套件管理器發布 ,用於 Arch Linux 發行版。 從 可以區分:
- 對增量更新的支援已完全刪除,只允許下載變更。 由於發現了漏洞,該功能已被刪除(),它允許您在使用未簽名的資料庫時在系統中運行任意命令。 對於攻擊,用戶需要下載攻擊者準備的帶有資料庫和增量更新的檔案。 預設情況下,對增量更新的支援處於停用狀態,並且並未廣泛使用。 未來計劃完全重寫delta更新的實現;
- XferCommand 命令處理程序中的漏洞已修復(),在發生 MITM 攻擊和未簽署資料庫的情況下,允許在系統中執行其命令;
- Makepkg 增加了連接處理程序的功能,用於下載來源包並透過數位簽章進行檢查。 新增了對使用 lzip、lz4 和 zstd 演算法的資料包壓縮的支援。 新增了對使用 zstd 進行資料庫壓縮的支援以進行 repo-add。 即將推出 Arch Linux 預設切換為使用 zstd,與“xz”演算法相比,這將加快壓縮和解壓縮資料包的操作,同時保持壓縮等級;
- 可以使用 Meson 系統取代 Autotools 進行組裝。 在下一個版本中,Meson將完全取代Autotools;
- 新增了對使用載入 PGP 金鑰的支持 (WKD),其本質是將公鑰放置在網路上,並帶有指向郵政地址中指定網域的連結。 例如,對於地址“[電子郵件保護]「可以透過連結「https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfc5ece9a5f94e6039d5a」下載金鑰。 pacman、pacman-key 和 makepkg 中預設啟用透過 WKD 載入金鑰;
- 「--force」選項已被刪除,取而代之的是一年多前提出的「--overwrite」選項,該選項更準確地反映了操作的本質;
- 使用 -F 選項的文件搜尋結果提供擴展訊息,例如軟體包組和安裝狀態。
來源: opennet.ru