- การสนับสนุนการอัปเดตเดลต้าได้ถูกลบออกไปแล้ว โดยอนุญาตให้ดาวน์โหลดได้เฉพาะการเปลี่ยนแปลงเท่านั้น คุณลักษณะนี้ถูกลบออกเนื่องจากมีการระบุช่องโหว่ (
CVE-2019-18183 ) ซึ่งช่วยให้คุณเรียกใช้คำสั่งที่กำหนดเองในระบบเมื่อใช้ฐานข้อมูลที่ไม่ได้ลงนาม สำหรับการโจมตี ผู้ใช้จำเป็นต้องดาวน์โหลดไฟล์ที่ผู้โจมตีเตรียมไว้พร้อมฐานข้อมูลและการอัปเดตเดลต้า การสนับสนุนการอัปเดตเดลต้าถูกปิดใช้งานโดยค่าเริ่มต้นและไม่ได้ใช้กันอย่างแพร่หลาย ในอนาคต มีการวางแผนที่จะเขียนการใช้งานการอัปเดตเดลต้าใหม่ทั้งหมด - ช่องโหว่ได้รับการแก้ไขแล้วในตัวจัดการคำสั่ง XferCommand (
CVE-2019-18182 ) อนุญาตให้ดำเนินการตามคำสั่งในระบบได้ในกรณีที่มีการโจมตี MITM และฐานข้อมูลที่ไม่ได้ลงนาม - Makepkg ได้เพิ่มความสามารถในการเชื่อมต่อตัวจัดการเพื่อดาวน์โหลดแพ็คเกจต้นทางและตรวจสอบด้วยลายเซ็นดิจิทัล เพิ่มการรองรับการบีบอัดแพ็กเก็ตโดยใช้อัลกอริธึม lzip, lz4 และ zstd เพิ่มการรองรับการบีบอัดฐานข้อมูลโดยใช้ zstd เพื่อเพิ่ม repo-add เร็วๆ นี้สำหรับ Arch Linux
ที่คาดหวัง การเปลี่ยนมาใช้ zstd เป็นค่าเริ่มต้นซึ่งเมื่อเปรียบเทียบกับอัลกอริธึม "xz" จะทำให้การดำเนินการบีบอัดและขยายแพ็กเก็ตเร็วขึ้นในขณะที่ยังคงรักษาระดับการบีบอัดไว้ - สามารถประกอบโดยใช้ระบบ Meson แทน Autotools ได้ ในรุ่นถัดไป Meson จะมาแทนที่ Autotools โดยสมบูรณ์
- เพิ่มการรองรับการโหลดคีย์ PGP โดยใช้ไฟล์
ไดเร็กทอรีคีย์เว็บ (WKD) สิ่งสำคัญคือการวางกุญแจสาธารณะบนเว็บพร้อมลิงก์ไปยังโดเมนที่ระบุในที่อยู่ทางไปรษณีย์ ตัวอย่างเช่น สำหรับที่อยู่ "[ป้องกันอีเมล]"สามารถดาวน์โหลดรหัสได้ผ่านลิงก์"https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfc5ece9a5f94e6039d5a" การโหลดคีย์ผ่าน WKD ถูกเปิดใช้งานตามค่าเริ่มต้นใน pacman, pacman-key และ makepkg - ตัวเลือก "--บังคับ" ถูกลบออกแล้ว แทนที่จะเสนอตัวเลือก "--เขียนทับ" ซึ่งสะท้อนถึงสาระสำคัญของการดำเนินการได้แม่นยำยิ่งขึ้นเมื่อกว่าปีที่แล้ว
- ผลลัพธ์การค้นหาไฟล์โดยใช้ตัวเลือก -F จะให้ข้อมูลเพิ่มเติม เช่น กลุ่มแพ็กเกจและสถานะการติดตั้ง
ที่มา: opennet.ru