社区软件源签名迭代公告
先前使用的密钥已于 UTC+8 时间 2025 年 4 月 18 日 12 时正式弃用。为方便新用户,我们已在 4 月中旬发布一批新的系统安装镜像并包含上述的新公钥。
如果您在更新安同 OS 或安装软件时遇到困难,请于我社各聊天群组与我们联系反馈、获取支持。
迭代原因
自 Ubuntu 24.10 及 APT 2.8 发布后更新了 APT 加密签名算法要求,而我社先前使用的软件源 GPG 公钥算法 (nistp521) 已不再符合新要求;新要求中列出的算法包括:
— 2048 位以上的 RSA
— Ed25519
— Ed448
为解决该问题并推动 APT 运行时及工具迭代更新,我们已于上周通过
先前使用的密钥已于 UTC+8 时间 2025 年 4 月 18 日 12 时正式弃用。为方便新用户,我们已在 4 月中旬发布一批新的系统安装镜像并包含上述的新公钥。
如果您在更新安同 OS 或安装软件时遇到困难,请于我社各聊天群组与我们联系反馈、获取支持。
迭代原因
自 Ubuntu 24.10 及 APT 2.8 发布后更新了 APT 加密签名算法要求,而我社先前使用的软件源 GPG 公钥算法 (nistp521) 已不再符合新要求;新要求中列出的算法包括:
— 2048 位以上的 RSA
— Ed25519
— Ed448
为解决该问题并推动 APT 运行时及工具迭代更新,我们已于上周通过
aosc-os-keyring 软件包推送了先前生成的 Ed25519 的新软件源签名密钥:pub ed25519 2024-10-06 [SC]
F54DE04F93DFEDBA123FC2933AE2C2BE062E9F06
uid AOSC OS Maintainers <maintainers@aosc.io>
sub cv25519 2024-10-06 [E]
Clash Verge Rev 安全漏洞修补须知
2025 年 4 月 26 日,一名 Clash Verge Rev 用户通告其服务后端存在本地提权漏洞,提醒发行版维护者留意;安同 OS 维护者知悉后,在一名社区好友的协助下定位了问题来源,并进行了修复和验证工作
经查,该问题根源位于使用 root 用户运行的
据此,我们定性该漏洞为远程代码执行漏洞,并请 Clash Verge Rev 用户朋友们及早更新系统
更新须知
要完整地修补上述漏洞,您需要确保相关组件版本达到如下版本(或更高):
— clash-verge-rev:
— clash-verge-service:
在更新后,请注意重启安同 OS 或至少重启系统服务:
否则相关程序功能可能不可用
2025 年 4 月 26 日,一名 Clash Verge Rev 用户通告其服务后端存在本地提权漏洞,提醒发行版维护者留意;安同 OS 维护者知悉后,在一名社区好友的协助下定位了问题来源,并进行了修复和验证工作
经查,该问题根源位于使用 root 用户运行的
clash-verge-service.service 系统服务,其调用的程序、读取参数(配置文件)及写入参数(日志文件)均可通过远端传参进行篡改,有可执行任意代码、读取和写入任意文件的危险据此,我们定性该漏洞为远程代码执行漏洞,并请 Clash Verge Rev 用户朋友们及早更新系统
更新须知
要完整地修补上述漏洞,您需要确保相关组件版本达到如下版本(或更高):
— clash-verge-rev:
2.2.3-2— clash-verge-service:
0+git20250324-3在更新后,请注意重启安同 OS 或至少重启系统服务:
systemctl try-restart clash-verge-service
否则相关程序功能可能不可用