KDE 用户若遇到登录后卡死的情况,请尝试降级 ddcutil 到 2.2.3。
上游 bug 报告:https://github.com/rockowitz/ddcutil/issues/581
Arch Linux bug 报告:https://gitlab.archlinux.org/archlinux/packaging/packages/ddcutil/-/issues/5
英文论坛:https://bbs.archlinux.org/viewtopic.php?id=312019
上游 bug 报告:https://github.com/rockowitz/ddcutil/issues/581
Arch Linux bug 报告:https://gitlab.archlinux.org/archlinux/packaging/packages/ddcutil/-/issues/5
英文论坛:https://bbs.archlinux.org/viewtopic.php?id=312019
🤯40👍25👌17😴5❤4
Arch Linux Chinese Messages
KDE 用户若遇到登录后卡死的情况,请尝试降级 ddcutil 到 2.2.3。 上游 bug 报告:https://github.com/rockowitz/ddcutil/issues/581 Arch Linux bug 报告:https://gitlab.archlinux.org/archlinux/packaging/packages/ddcutil/-/issues/5 英文论坛:https://bbs.archlinux.org/viewtopic.php?id=312019
ddcutil 2.2.5-2 已经修复了这个问题。
👍62👏12🎉6😴4❤2😁1👌1
近期常见问题简答 20260325
修复 GNOME 软件中无法进行中键粘贴,执行
fcitx5-rime 用户如遇到输入法不显示候选词窗口,尝试删除
Wayland fcitx5 用户如发现 Qt6 程序中输入法窗口异常拉伸、内容不更新,请设置
环境变量以确保 Qt6 使用 Wayland 输入法协议。
QQ 用户如遇到 X11 程序打不开等异常情况,可重启 QQ。如果是 Wayland 用户,可以考虑禁止它使用 Xwayland(代价是剪贴板会坏掉)。
修复 GNOME 软件中无法进行中键粘贴,执行
gsettings set org.gnome.desktop.interface gtk-enable-primary-paste true。fcitx5-rime 用户如遇到输入法不显示候选词窗口,尝试删除
~/.local/share/fcitx5/rime/build/ 目录并重启 fcitx5(比如fcitx5 -r -d)。万象/雾凇/白霜用户请先更新到适配 Lua 5.5 的版本。Wayland fcitx5 用户如发现 Qt6 程序中输入法窗口异常拉伸、内容不更新,请设置
QT_IM_MODULES=wayland;fcitx环境变量以确保 Qt6 使用 Wayland 输入法协议。
QQ 用户如遇到 X11 程序打不开等异常情况,可重启 QQ。如果是 Wayland 用户,可以考虑禁止它使用 Xwayland(代价是剪贴板会坏掉)。
👌41👍13🎉5❤3
iptables 现在默认使用 nft 后端
之前的 iptables-nft 包现在改叫 iptables。提供旧的后端的包现在叫 iptables-legacy。
当在 iptables-nft、iptables、iptables-legacy 之间切换时,请注意检查 /etc/iptables/ 下的 .pacsave,如有需要可以用来恢复之前的规则:
大部分系统应该不需要任何更改,但是依赖不常见的 xtables 扩展或者旧版行为的用户应当仔细测试,有必要的话使用 iptables-legacy 包。
https://www.archlinuxcn.org/iptables-now-defaults-to-the-nft-backend/
之前的 iptables-nft 包现在改叫 iptables。提供旧的后端的包现在叫 iptables-legacy。
当在 iptables-nft、iptables、iptables-legacy 之间切换时,请注意检查 /etc/iptables/ 下的 .pacsave,如有需要可以用来恢复之前的规则:
/etc/iptables/iptables.rules.pacsave
/etc/iptables/ip6tables.rules.pacsave
大部分系统应该不需要任何更改,但是依赖不常见的 xtables 扩展或者旧版行为的用户应当仔细测试,有必要的话使用 iptables-legacy 包。
https://www.archlinuxcn.org/iptables-now-defaults-to-the-nft-backend/
👍60🎉13❤3😱2👀2
kea >= 1:3.0.3-6 更新需要手动干预
已经安装了
其他需要操作
https://www.archlinuxcn.org/kea-1303-6-update-requires-manual-intervention/
kea包为增强安全性已经把所有服务改为用专门的kea用户执行(原本用root用户)。这一变更需要更改kea服务创建的运行期文件的权限。已经安装了
kea的用户在更新后应该执行以下命令:chown kea: /var/lib/kea/* /var/log/kea/* /run/lock/kea/logger_lockfile
systemctl try-restart kea-ctrl-agent.service kea-dhcp{4,6,-ddns}.service
其他需要操作
kea服务的文件(比如/var/lib/kea下的租期文件,/var/log/kea下的日志文件,以及/etc/kea下的配置文件)的账户需要被加入kea组。https://www.archlinuxcn.org/kea-1303-6-update-requires-manual-intervention/
😇21💩9🤷♀2❤1
AUR 服务目前处于难以访问的状态
服务状态请参考 https://status.archlinux.org/ ,或者可以关注 @IsAurAlive 接收状态变动通知。
日常使用 AUR helper 更新的用户请考虑暂时使用 pacman -Syu 仅更新官方软件源,然后手动用 https://github.com/archlinux/aur 更新或安装 AUR 软件包,等候 AUR 恢复。
服务状态请参考 https://status.archlinux.org/ ,或者可以关注 @IsAurAlive 接收状态变动通知。
日常使用 AUR helper 更新的用户请考虑暂时使用 pacman -Syu 仅更新官方软件源,然后手动用 https://github.com/archlinux/aur 更新或安装 AUR 软件包,等候 AUR 恢复。
GitHub
GitHub - archlinux/aur: ⚠️⚠️Experimental aur.git mirror⚠️⚠️ (read-only mirror)
⚠️⚠️Experimental aur.git mirror⚠️⚠️ (read-only mirror) - archlinux/aur
😨107😇27🙏6😴6❤2🤔2💩2
😱224🔥31😨10👍9💩6🤔3❤2😁2
20260521 近期 Linux 内核本地提权漏洞汇总
近期 Linux 内核发现了多个本地提权漏洞(LPE, Local privilege escalation),以下是它们在 Arch Linux 官方源中提供的内核的修复版本和受影响的内核模块。请尽快更新到已修复版本的内核,或屏蔽受影响的内核模块以避免漏洞被恶意利用。更新到已修复版本内核后不再需要屏蔽内核模块的缓解措施。
1. copy fail (CVE-2026-31431) https://copy.fail/
Arch Linux 已修复版本: linux 6.19.12 以上(含7.0 以上)或 linux-lts 6.18.22 以上版本
缓解措施:屏蔽 algif_aead 内核模块
2. dirty frag (CVE-2026-43284, CVE-2026-43500) https://github.com/V4bel/dirtyfrag
Arch Linux 已修复版本: linux 7.0.5 以上,或 linux-lts 6.18.29 以上
缓解措施:屏蔽 esp4 esp6 rxrpc 内核模块(可能影响 IPSec strongSwan 之类内核功能)
3. fragnesia (CVE-2026-46300) https://github.com/v12-security/pocs/blob/main/fragnesia/README.md 和 https://github.com/v12-security/pocs/blob/main/fragnesia-5db89c99566fc/README.md
Arch Linux 已修复版本: linux 7.0.7.arch2 以上,或 linux-lts 6.18.32-2 以上
缓解措施:屏蔽 esp4 esp6 rxrpc 内核模块(同 dirty frag ,可能影响 IPSec strongSwan 之类内核功能)
4. PinTheft (CVE-2026-43494) https://github.com/v12-security/pocs/blob/main/pintheft/README.md
Arch Linux 已修复版本: linux 7.0.9.arch2 以上,linux-lts 6.18.32-2 以上
缓解措施:屏蔽rds_tcp rds 内核模块
5. ssh-keysign-pwn (CVE-2026-46333) https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn
这个不是本地提权漏洞(LPE)而是不当权限管理漏洞(CWE-269: Improper Privilege Management)
Arch Linux 已修复版本: linux 7.0.7.arch2 以上
缓解措施: 修改 sysctl 提高使用 ptrace_scope 需要的特权等级,设为 2 (admin-only)或 3(no attach)防止普通用户权限使用。
近期 Linux 内核发现了多个本地提权漏洞(LPE, Local privilege escalation),以下是它们在 Arch Linux 官方源中提供的内核的修复版本和受影响的内核模块。请尽快更新到已修复版本的内核,或屏蔽受影响的内核模块以避免漏洞被恶意利用。更新到已修复版本内核后不再需要屏蔽内核模块的缓解措施。
1. copy fail (CVE-2026-31431) https://copy.fail/
Arch Linux 已修复版本: linux 6.19.12 以上(含7.0 以上)或 linux-lts 6.18.22 以上版本
缓解措施:屏蔽 algif_aead 内核模块
echo 'install algif_aead /bin/false' | sudo tee -a /etc/modprobe.d/cve-copyfail.conf
sudo rmmod algif_aead
2. dirty frag (CVE-2026-43284, CVE-2026-43500) https://github.com/V4bel/dirtyfrag
Arch Linux 已修复版本: linux 7.0.5 以上,或 linux-lts 6.18.29 以上
缓解措施:屏蔽 esp4 esp6 rxrpc 内核模块(可能影响 IPSec strongSwan 之类内核功能)
echo 'install esp4 /bin/false' | sudo tee -a /etc/modprobe.d/cve-dirtyfrag.conf
echo 'install esp6 /bin/false' | sudo tee -a /etc/modprobe.d/cve-dirtyfrag.conf
echo 'install rxrpc /bin/false' | sudo tee -a /etc/modprobe.d/cve-dirtyfrag.conf
sudo rmmod esp4 esp6 rxrpc
3. fragnesia (CVE-2026-46300) https://github.com/v12-security/pocs/blob/main/fragnesia/README.md 和 https://github.com/v12-security/pocs/blob/main/fragnesia-5db89c99566fc/README.md
Arch Linux 已修复版本: linux 7.0.7.arch2 以上,或 linux-lts 6.18.32-2 以上
缓解措施:屏蔽 esp4 esp6 rxrpc 内核模块(同 dirty frag ,可能影响 IPSec strongSwan 之类内核功能)
4. PinTheft (CVE-2026-43494) https://github.com/v12-security/pocs/blob/main/pintheft/README.md
Arch Linux 已修复版本: linux 7.0.9.arch2 以上,linux-lts 6.18.32-2 以上
缓解措施:屏蔽rds_tcp rds 内核模块
echo 'install rds /bin/false' | sudo tee -a /etc/modprobe.d/cve-pintheft.conf
echo 'install rds_tcp /bin/false' | sudo tee -a /etc/modprobe.d/cve-pintheft.conf
sudo rmmod rds_tcp rds
5. ssh-keysign-pwn (CVE-2026-46333) https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn
这个不是本地提权漏洞(LPE)而是不当权限管理漏洞(CWE-269: Improper Privilege Management)
Arch Linux 已修复版本: linux 7.0.7.arch2 以上
缓解措施: 修改 sysctl 提高使用 ptrace_scope 需要的特权等级,设为 2 (admin-only)或 3(no attach)防止普通用户权限使用。
sudo sysctl -w kernel.yama.ptrace_scope=3
echo 'kernel.yama.ptrace_scope = 3' | sudo tee -a /etc/sysctl.d/99-ssh-keysign-pwn.conf
👾92🤯38👍31😭20😱11❤9🤓5🍾1🤷1
影响所有 `varnish` 用户的破坏性变更,它已更名为 `vinyl-cache`
Varnish 项目已正式更名为 Vinyl Cache。紧随这一更名,我们发布了全新的 vinyl-cache 软件包。由于此次升级包含破坏性变更(Breaking Changes),建议用户在进行替换前,务必仔细研究这些变化及其带来的影响。目前,所有二进制文件和目录中的 “
用户至少需要执行以下操作:
■将
■将
■修正
■用户名
■用户组
■用户名
■用户名
■禁用旧的
■启用新的
与此同时,
https://www.archlinuxcn.org/breaking-changes-for-all-users-of-varnish-which-is-renamed-to-vinyl-cache/
Varnish 项目已正式更名为 Vinyl Cache。紧随这一更名,我们发布了全新的 vinyl-cache 软件包。由于此次升级包含破坏性变更(Breaking Changes),建议用户在进行替换前,务必仔细研究这些变化及其带来的影响。目前,所有二进制文件和目录中的 “
varnish” 字样均已全面变更为 “vinyl”。用户至少需要执行以下操作:
■将
/etc/varnish 重命名为 /etc/vinyl-cache■将
/var/lib/varnish 重命名为 /var/lib/vinyl-cache■修正
/var/lib/varnish 目录内文件的所有权■用户名
varnish 变更为 vinyl■用户组
varnish 变更为 vinyl■用户名
varnishlog 变更为 vinyllog■用户名
vcache 保持不变■禁用旧的
varnish.service 和 varnishncsa.service systemd 单元■启用新的
vinyl-cache.service 和 vinylncsa.service systemd 单元与此同时,
varnish 软件包已从 [extra] 软件源中移除。鉴于其已属于不同的上游项目,我们目前没有维护新 varnish 软件包的计划。https://www.archlinuxcn.org/breaking-changes-for-all-users-of-varnish-which-is-renamed-to-vinyl-cache/
GitLab
Arch Linux / Packaging / Packages / vinyl-cache · GitLab
High-performance HTTP accelerator packages: vinyl-cache
💩57🤯23👌3😡1
Arch Linux 2026 项目负责人选举结果
最近我们举办了项目负责人选举,经过在(内部)邮件列表上的热烈讨论环节和有两名候选人参选的投票环节之后, Levente “anthraxx” Polyák 再次获选为新一届项目负责人。
根据我们的选举规则,他再选的本届任期将持续两年。
Arch Linux 项目负责人的职责包括作出最终决策(当没法达成共识时),带领社区,保障执行行为守则,处理和SPI相关的财政事务,以及整体的项目任务管理。
恭喜 Levente ,感谢你站出来服务这个社区,并希望这一届任期也会是顺利的一届!🥳
https://www.archlinuxcn.org/arch-linux-2026-leader-election-results/
最近我们举办了项目负责人选举,经过在(内部)邮件列表上的热烈讨论环节和有两名候选人参选的投票环节之后, Levente “anthraxx” Polyák 再次获选为新一届项目负责人。
根据我们的选举规则,他再选的本届任期将持续两年。
Arch Linux 项目负责人的职责包括作出最终决策(当没法达成共识时),带领社区,保障执行行为守则,处理和SPI相关的财政事务,以及整体的项目任务管理。
恭喜 Levente ,感谢你站出来服务这个社区,并希望这一届任期也会是顺利的一届!🥳
https://www.archlinuxcn.org/arch-linux-2026-leader-election-results/
🎉181🥰22👏11👀7❤2👍2😱1
AUR 大量孤儿包被投毒
近日,有大量 AUR 孤儿包被多名新注册用户接管,并增加 npm 依赖、在安装时通过安装脚本(
一旦安装有问题的软件包,恶意代码将以 root 权限安装并运行,收集至少包括浏览器、Shell 命令历史记录、各种应用程序中的凭据等信息,并将其上传。恶意代码也会利用 ebpf 程序隐藏自身。建议受影响的用户重装系统并重置所有网络账户密码和各类密钥、凭据。
如果 pacman.log 表明未曾安装过 npm、或者在多天以前已经卸载 npm,则应当未受影响。
用户从 AUR 安装软件时请注意审阅构建脚本。另外及时卸载从官方仓库移出的、不再需要的依赖包,比如
另:[archlinuxcn] 仓库中的包未受影响。感谢 chaotic-aur 的通知。
aur-general 邮件列表的相关讨论之一: https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/
一份供参考的分析报告: https://ioctl.fail/preliminary-analysis-of-aur-malware/
近日,有大量 AUR 孤儿包被多名新注册用户接管,并增加 npm 依赖、在安装时通过安装脚本(
.install)或者 pacman hook 执行 # npm install atomic-lockfile 操作以运行恶意代码。该 atomic-lockfile 包亦是于近日上传至 npm registry。一旦安装有问题的软件包,恶意代码将以 root 权限安装并运行,收集至少包括浏览器、Shell 命令历史记录、各种应用程序中的凭据等信息,并将其上传。恶意代码也会利用 ebpf 程序隐藏自身。建议受影响的用户重装系统并重置所有网络账户密码和各类密钥、凭据。
如果 pacman.log 表明未曾安装过 npm、或者在多天以前已经卸载 npm,则应当未受影响。
用户从 AUR 安装软件时请注意审阅构建脚本。另外及时卸载从官方仓库移出的、不再需要的依赖包,比如
libgdata。另:[archlinuxcn] 仓库中的包未受影响。感谢 chaotic-aur 的通知。
aur-general 邮件列表的相关讨论之一: https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/
一份供参考的分析报告: https://ioctl.fail/preliminary-analysis-of-aur-malware/
😨240😱24💩18❤5🤯4👍2😁2🥰1