Snapd 2.67.1版本发布：关键安全与兼容性更新

项目简介

Snapd是Linux系统中用于管理snap软件包的核心后台服务，作为Canonical公司推出的通用软件打包格式解决方案的核心组件。它负责处理snap包的安装、运行、更新及权限管理等核心功能，为现代Linux系统提供安全、可靠的软件分发机制。

版本亮点

Snapd 2.67.1版本主要针对系统安全性和硬件兼容性进行了多项重要改进，这些更新对于系统管理员和开发者都具有重要意义。

关键安全修复

本次更新最值得关注的是对AppArmor权限系统的多项调整：

1. 内核模块与固件访问修复：特别针对Ubuntu Core 24系统，修正了snap应用访问内核模块和固件的权限问题。这一修复同时解决了kernel-modules-control接口在UC24上的功能问题，确保了需要直接与硬件交互的应用能够正常运行。

2. 路径模式安全强化：在实验性的AppArmor提示功能中，现在明确禁止使用"/./"和"/../"这类可能被用于路径遍历攻击的模式，进一步增强了系统的安全性。

系统兼容性增强

3. 用户查找机制修复：解决了当系统PATH环境变量配置异常时，'snap run'命令基于getent的用户查找功能失效的问题。这一修复确保了在系统环境异常情况下，snap应用仍能正确识别和加载用户配置。

4. 系统调用支持扩展：基础模板中新增了对多个现代系统调用的支持，包括：

   • 硬件观察接口增加了对riscv_hwprobe系统调用的支持，提升了在RISC-V架构硬件上的兼容性
   • 挂载观察接口现在支持listmount和statmount系统调用，为文件系统监控工具提供了更完善的支持

技术意义

这些更新从多个维度提升了snap生态系统的稳定性和安全性：

• 硬件兼容性：特别是对RISC-V架构和内核模块访问的支持，使得snap应用能够在更多样化的硬件环境中稳定运行。
• 安全边界：通过限制潜在的路径遍历可能性和精确控制硬件访问权限，进一步强化了snap的沙箱安全模型。
• 系统鲁棒性：修复了在异常系统配置情况下的用户识别问题，提高了snapd在各种环境下的可靠性。

升级建议

对于系统管理员和开发者，建议尽快安排升级到2.67.1版本，特别是：

• 使用Ubuntu Core 24系统的设备
• 开发或使用需要内核模块访问权限的snap应用
• 在RISC-V架构硬件上部署snap应用的环境

这次更新虽然是一个小版本迭代，但包含了对系统底层功能的重要修复和增强，是维护系统稳定性和安全性的重要一步。