Ya disponible la nueva versión del administrador de paquetes Pacman 5.2
La semana pasada hablábamos sobre la noticia que dieron a conocer los desarrolladores de Arch Linux de incluir el soporte para el algoritmo de compresión zstd a partir de la versión de Pacman 5.2. Y bien justamente hace pocas horas fue liberada la nueva versión del administrador de paquetes Pacman 5.2
Para quienes desconozcan de Pacman, deben saber que este es el gestor de paquetes de Arch Linux, es capaz de resolver las dependencias, y descargar e instalar automáticamente todos los paquetes necesarios. En teoría, el usuario solo necesita ejecutar una única orden para actualizar por completo el sistema.
Pacman utiliza archivos empaquetados en tar y comprimidos en gzip o xz para todos los paquetes, cada uno de los cuales contiene binarios compilados. Los paquetes son descargados a través de FTP, también se puede utilizar HTTP y archivos locales, dependiendo de cómo esté configurado cada repositorio. Cumple con Linux Arch Build System (ABS) utilizados para crear los paquetes desde el código fuente.
Principales novedades de Pacman 5.2
Con el lanzamiento de esta nueva versión de Pacman 5.2, podremos encontrar que como una de las novedades más destacadas es la inclusión del algoritmo zstd que, en comparación con el algoritmo “xz”, acelerará la compresión y el desempaquetado de paquetes, al tiempo que preserva el nivel de compresión.
Junto con lo cual se agregó la capacidad de conectar los gestores a makepkg para descargar paquetes fuente y verificar mediante firma digital. Además también se añadió soporte para la compresión de paquetes usando los algoritmos lzip y lz4.
Para el caso de Repo-add, se destaca el soporte añadido para la compresión de la base de datos usando zstd. En un futuro próximo, Arch Linux espera una transición predeterminada al uso de zstd.
Otro de los cambios en Pacman 5.2 es que se eliminó por completo la compatibilidad con las actualizaciones delta, lo que le permite descargar solo los cambios. La capacidad se ha eliminado debido a una vulnerabilidad (CVE-2019-18183), que permite ejecutar comandos arbitrarios en el sistema cuando se utilizan bases de datos sin firmar.
Para un ataque, es necesario que el usuario descargue los archivos preparados por el atacante con la base de datos y la actualización delta. El soporte para actualizaciones delta estaba deshabilitado de manera predeterminada y no se usaba ampliamente. En el futuro, se planea reescribir completamente la implementación de actualizaciones delta.
Por otro lado también se destaca el soporte para descargar claves PGP utilizando Web Key Directory (WKD), cuya esencia es colocar claves públicas en la web con un enlace al dominio especificado en la dirección de correo.
Otro de los cambios que vale la pena tomar en cuenta, es que en esta nueva versión de Pacman 5.2 se eliminó la opción “–force” dado que con su uso puede ocurrir la posibilidad de tener problemas con las dependencias. Ahora en su lugar de se ofrece la opción “–overwrite” que reflejara con mayor precisión.
Mientras que para los resultados de búsqueda de archivos con la opción “-F” proporcionan información ampliada, como el grupo de paquetes y el estado de la instalación.
Finalmente también vale la pena mencionar que con la liberación de Pacman 5.2, una vulnerabilidad se ha corregido en el controlador de comandos XferCommand (CVE-2019-18182), que permite un ataque MITM y una base de datos sin firmar para lograr la ejecución de sus comandos en el sistema.
Y que con Pacman 5.2 es posible construir usando el sistema Meson en lugar de Autotools. En la próxima versión, Meson reemplazará por completo a Autotools.
Actualizar Pacman a la nueva versión
En estos momentos en el que fue escrito el articulo la nueva versión de Pacman aún no ha sido liberada en los repositorios de Arch Linux, por lo que la única manera de tener esta nueva versión de Pacman 5.2 en nuestro sistema es descargando y compilando el código fuente de este en nuestro equipo.
Para los aventureros que gustan de las compilaciones, pueden obtener el código de Pacman 5.2 desde el siguiente enlace.
Mientras tanto para los demás, toca esperar a la notificación en Octopi o esperar a que se refleje la actualización dentro de los repositorios de Arch Linux.