 1.25, Аноним (25), 01:20, 19/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Развели грязь. Лучше бы скорость компиляции ускорили, чем блобы продвигать.
     
  • 1.88, Аноним (88), 09:34, 19/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Буквально на днях думал, как бы свалить со flatpak на чего-нибудь, потому что тащит много ненужных зависимостей (как раз этот вот sys-apps/xdg-desktop-portal). Думал про nix, но его конфигурация и документация вообще невменяемые.
     
     
  • 2.143, noc101 (ok), 02:52, 26/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Буквально на днях думал, как бы свалить со flatpak на чего-нибудь, потому
    > что тащит много ненужных зависимостей (как раз этот вот sys-apps/xdg-desktop-portal).
    > Думал про nix, но его конфигурация и документация вообще невменяемые.

    Обнови комп уже

     

  • 1.90, Аноним (-), 09:45, 19/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уязвимость во bwrap или во flatpak?
     
     
  • 2.91, Аноним (91), 09:52, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Уязвимость во bwrap или во flatpak?

    Во  flatpak, который не удаляет префикс "--" в имени программы при передаче аргументов bwrap и не добавляет " -- " для отделения опций bwrap от опций запускаемого приложения.

     
  • 2.97, Аноним (97), 11:42, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В XDG, которые и вяленый пропихивают
     

  • 1.98, Аноним (98), 12:16, 19/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Есть же божественный Appimage, он просто работает
    Моя личная проблема с флетпаками и снапами в том, что чтобы все заработало, нужно притащить в систему кучу пакетов, чтобы эти все флетпаки и снапы запустились
    С аппимаджем все просто работает из коробки, и для сценариев, когда хочется один файл без проблем с зависимостями, это идеальный вариает
     
     
  • 2.110, pic (?), 14:15, 19/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, и весит один appimage (klik) столько же сколько с зависимостями flatpak, притом ресурсы между разными appimage (klik) - неразделяемые. Я не критикую klik-формат, но развитие слабое, сообщества дистрибутивов не хотят его использовать, предпочитая dll hell.
     

  • 1.124, cheburnator9000 (ok), 20:35, 19/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://ludocode.com/blog/flatpak-is-not-the-future weekly reminder.
     
  • 1.126, Avririon (ok), 22:46, 19/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ни производительности, ни безопасности.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру