Вышла новая версия FTP-сервера vsftpd 3.0.0. Главной особеностью релиза является реализация нового sandbox-режима, изолирующего выполнение процесса с использованием seccomp-фильтра.
Фильтр seccomp позволяет реализовать новый механизм изоляции на уровне системных вызовов. Принцип работы фильтра seccomp сводится к ограничению доступа к системным вызовам, а логика выставляемых ограничений задаётся на уровне защищаемого приложения.
Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов.
Программа сама определяет, какие системные вызовы ей необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего.