Pacman, der Paketmanager von Arch Linux, ist in Version 7.1 freigegeben worden. Die aktualisierte Ausgabe bringt primär Verbesserungen in den Bereichen Sicherheit, Sandbox-Containment und Reproduzierbarkeit von Builds.
Signaturprüfung erforderlich
So ist die Signaturprüfung jetzt standardmäßig zwingend aktiviert, was die Sicherheit beim Paketmanagement spürbar erhöht. Das bedeutet, Updates werden nur akzeptiert, wenn die Paketsignatur gültig und vertrauenswürdig ist. Benutzer erhalten Fehlermeldungen bei ungültigen oder fehlenden Signaturen, wodurch potenzielle Sicherheitsrisiken früh erkannt werden. Dabei kann es zu Blockaden bei Updates kommen, wenn der installierte Schlüsselbund nicht aktuell oder abgelaufen ist.
Sandbox-Steuerung aufgewertet
Die Sandbox-Steuerung wurde verfeinert. Pacman führt Operationen wie Paketinstallation, -aktualisierung und -entfernung in stark eingeschränkten, isolierten Umgebungen aus. Diese Einschränkungen verhindern, dass Pacman während des Paketmanagements mehr Rechte oder Zugriff erhäält als unbedingt nötig. Die überarbeiteten Sandbox-Parameter können in der Konfigurationsdatei pacman.conf feinjustiert werden, um Ausnahmen zu definieren oder zusätzliche Sicherheitsfeatures ein- oder auszuschalten.
Neue Flaggen
Systemaufrufe werden jetzt weiter eingeschränkt, das Flag NO_NEW_PRIVS verhindert eine ungewollte Rechtesausweitung. Durch das Setzen dieses Flags kann Pacman beim Ausführen von Operationen in einer Sandbox keine ungewollten Privilegien erhalten. Für die Verwaltung der Repositories, etwa bei der Funktion repo-add wurden die beiden neuen Flags -wait-for-lock und --remove eingeführt, die mehr Sicherheit beim Verwalten gleichzeitiger Repository-Aktualisierungen bieten und veraltete Pakete bei der Aktualisierung von Metadaten automatisch löschen.
Alle Änderungen zu Pacman 7.1 sind im Changelog nachverfolgen. Arch-Nutzer erhalten das Update demnächst bei einer Aktualisierung per pacman -Syu.
