包管理器发布 ,用于 Arch Linux 发行版。 从 可以区分:
- 对增量更新的支持已完全删除,只允许下载更改。 由于发现了漏洞,该功能已被删除(),它允许您在使用未签名的数据库时在系统中运行任意命令。 对于攻击,用户需要下载攻击者准备的带有数据库和增量更新的文件。 默认情况下,对增量更新的支持是禁用的,并且没有被广泛采用。 未来计划完全重写delta更新的实现;
- XferCommand 命令处理程序中的漏洞已修复(),在发生 MITM 攻击和未签名数据库的情况下,允许在系统中执行其命令;
- Makepkg 添加了连接处理程序的功能,用于下载源包并通过数字签名进行检查。 添加了对使用 lzip、lz4 和 zstd 算法的数据包压缩的支持。 添加了对使用 zstd 进行数据库压缩的支持以进行 repo-add。 即将推出 Arch Linux 默认切换为使用 zstd,与“xz”算法相比,这将加快压缩和解压缩数据包的操作,同时保持压缩级别;
- 可以使用 Meson 系统代替 Autotools 进行组装。 在下一个版本中,Meson将完全取代Autotools;
- 添加了对使用加载 PGP 密钥的支持 (WKD),其本质是将公钥放置在网络上,并带有指向邮政地址中指定域的链接。 例如,对于地址“[电子邮件保护]“可以通过链接“https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfc5ece9a5f94e6039d5a”下载密钥。 pacman、pacman-key 和 makepkg 中默认启用通过 WKD 加载密钥;
- “--force”选项已被删除,取而代之的是一年多前提出的“--overwrite”选项,该选项更准确地反映了操作的本质;
- 使用 -F 选项的文件搜索结果提供扩展信息,例如软件包组和安装状态。
来源: opennet.ru