Rozmawialiśmy w zeszłym tygodniu nowości opublikowane przez deweloperów Arch Linux obejmują obsługa algorytmu kompresji zstd od wersji Pacman 5.2. I dobrze zaledwie kilka godzin temu ukazała się nowa wersja administrator Pakiety Pacman 5.2
Ci, którzy nie wiedzą o Pacmanie, powinni to wiedzieć to jest menedżer pakietów Arch Linux, jest w stanie rozwiązać zależności oraz automatycznie pobrać i zainstalować wszystkie niezbędne pakiety. Teoretycznie użytkownik musi wykonać tylko jedno polecenie, aby w pełni zaktualizować system.
Pacman używa plików spakowanych w tar i skompresowanych w gzip lub xz dla wszystkich pakietów, z których każdy zawiera skompilowane pliki binarne. Pakiety są pobierane przez FTP, możesz także używać HTTP i plików lokalnych, w zależności od konfiguracji każdego repozytorium. Zgodny z systemem Linux Arch Build System (ABS) używanym do tworzenia pakietów z kodu źródłowego.
Główne nowości Pacmana 5.2
Wraz z uruchomieniem tej nowej wersji Pacman 5.2 możemy stwierdzić, że jedną z najwybitniejszych nowości jest włączenie algorytmu zstd thatw porównaniu z algorytmem „xz”, przyspieszyć kompresję i rozpakowywanie pakietów, zachowując poziom kompresji.
Wraz z którym dodano możliwość łączenia menedżerów z makepkg w celu pobierania pakietów źródłowych i weryfikacji za pomocą podpisu cyfrowego. Ponadto dodano obsługę kompresji pakietów przy użyciu algorytmów lzip i lz4.
W przypadku Repo-add wyróżnia się dodana obsługa kompresji bazy danych za pomocą zstd. W najbliższej przyszłości Arch Linux spodziewa się domyślnego przejścia na używanie zstd.
Inną zmianą w Pacman 5.2 jest to obsługa aktualizacji delta została całkowicie usunięta, umożliwiając pobranie tylko zmian. Pojemność została usunięta ze względu na lukę (CVE-2019-18183), która umożliwia wykonywanie w systemie dowolnych poleceń podczas korzystania z niepodpisanych baz danych.
Do ataku konieczne jest pobranie przez użytkownika plików przygotowanych przez atakującego wraz z bazą danych i aktualizacją delta. Obsługa aktualizacji delta była domyślnie wyłączona i nie była powszechnie używana. W przyszłości planowane jest całkowite przepisanie implementacji aktualizacji delta.
Z drugiej strony też podświetlona jest obsługa pobierania kluczy PGP przy użyciu Web Key Directory (WKD), którego istotą jest umieszczanie w sieci kluczy publicznych z linkiem do domeny podanej w adresie e-mail.
Kolejną zmianą, którą warto wziąć pod uwagę, jest to, że w nowej wersji Pacman 5.2 usunięto opcję „–force” ponieważ przy jego użyciu mogą wystąpić problemy z zależnościami. Teraz zamiast opcji „–Nadpis” jest oferowana. odzwierciedlają dokładniej.
Natomiast dla wyników wyszukiwania plików z opcją „-F” podajemy rozszerzone informacje, takie jak grupa pakietów i stan instalacji.
Na koniec warto również wspomnieć, że wraz z wydaniem Pacmana 5.2 naprawiono lukę w obsłudze poleceń XferCommand (CVE-2019-18182), która umożliwia atakowi MITM i niepodpisanej bazie danych wykonanie poleceń w systemie .
I że w Pacman 5.2 można budować używając systemu Meson zamiast Autotools. W następnej wersji Meson całkowicie zastąpi Autotools.
Zaktualizuj Pacmana do nowej wersji
W tych momentach, w których artykuł został napisany nowa wersja Pacmana nie została jeszcze wydana w repozytoriach Arch Linux, więc jedyny sposób, aby mieć tę nową wersję Pacman 5.2 w naszym systemie is poprzez pobranie i kompilację kodu źródłowego na naszym komputerze.
Dla poszukiwaczy przygód, którzy lubią kompilacje, mogą otrzymać kod Pacman 5.2 z linku poniżej.
Tymczasem dla pozostałych czas poczekać na powiadomienie w Octopi lub poczekać, aż aktualizacja zostanie odzwierciedlona w repozytoriach Arch Linux.