add --new-session flag
authorRalf Jung <post@ralfj.de>
Mon, 15 Apr 2024 13:21:02 +0000 (15:21 +0200)
committerRalf Jung <post@ralfj.de>
Mon, 15 Apr 2024 13:21:02 +0000 (15:21 +0200)
Thanks to sloonz for pointing out the issue of terminal injection

profiles.py

index 8505fe6bae200e558127f1ba8b81dc80a80038cc..cf878455ab4d95ee9f7896c8d8cc08bffd73c4d2 100644 (file)
@@ -8,6 +8,8 @@ DEFAULT = collect_flags(
   # A different hostname is useful to be able to see when we are inside the sandbox.
   # However, some applications will not like this unless the hostname also exists in `/etc/hosts`!
   bwrap_flags("--unshare-uts", "--hostname", "bubblebox"),
   # A different hostname is useful to be able to see when we are inside the sandbox.
   # However, some applications will not like this unless the hostname also exists in `/etc/hosts`!
   bwrap_flags("--unshare-uts", "--hostname", "bubblebox"),
+  # Make sure the sandbox cannot inject commands into the host terminal.
+  bwrap_flags("--new-session"),
   # basic directories
   bwrap_flags("--proc", "/proc", "--dev", "/dev", "--dir", "/tmp", "--dir", "/var", "--dir", "/run", "--symlink", "../run", "/var/run"),
   # an empty XDG_RUNTIME_DIR
   # basic directories
   bwrap_flags("--proc", "/proc", "--dev", "/dev", "--dir", "/tmp", "--dir", "/var", "--dir", "/run", "--symlink", "../run", "/var/run"),
   # an empty XDG_RUNTIME_DIR