O gerenciador de pacotes Pacman 5.2 para sistemas Arch Linux agora está disponível com diversas alterações em relação às versões anteriores. Então, confira os detalhes do Pacman 5.2 do Arch Linux que acaba de ser lançado.
O Pacman 5.2 descarta notavelmente o suporte a pacotes delta – a capacidade de baixar o que mudou entre as versões atual e nova dos pacotes. Os pacotes e atualizações Delta devem gerar economia de tempo e largura de banda devido ao download apenas do “diff” entre as versões do pacote. Porém, no final das contas, a implementação atual não funcionou bem. O manuseio de pacotes delta da Pacman resultou em economia mínima de largura de banda e acabou abrindo uma brecha na segurança.
Lançado o Pacman 5.2 do Arch Linux
Allan McRae explicou o problema de segurança:
Essencialmente, um banco de dados de pacotes mal-intencionados em combinação com pacotes delta pode executar comandos arbitrários no seu sistema. Isso seria menos problemático se uma determinada distribuição Linux assinasse seus bancos de dados de pacotes… Enfim, no geral, eu julgava melhor remover completamente esse recurso. Podemos voltar a isso no futuro com uma implementação diferente, mas eu não esperaria isso tão cedo.
O Pacman 5.2 também suporta o download de chaves PGP usando o Web Key Directory, no processo de alteração do sistema de compilação do Pacman de Autotools para Meson, e muitas outras alterações. Entre outras alterações, há suporte para pacotes compactados Zstd para Arch, Lzip e LZ4. O Arch Linux alternará o zst por padrão em um futuro próximo. O B2sum também foi adicionado como um novo algoritmo de soma de verificação.
Mais detalhes sobre o Pacman 5.2 através do anúncio de lançamento.
Fonte: Phoronix