Paketmanager-Version , wird in der Arch Linux-Distribution verwendet. Aus kann außeinandergehalten werden:
- Die Unterstützung für Delta-Updates wurde vollständig entfernt, so dass nur noch Änderungen heruntergeladen werden können. Die Funktion wurde aufgrund einer festgestellten Sicherheitslücke entfernt (), mit dem Sie bei Verwendung unsignierter Datenbanken beliebige Befehle im System ausführen können. Für einen Angriff ist es erforderlich, dass der Benutzer vom Angreifer vorbereitete Dateien mit einem Datenbank- und Delta-Update herunterlädt. Die Unterstützung für Delta-Updates war standardmäßig deaktiviert und fand keine breite Akzeptanz. Zukünftig ist geplant, die Implementierung von Delta-Updates komplett neu zu schreiben;
- Im XferCommand-Befehlshandler wurde eine Sicherheitslücke behoben (), was es im Falle eines MITM-Angriffs und einer nicht signierten Datenbank ermöglicht, die Ausführung seiner Befehle im System zu erreichen;
- Makepkg hat die Möglichkeit hinzugefügt, Handler zum Herunterladen von Quellpaketen und zur Überprüfung durch digitale Signatur zu verbinden. Unterstützung für Paketkomprimierung mit den Algorithmen lzip, lz4 und zstd hinzugefügt. Unterstützung für Datenbankkomprimierung mit zstd zum Repo-Add hinzugefügt. Bald verfügbar für Arch Linux Standardmäßig auf die Verwendung von zstd umstellen, was im Vergleich zum „xz“-Algorithmus die Komprimierungs- und Dekomprimierungsvorgänge von Paketen beschleunigt und gleichzeitig die Komprimierungsstufe beibehält;
- Es ist möglich, das Meson-System anstelle von Autotools zu verwenden. In der nächsten Version wird Meson Autotools vollständig ersetzen;
- Unterstützung für das Laden von PGP-Schlüsseln mit hinzugefügt (WKD), dessen Kern darin besteht, öffentliche Schlüssel mit einem Link zu der in der Postanschrift angegebenen Domain im Web zu platzieren. Zum Beispiel für die Adresse „[E-Mail geschützt] „Der Schlüssel kann über den Link „https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfc5ece9a5f94e6039d5a“ heruntergeladen werden. Das Laden von Schlüsseln über WKD ist in Pacman, Pacman-Key und Makepkg standardmäßig aktiviert;
- Die Option „--force“ wurde entfernt, stattdessen wurde vor mehr als einem Jahr die Option „--overwrite“ vorgeschlagen, die das Wesentliche der Operation genauer widerspiegelt;
- Dateisuchergebnisse mit der Option -F bieten erweiterte Informationen wie Paketgruppe und Installationsstatus.
Source: opennet.ru