La scorsa settimana stavamo parlando le notizie rilasciate dagli sviluppatori di Arch Linux per includere supporto per l'algoritmo di compressione zstd a partire dalla versione 5.2 di Pacman. E bene solo poche ore fa è stata rilasciata la nuova versione dall'amministratore Pacchetti Pacman 5.2
Per coloro che non conoscono Pacman, dovrebbero saperlo questo è il gestore di pacchetti di Arch Linux, è in grado di risolvere le dipendenze e scaricare e installare automaticamente tutti i pacchetti necessari. In teoria, l'utente deve solo eseguire un singolo comando per aggiornare completamente il sistema.
Pacman utilizza file compressi in tar e compressi in gzip o xz per tutti i pacchetti, ognuno dei quali contiene binari compilati. I pacchetti vengono scaricati tramite FTP, è inoltre possibile utilizzare HTTP e file locali, a seconda di come è configurato ciascun repository. Conforme al Linux Arch Build System (ABS) utilizzato per creare pacchetti dal codice sorgente.
Principali novità di Pacman 5.2
Con il lancio di questa nuova versione di Pacman 5.2, possiamo scoprire che una delle novità più importanti è l'inclusione dell'algoritmo zstd that, rispetto all'algoritmo "xz", accelerare la compressione e il disimballaggio dei pacchetti, preservando il livello di compressione.
Insieme a cui aggiunta la possibilità di connettere i gestori a makepkg per scaricare i pacchetti sorgente e verificare tramite firma digitale. Inoltre, è stato aggiunto anche il supporto per la compressione dei pacchetti utilizzando gli algoritmi lzip e lz4.
Nel caso di Repo-add, spicca il supporto aggiunto per la compressione del database utilizzando zstd. Nel prossimo futuro, Arch Linux prevede una transizione predefinita all'utilizzo di zstd.
Un altro cambiamento in Pacman 5.2 è quello il supporto per gli aggiornamenti delta è stato completamente rimosso, permettendoti di scaricare solo le modifiche. La capacità è stata rimossa a causa di una vulnerabilità (CVE-2019-18183), che consente l'esecuzione di comandi arbitrari sul sistema quando si utilizzano database non firmati.
Per un attacco, è necessario che l'utente scarichi i file preparati dall'aggressore con il database e l'aggiornamento delta. Il supporto per gli aggiornamenti delta era disabilitato per impostazione predefinita e non era ampiamente utilizzato. In futuro, si prevede di riscrivere completamente l'implementazione degli aggiornamenti delta.
D'altra parte anche è evidenziato il supporto per il download di chiavi PGP utilizzando Web Key Directory (WKD), la cui essenza è posizionare le chiavi pubbliche sul web con un collegamento al dominio specificato nell'indirizzo di posta elettronica.
Un altro cambiamento che vale la pena tenere in considerazione è che in questa nuova versione di Pacman 5.2 opzione "–force" rimossa poiché con il suo utilizzo può verificarsi la possibilità di avere problemi con le dipendenze. Ora invece dell'opzione "–sovrascrivi" viene offerta. riflettere in modo più accurato.
Mentre per i risultati della ricerca di file con l'opzione "-F" vengono fornite informazioni estese come il gruppo di pacchetti e lo stato dell'installazione.
Infine, vale anche la pena ricordare che con il rilascio di Pacman 5.2, è stata corretta una vulnerabilità nel gestore dei comandi XferCommand (CVE-2019-18182), che consente a un attacco MITM e un database non firmato di ottenere l'esecuzione dei comandi sul sistema .
E che con Pacman 5.2 è possibile costruire utilizzando il sistema Meson invece di Autotools. Nella prossima versione, Meson sostituirà completamente Autotools.
Aggiorna Pacman alla nuova versione
In questi momenti in cui è stato scritto l'articolo la nuova versione di Pacman non è stata ancora rilasciata nei repository di Arch Linux, quindi l'unico modo per avere questa nuova versione di Pacman 5.2 nel nostro sistema es scaricando e compilando il relativo codice sorgente sul nostro computer.
Per gli avventurieri a cui piacciono le build, possono ottenere il codice Pacman 5.2 dal link sottostante.
Nel frattempo, per gli altri, è ora di attendere la notifica in Octopi o attendere che l'aggiornamento si rifletta all'interno dei repository di Arch Linux.