После более года разработки представлен (http://lists.gnu.org/archive/html/info-gnu/2019-01/msg00001....) новый стабильный релиз архиватора GNU Tar 1.31 (https://www.gnu.org/software/tar/). В новом выпуске реализована поддержка алгоритма сжатия данных zstd (https://www.opennet.dev/opennews/art.shtml?num=45058) (Zstandard), который демонстрирует в 3-5 раз более высокую скорость сжатия по сравнению с zlib/Deflate и в два раза более быструю распаковку, при улучшении уровня сжатия на 10-15%. Для использования нового алгоритма при сжатии предложена  опция '--zstd'. При распаковке применение zstd распознаётся автоматически. Кроме того, Zstd  используется при указании для файлов расширений '.zst' и '.tzst'.

В новом выпуске также устранена уязвимость CVE-2018-20482 (https://security-tracker.debian.org/tracker/CVE-2018-20482), которая приводила к зависанию при попытке создания архива с опцией "--sparse", если во время помещения в архив файла с пустотами, урезать размер этого файла. Уязвимость может применяться для блокирования операций системного резервного копирования непривилегированными пользователями. Кроме того в новом выпуске устранено переполнение буфера, возникающее при использовании опции "--one-top-level".

URL: http://lists.gnu.org/archive/html/info-gnu/2019-01/msg00001....
Новость: https://www.opennet.dev/opennews/art.shtml?num=49893

• Релиз GNU tar 1.31,Аноним, 09:58 , 03-Янв-19
  • Релиз GNU tar 1.31,Аноним, 10:05 , 03-Янв-19
  • Релиз GNU tar 1.31,Аноним, 21:16 , 03-Янв-19
• Релиз GNU tar 1.31,Аноним, 10:08 , 03-Янв-19
• Релиз GNU tar 1.31,Michael Shigorin, 13:22 , 03-Янв-19
  • Релиз GNU tar 1.31,ПДК, 18:42 , 03-Янв-19
• Релиз GNU tar 1.31,Аноним, 15:37 , 03-Янв-19
  • Релиз GNU tar 1.31,Тот_Самый_Анонимус, 19:47 , 03-Янв-19
    • Релиз GNU tar 1.31,анним, 20:14 , 03-Янв-19
      • Релиз GNU tar 1.31,анним, 20:15 , 03-Янв-19
      • Релиз GNU tar 1.31,Тот_Самый_Анонимус, 23:16 , 04-Янв-19
        • Релиз GNU tar 1.31,анним, 13:40 , 05-Янв-19
  • (offtopic) про неприятие отечественного,Michael Shigorin, 22:26 , 03-Янв-19
• Релиз GNU tar 1.31,Аноним, 10:10 , 04-Янв-19
  • Релиз GNU tar 1.31,Аноним, 10:10 , 04-Янв-19
    • Релиз GNU tar 1.31,Аноним, 10:21 , 04-Янв-19

Почему за сжатие данных отвечает tar? Это же не unix-way!

Он за них не отвечает, олёша.
Он просто понимает чем (должен быть) сжат файл (с помощью параметров командной строки или по суффиксу) и вызывает соответствующий фильтр (унутрях себя делает форк, подсоединяет stdin/stdout и делает exec gzip/bzip2/xz/zstd). По сути, это всё, что делает тар про сжатие.

tar != rar ;)

Zstd, к слову, весьма неплох, даже в кейсе "сжатие однократно, распаковка отднократна".
Для разовой передачи данных по медленному каналу ничего лучше не нашел, с требованием минимального времени на сжатие.

> 2019-01/msg00001

Кстати (посматривая на соседнюю новость про mc), и тут наш соотечественник отметился.

А некоторые горластые всё вопят -- "да их не видно, да их не видно".  Глаза бы разули, что ли.

Ты на ANNA-News уже отметился.

Миш, наши соотечественники конечно молодцы, что выпускают дистрибутивы типа альта и учавствуют в мейнстрим-проектах, но вот когда до ума будем все доводить. Народ не просто так отечественное критикует.:) Например, что мне не понравилось в альте:
- нет дисков с сырцами, версии которых бы точно соответствовали бинарным пакетам на диске с дистрибутивом и приходится их из гита доставать. Можно конечно автоматизировать, но часто приходится вручную из-за ряда особенностей процесса. А когда на диске 2-3 тысячи пакетов - это утомляет.
- нет деления по степени свободности аля Debian - main, contrib, nonfree. Хочется точно отмерять дозу проприетарщины. Но это может оказаться не багом, а фичей. Как сказали тут - или дистрибутив изначально свободен. Или он изначально несвободен. И неважно из какого кармана, рукава, ящика это все достается. Хорошо хоть debug вынесли в отдельную репу.
- нет как у Дебиана полного комплекта dist-arta - обложек для печати дисков и вкладышей, картинок и т.п. под свободной лицензией.

Я хоть и не Шигорин, но отвечу на некоторое.

>Хочется точно отмерять дозу проприетарщины.

Со столлмановским понятием свободы — к столлману, нормальных людей незачем отвлекать ерундой всякой.

>Как сказали тут - или дистрибутив изначально свободен. Или он изначально несвободен.

Любой линух несвободен, ибо гпл. Более свободные лицензии, типа БСД, сильно критикуются кураторами.
Опять же — за столлмановской «свободой — к столлману».

>- нет как у Дебиана полного комплекта dist-arta - обложек для печати дисков и вкладышей, картинок и т.п. под свободной лицензией.

Мда. Очень важная вещь. Опять же про свободу я дважды выше написал.

Коммунизм по определению предполагает некоторые незначительные свободы, ради предотвращения значительных.

oops... незначительные ограничения свободы...

> Коммунизм по определению предполагает некоторые незначительные свободы, ради предотвращения  значительных.

При чём тут коммунизм? Столлманизм не равен коммунизм.

А, ну воинственный... со своими экспортными ограничениями)

> Миш, наши соотечественники конечно молодцы, что [...]
> участвуют в мейнстрим-проектах

Всё-таки здесь "апстрим" -- от англ. upstream, "вверх по течению".

> но вот когда до ума будем все доводить.

Так вот и доводим -- кто glibc, кто tar, кто мелкие рюшики в исошках.

> [...] Например, что мне не понравилось в альте:
> - нет дисков с сырцами, версии которых бы точно соответствовали
> бинарным пакетам на диске с дистрибутивом и приходится их из гита
> доставать. Можно конечно автоматизировать, но часто приходится
> вручную из-за ряда особенностей процесса.
> А когда на диске 2-3 тысячи пакетов - это утомляет.

Их делали в составе "толстых" дистрибутивов примерно до 2.4 (~2004), когда вытащить что-либо объёмное было, как правило, сложно/дорого.  Дальше некоторое время -- до 4.1, помнится -- делали соответствующий исошкам репозиторий вместе с исошками.  Дальше решили, что архива на git.altlinux.org достаточно и вроде как Вы первый, кто сказал, что нет.

По возможности черкните мне почтой с уточнением того, что дальше с исходниками делаете -- в зависимости от задач можно попробовать несколько разных вариантов (в первую очередь -- надо ли соответствовать именно исошкам или исошкам плюс обновлениям, а также если srpm собран из git -- то нужен ли srpm или уже git, точнее, gear repo).

Такая работа проделывается для сертифицированных выпусков (и оскриптована), но тамошние требования довольно специфичны.

> - нет деления по степени свободности аля Debian - main, contrib, nonfree.

Это да; обсуждения несколько лет как заглохли, их можно найти на search.altlinux.org по вот этим трём ключевым словам плюс-минус "RPMS.media".

> Хочется точно отмерять дозу проприетарщины. Но это может оказаться
> не багом, а фичей. Как сказали тут - или дистрибутив изначально
> свободен. Или он изначально несвободен.

Тут скорее "регулятор", да.  Ну и я не знаю изначально свободных от, скажем, вложенных функций дистрибутивов.

> - нет как у Дебиана полного комплекта dist-arta - обложек для печати
> дисков и вкладышей, картинок и т.п. под свободной лицензией.

Да, это особенность дебиана.  Может, ещё N малого стоящих рассмотрения дистрибутивов.  Около альта схожие обсуждения бывали тогда, когда печатать и продавать диски могло быть выгодно, т.е. лет пятнадцать назад; а сейчас есть branding.git для "нутра" дистрибутивов, но внутри страшненькие -- до них руки обычно доходят уже ближе к выпуску и взять да разгрести накопившиеся авгиевы конюшни (как это в 2010 году начал делать с дистрибутивными профилями, из чего появились mkimage-profiles года через три в конкурентном виде) никто пока не решился, разве что Черепанов в своём форке малость привёл в порядок...

PS: спасибо за конструктив, но лучше бы его всё-таки продолжать или в почте, или в какой-нибудь теме про альт: здесь всё-таки офтопик, согласитесь.  У нас для таких обсуждений есть рассылка smoke-room@ или, скажем, "бардачок" на форуме: forum.altlinux.org/?board=21.0

предыстория багфикса CVE-2018-20482

ссылка отклеилась
https://habr.com/post/434624/

Исходная публикация: https://utcc.utoronto.ca/~cks/space/blog/sysadmin/TarFinding...