NVIDIA 590 驱动程序停止支持 Pascal 及更早架构；主要软件包切换至开源内核模块 (Open Kernel Modules)

随着驱动程序更新至 590 版本，NVIDIA 驱动程序不再支持 Pascal (GTX 10xx) 架构及更早的 GPU。我们将用 nvidia-open 替换 nvidia 软件包，用 nvidia-open-dkms 替换 nvidia-dkms，用 nvidia-lts-open 替换 nvidia-lts。

影响： 在搭载 Pascal、Maxwell 或更旧显卡的系统上更新 NVIDIA 软件包将导致驱动程序加载失败，这可能会导致图形界面环境损坏（无法启动桌面）。

Pascal 及更旧显卡用户需手动干预： 使用 GTX 10xx 系列及更早型号显卡的用户必须切换到“旧版专有分支”（legacy proprietary branch）以维持驱动支持：
・卸载官方的 nvidia、nvidia-lts 或 nvidia-dkms 软件包。
・从 AUR 安装 nvidia-580xx-dkms。

搭载 Turing (RTX 20xx 和 GTX 1650 系列) 及更新型号 GPU 的用户在升级时将自动过渡到开源内核模块，无需手动干预。

https://www.archlinuxcn.org/nvidia-590-driver-drops-pascal-support-main-packages-switch-to-open-kernel-modules/

官方仓库中 Python 3.14 及依赖其的包已经进入稳定仓库。

[archlinuxcn] 仓库中依赖 Python 的包应该会很快完成更新，但是不能排除因为打包出错而延迟的情况。[archlinuxcn] 仓库的用户需要注意官方仓库与 [archlinuxcn] 仓库不一致的情况可能导致的问题，若有疑虑请考虑这两天不要更新或者安装新包，耐心等待软件包重建完成和镜像完全同步。另外记得重新打包从 AUR 等地方手动打包安装的相关软件包。

如果已经更新过，使用 pacman -Qoq /usr/lib/python3.13 可列出本地安装的包中还未更新至 Python 3.14 的包。

KDE 用户若遇到登录后卡死的情况，请尝试降级 ddcutil 到 2.2.3。

上游 bug 报告：https://github.com/rockowitz/ddcutil/issues/581
Arch Linux bug 报告：https://gitlab.archlinux.org/archlinux/packaging/packages/ddcutil/-/issues/5
英文论坛：https://bbs.archlinux.org/viewtopic.php?id=312019

ddcutil 2.2.5-2 已经修复了这个问题。

近期常见问题简答 20260325

修复 GNOME 软件中无法进行中键粘贴，执行 gsettings set org.gnome.desktop.interface gtk-enable-primary-paste true。

fcitx5-rime 用户如遇到输入法不显示候选词窗口，尝试删除 ~/.local/share/fcitx5/rime/build/ 目录并重启 fcitx5（比如fcitx5 -r -d）。万象/雾凇/白霜用户请先更新到适配 Lua 5.5 的版本。

Wayland fcitx5 用户如发现 Qt6 程序中输入法窗口异常拉伸、内容不更新，请设置 QT_IM_MODULES=wayland;fcitx
环境变量以确保 Qt6 使用 Wayland 输入法协议。

QQ 用户如遇到 X11 程序打不开等异常情况，可重启 QQ。如果是 Wayland 用户，可以考虑禁止它使用 Xwayland（代价是剪贴板会坏掉）。

iptables 现在默认使用 nft 后端

之前的 iptables-nft 包现在改叫 iptables。提供旧的后端的包现在叫 iptables-legacy。

当在 iptables-nft、iptables、iptables-legacy 之间切换时，请注意检查 /etc/iptables/ 下的 .pacsave，如有需要可以用来恢复之前的规则：

/etc/iptables/iptables.rules.pacsave
/etc/iptables/ip6tables.rules.pacsave

大部分系统应该不需要任何更改，但是依赖不常见的 xtables 扩展或者旧版行为的用户应当仔细测试，有必要的话使用 iptables-legacy 包。

https://www.archlinuxcn.org/iptables-now-defaults-to-the-nft-backend/

kea >= 1:3.0.3-6 更新需要手动干预

kea包为增强安全性已经把所有服务改为用专门的kea用户执行（原本用root用户）。这一变更需要更改kea服务创建的运行期文件的权限。
已经安装了kea的用户在更新后应该执行以下命令：

chown kea: /var/lib/kea/* /var/log/kea/* /run/lock/kea/logger_lockfile
systemctl try-restart kea-ctrl-agent.service kea-dhcp{4,6,-ddns}.service

其他需要操作kea服务的文件（比如/var/lib/kea下的租期文件，/var/log/kea下的日志文件，以及/etc/kea下的配置文件）的账户需要被加入kea组。

https://www.archlinuxcn.org/kea-1303-6-update-requires-manual-intervention/

AUR 服务目前处于难以访问的状态
服务状态请参考 https://status.archlinux.org/ ，或者可以关注 @IsAurAlive 接收状态变动通知。
日常使用 AUR helper 更新的用户请考虑暂时使用 pacman -Syu 仅更新官方软件源，然后手动用 https://github.com/archlinux/aur 更新或安装 AUR 软件包，等候 AUR 恢复。

内核提权漏洞公告

请尽快将内核更新到 linux 6.19.12+ 或 linux-lts 6.18.22+ 版本（并重启），以修复 CVE-2026-31431 漏洞。

20260521 近期 Linux 内核本地提权漏洞汇总

近期 Linux 内核发现了多个本地提权漏洞（LPE， Local privilege escalation），以下是它们在 Arch Linux 官方源中提供的内核的修复版本和受影响的内核模块。请尽快更新到已修复版本的内核，或屏蔽受影响的内核模块以避免漏洞被恶意利用。更新到已修复版本内核后不再需要屏蔽内核模块的缓解措施。

1. copy fail (CVE-2026-31431) https://copy.fail/
Arch Linux 已修复版本： linux 6.19.12 以上（含7.0 以上）或 linux-lts 6.18.22 以上版本
缓解措施：屏蔽 algif_aead 内核模块

echo 'install algif_aead /bin/false' | sudo tee -a /etc/modprobe.d/cve-copyfail.conf
sudo rmmod algif_aead

2. dirty frag (CVE-2026-43284, CVE-2026-43500) https://github.com/V4bel/dirtyfrag
Arch Linux 已修复版本： linux 7.0.5 以上，或 linux-lts 6.18.29 以上
缓解措施：屏蔽 esp4 esp6 rxrpc 内核模块（可能影响 IPSec strongSwan 之类内核功能）

echo 'install esp4 /bin/false' | sudo tee -a /etc/modprobe.d/cve-dirtyfrag.conf
echo 'install esp6 /bin/false' | sudo tee -a /etc/modprobe.d/cve-dirtyfrag.conf
echo 'install rxrpc /bin/false' | sudo tee -a /etc/modprobe.d/cve-dirtyfrag.conf
sudo rmmod esp4 esp6 rxrpc

3. fragnesia (CVE-2026-46300) https://github.com/v12-security/pocs/blob/main/fragnesia/README.md 和 https://github.com/v12-security/pocs/blob/main/fragnesia-5db89c99566fc/README.md
Arch Linux 已修复版本： linux 7.0.7.arch2 以上，或 linux-lts 6.18.32-2 以上
缓解措施：屏蔽 esp4 esp6 rxrpc 内核模块（同 dirty frag ，可能影响 IPSec strongSwan 之类内核功能）

4. PinTheft (CVE-2026-43494) https://github.com/v12-security/pocs/blob/main/pintheft/README.md
Arch Linux 已修复版本： linux 7.0.9.arch2 以上，linux-lts 6.18.32-2 以上
缓解措施：屏蔽rds_tcp rds 内核模块

echo 'install rds /bin/false' | sudo tee -a /etc/modprobe.d/cve-pintheft.conf
echo 'install rds_tcp /bin/false' | sudo tee -a /etc/modprobe.d/cve-pintheft.conf
sudo rmmod rds_tcp rds

5. ssh-keysign-pwn (CVE-2026-46333) https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn
这个不是本地提权漏洞（LPE）而是不当权限管理漏洞（CWE-269: Improper Privilege Management）
Arch Linux 已修复版本： linux 7.0.7.arch2 以上
缓解措施： 修改 sysctl 提高使用 ptrace_scope 需要的特权等级，设为 2 （admin-only）或 3（no attach）防止普通用户权限使用。

sudo sysctl -w kernel.yama.ptrace_scope=3
echo 'kernel.yama.ptrace_scope = 3' | sudo tee -a /etc/sysctl.d/99-ssh-keysign-pwn.conf

影响所有 `varnish` 用户的破坏性变更，它已更名为 `vinyl-cache`

Varnish 项目已正式更名为 Vinyl Cache。紧随这一更名，我们发布了全新的 vinyl-cache 软件包。由于此次升级包含破坏性变更（Breaking Changes），建议用户在进行替换前，务必仔细研究这些变化及其带来的影响。目前，所有二进制文件和目录中的 “varnish” 字样均已全面变更为 “vinyl”。
用户至少需要执行以下操作：

■将 /etc/varnish 重命名为 /etc/vinyl-cache
■将 /var/lib/varnish 重命名为 /var/lib/vinyl-cache
■修正 /var/lib/varnish 目录内文件的所有权
■用户名 varnish 变更为 vinyl
■用户组 varnish 变更为 vinyl
■用户名 varnishlog 变更为 vinyllog
■用户名 vcache 保持不变
■禁用旧的 varnish.service 和 varnishncsa.service systemd 单元
■启用新的 vinyl-cache.service 和 vinylncsa.service systemd 单元

与此同时，varnish 软件包已从 [extra] 软件源中移除。鉴于其已属于不同的上游项目，我们目前没有维护新 varnish 软件包的计划。

https://www.archlinuxcn.org/breaking-changes-for-all-users-of-varnish-which-is-renamed-to-vinyl-cache/

Arch Linux 2026 项目负责人选举结果

最近我们举办了项目负责人选举，经过在（内部）邮件列表上的热烈讨论环节和有两名候选人参选的投票环节之后， Levente “anthraxx” Polyák 再次获选为新一届项目负责人。
根据我们的选举规则，他再选的本届任期将持续两年。
Arch Linux 项目负责人的职责包括作出最终决策（当没法达成共识时），带领社区，保障执行行为守则，处理和SPI相关的财政事务，以及整体的项目任务管理。
恭喜 Levente ，感谢你站出来服务这个社区，并希望这一届任期也会是顺利的一届！🥳

https://www.archlinuxcn.org/arch-linux-2026-leader-election-results/