Выпуск пакетного менеджера Pacman 5.221.10.2019 23:30

Доступен релиз пакетного менеджера Pacman 5.2, применяемого в дистрибутиве Arch Linux. Из изменений можно выделить:

  • Полностью удалена поддержка delta-обновлений, позволяющих загружать только изменения. Возможность удалена из-за выявления уязвимости (CVE-2019–18183), позволяющей осуществить запуск произвольных команд в системе при использовании неподписанных БД. Для атаки необходимо чтобы пользователь загрузил подготовленные атакующим файлы с БД и delta-обновлением. Поддержка delta-обновлений была отключена по умолчанию и не получила широкого распространения. В будущем планируется полностью переписать реализацию delta-обновлений;
  • В обработчике команды XferCommand устранена уязвимость (CVE-2019–18182), позволяющая при MITM-атаке и неподписанной БД добиться выполнения своих команд в системе;
  • В makepkg добавлена возможность подключения обработчиков для загрузки исходных пакетов и проверки по цифровой подписи. Добавлена поддержка сжатия пакетов с использованием алгоритмов lzip, lz4 и zstd. В repo-add добавлена поддержка сжатия БД с использованием zstd. В ближайшее время в Arch Linux ожидается переход по умолчанию на использование zstd, что по сравнению с алгоритмом «xz» позволит ускорить операции сжатия и распаковки пакетов, сохранив при этом уровень сжатия;
  • Обеспечена возможность сборки с использованием системы Meson вместо Autotools. В следующем выпуске Meson полностью заменит Autotools;
  • Добавлена поддержка загрузки PGP-ключей c использованием механизма Web Key Directory (WKD), суть работы которого заключается в размещении открытых ключей в web c привязкой к домену, указанному в почтовом адресе. Например, для адреса «test@example.com» ключ может быть загружен через ссылку «https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfc5ece9a5f94e6039d5a». Загрузка ключей через WKD включена по умолчанию в pacman, pacman-key и makepkg;
  • Удалена опция »--force», вместо которой более года назад была предложена более точно отражающая суть операции опция »--overwrite»;
  • В результатах поиска файлов с использованием опции »-F» обеспечен вывод расширенной информации, такой как группа пакета и статус установки.



Источник: http://www.opennet.ru/opennews/art.shtml? num=51722

© OpenNet