Arch Linux Chinese Messages

Arch Linux 2026 项目负责人选举结果 最近我们举办了项目负责人选举，经过在（内部）邮件列表上的热烈讨论环节和有两名候选人参选的投票环节之后， Levente “anthraxx” Polyák 再次获选为新一届项目负责人。 根据我们的选举规则，他再选的本届任期将持续两年。 Arch Linux 项目负责人的职责包括作出最终决策（当没法达成共识时），带领社区，保障执行行为守则，处理和SPI相关的财政事务，以及整体的项目任务管理。 恭喜 Levente ，感谢你站出来服务这个社区，并希望这一届任期也会是顺利的一届！🥳 https://www.archlinuxcn.org/arch-linux-2026-leader-election-results/

影响所有 `varnish` 用户的破坏性变更，它已更名为 `vinyl-cache` Varnish 项目已正式更名为 Vinyl Cache。紧随这一更名，我们发布了全新的 vinyl-cache 软件包。由于此次升级包含破坏性变更（Breaking Changes），建议用户在进行替换前，务必仔细研究这些变化及其带来的影响。目前，所有二进制文件和目录中的 “varnish” 字样均已全面变更为 “vinyl”。 用户至少需要执行以下操作： ■将 /etc/varnish 重命名为 /etc/vinyl-cache ■将 /var/lib/varnish 重命名为 /var/lib/vinyl-cache ■修正 /var/lib/varnish 目录内文件的所有权 ■用户名 varnish 变更为 vinyl ■用户组 varnish 变更为 vinyl ■用户名 varnishlog 变更为 vinyllog ■用户名 vcache 保持不变 ■禁用旧的 varnish.service 和 varnishncsa.service systemd 单元 ■启用新的 vinyl-cache.service 和 vinylncsa.service systemd 单元 与此同时，varnish 软件包已从 [extra] 软件源中移除。鉴于其已属于不同的上游项目，我们目前没有维护新 varnish 软件包的计划。 https://www.archlinuxcn.org/breaking-changes-for-all-users-of-varnish-which-is-renamed-to-vinyl-cache/

20260521 近期 Linux 內核本地提权漏洞汇总 近期 Linux 内核发现了多个本地提权漏洞（LPE， Local privilege escalation），以下是它们在 Arch Linux 官方源中提供的内核的修复版本和受影响的内核模块。请尽快更新到已修复版本的内核，或屏蔽受影响的内核模块以避免漏洞被恶意利用。更新到已修复版本内核后不再需要屏蔽内核模块的缓解措施。 1. copy fail (CVE-2026-31431) https://copy.fail/ Arch Linux 已修復版本： linux 6.19.12 以上（含7.0 以上）或 linux-lts 6.18.22 版本 缓解措施：屏蔽 algif_aead 内核模块

echo 'install algif_aead /bin/false' | sudo tee -a /etc/modprobe.d/cve-copyfail.conf
sudo rmmod algif_aead

2. dirty frag （CVE-2026-43284, CVE-2026-43500） https://github.com/V4bel/dirtyfrag Arch Linux 已修復版本： linux 7.0.5 以上 缓解措施：屏蔽 esp4 esp6 rxrpc 内核模块（可能影响 IPSec strongSwan 之类内核功能）

echo 'install esp4 /bin/false' | sudo tee -a /etc/modprobe.d/cve-dirtyfrag.conf
echo 'install esp6 /bin/false' | sudo tee -a /etc/modprobe.d/cve-dirtyfrag.conf
echo 'install rxrpc /bin/false' | sudo tee -a /etc/modprobe.d/cve-dirtyfrag.conf
sudo rmmod esp4 esp6

3. fragnesia （CVE-2026-46300） https://github.com/v12-security/pocs/blob/main/fragnesia/README.md 和 https://github.com/v12-security/pocs/blob/main/fragnesia-5db89c99566fc/README.md Arch Linux 已修復版本： linux 7.0.7.arch2 以上 缓解措施：屏蔽 esp4 esp6 rxrpc 内核模块（同 dirty frag ，可能影响 IPSec strongSwan 之类内核功能） 4. PinTheft (暂无) https://github.com/v12-security/pocs/blob/main/pintheft/README.md Arch Linux 暂无已修复版本（至 linux 7.0.9.arch1 仍可被利用） 缓解措施：屏蔽 rds_tcp rds 内核模块

echo 'install rds /bin/false' | sudo tee -a /etc/modprobe.d/cve-pintheft.conf
echo 'install rds_tcp /bin/false' | sudo tee -a /etc/modprobe.d/cve-pintheft.conf
sudo rmmod rds_tcp rds

内核提权漏洞公告 请尽快将内核更新到 linux 6.19.12+ 或 linux-lts 6.18.22+ 版本（并重启），以修复 CVE-2026-31431 漏洞。

AUR 服务目前处于难以访问的状态 服务状态请参考 https://status.archlinux.org/ ，或者可以关注 @IsAurAlive 接收状态变动通知。 日常使用 AUR helper 更新的用户请考虑暂时使用 pacman -Syu 仅更新官方软件源，然后手动用 https://github.com/archlinux/aur 更新或安装 AUR 软件包，等候 AUR 恢复。

kea >= 1:3.0.3-6 更新需要手动干预 kea包为增强安全性已经把所有服务改为用专门的kea用户执行（原本用root用户）。这一变更需要更改kea服务创建的运行期文件的权限。 已经安装了kea的用户在更新后应该使用以下命令：

chown kea: /var/lib/kea/* /var/log/kea/* /run/lock/kea/logger_lockfile
systemctl try-restart kea-ctrl-agent.service kea-dhcp{4,6,-ddns}.service

其他需要操作kea服务的文件（比如/var/lib/kea下的租期文件，/var/log/kea下的日志文件，以及/etc/kea下的配置文件）的账户需要被加入kea组。 https://www.archlinuxcn.org/kea-1303-6-update-requires-manual-intervention/

iptables 现在默认使用 nft 后端 之前的 iptables-nft 包现在改叫 iptables。提供旧的后端的包现在叫 iptables-legacy。 当在 iptables-nft、iptables、iptables-legacy 之间切换时，请注意检查 /etc/iptables/ 下的 .pacsave，如有需要可以用来恢复之前的规则：

/etc/iptables/iptables.rules.pacsave
/etc/iptables/ip6tables.rules.pacsave

大部分系统应该不需要任何更改，但是依赖不常见的 xtables 扩展或者旧版行为的用户应当仔细测试，有必要的话使用 iptables-legacy 包。 https://www.archlinuxcn.org/iptables-now-defaults-to-the-nft-backend/

近期常见问题简答 20260325 fcitx5-rime 用户如遇到输入法不显示候选词窗口，尝试删除 ~/.local/share/fcitx5/rime/build/ 目录并重启 fcitx5（`fcitx5 -rd`）。 fcitx5 用户如发现 Qt6 程序中输入法窗口异常拉伸、内容不更新，请设置 QT_IM_MODULES=wayland;fcitx 环境变量以确保 Qt6 使用 Wayland 输入法协议。 QQ 用户如遇到 X11 程序打不开等异常情况，可重启 QQ。如果是 Wayland 用户，可以考虑禁止它使用 Xwayland（代价是剪贴板会坏掉）。

ddcutil 2.2.5-2 已经修复了这个问题。

KDE 用户若遇到登录后卡死的情况，请尝试降级 ddcutil 到 2.2.3。 上游 bug 报告：https://github.com/rockowitz/ddcutil/issues/581 Arch Linux bug 报告：https://gitlab.archlinux.org/archlinux/packaging/packages/ddcutil/-/issues/5 英文论坛：https://bbs.archlinux.org/viewtopic.php?id=312019

官方仓库中 Python 3.14 及依赖其的包已经进入稳定仓库。 [archlinuxcn] 仓库中依赖 Python 的包应该会很快完成更新，但是不能排除因为打包出错而延迟的情况。[archlinuxcn] 仓库的用户需要注意官方仓库与 [archlinuxcn] 仓库不一致的情况可能导致的问题，若有疑虑请考虑这两天不要更新或者安装新包，耐心等待软件包重建完成和镜像完全同步。另外记得重新打包从 AUR 等地方手动打包安装的相关软件包。 如果已经更新过，使用 pacman -Qoq /usr/lib/python3.13 可列出本地安装的包中还未更新至 Python 3.14 的包。

NVIDIA 590 驱动程序停止支持 Pascal 及更早架构；主要软件包切换至开源内核模块 (Open Kernel Modules) 随着驱动程序更新至 590 版本，NVIDIA 驱动程序不再支持 Pascal (GTX 10xx) 架构及更早的 GPU。我们将用 nvidia-open 替换 nvidia 软件包，用 nvidia-open-dkms 替换 nvidia-dkms，用 nvidia-lts-open 替换 nvidia-lts。 影响： 在搭载 Pascal、Maxwell 或更旧显卡的系统上更新 NVIDIA 软件包将导致驱动程序加载失败，这可能会导致图形界面环境损坏（无法启动桌面）。 Pascal 及更旧显卡用户需手动干预： 使用 GTX 10xx 系列及更早型号显卡的用户必须切换到“旧版专有分支”（legacy proprietary branch）以维持驱动支持： ・卸载官方的 nvidia、nvidia-lts 或 nvidia-dkms 软件包。 ・从 AUR 安装 nvidia-580xx-dkms。 搭载 Turing (RTX 20xx 和 GTX 1650 系列) 及更新型号 GPU 的用户在升级时将自动过渡到开源内核模块，无需手动干预。

.NET软件包可能需要手动干预 以下软件包在从 9.0 升级到 10.0 时可能需要手动干预： ・aspnet-runtime ・aspnet-targeting-pack ・dotnet-runtime ・dotnet-sdk ・dotnet-source-built-artifacts ・dotnet-targeting-pack pacman 可能对受影响的软件包提示如下报错：failed to prepare transaction (could not satisfy dependencies)。 如果你受此影响并且需要 9.0 的包，使用如下命令可以更新，比如 aspnet-runtime 到 aspnet-runtime-9.0 :

pacman -Syu aspnet-runtime-9.0
pacman -Rs aspnet-runtime

https://www.archlinuxcn.org/net-packages-may-require-manual-intervention/

waydroid >= 1.5.4-3 更新可能需要手动干预 waydroid 软件包在 1.5.4-2 版本之前（包括 aur/waydroid）会在运行时创建 Python 字节码文件（.pyc），从而这些文件并未被 pacman 跟踪。这个问题已在 1.5.4-3 版本中得到修复，在新版本中已改为在打包过程中编译生成这些字节码文件。 因此，升级过程可能会与之前版本创建的无主文件 (unowned files) 产生冲突。如果您在更新过程中遇到如下错误：

error: failed to commit transaction (conflicting files)
waydroid: /usr/lib/waydroid/tools/__pycache__/__init__.cpython-313.pyc exists in filesystem
waydroid: /usr/lib/waydroid/tools/actions/__pycache__/__init__.cpython-313.pyc exists in filesystem
waydroid: /usr/lib/waydroid/tools/actions/__pycache__/app_manager.cpython-313.pyc exists in filesystem

你可以用以下命令安全得覆盖这些文件：

pacman -Syu --overwrite /usr/lib/waydroid/tools/\*__pycache__/\*

https://www.archlinuxcn.org/waydroid-154-3-update-may-require-manual-intervention/

dovecot >= 2.4 需要手动干预 dovecot 的 2.4 发布分支存在重大变更，导致它和任何 <= 2.3 版本的配置文件都不兼容。 因此 dovecot 服务在迁移配置文件前将无法启动，于是需要手动干预。 关于 2.3 到 2.4 的迁移方案，请参阅上游文档：将 Dovecot CE 从 2.3 升级到 2.4 此外，dovecot 2.4 分支不再支持其复制(Replication)功能，该功能已被移除。 对于依赖复制功能或目前无法迁移到 2.4 的用户，我们在 [extra] 软件仓库中提供了替代软件包： ・dovecot23 ・pigeonhole23 ・dovecot23-fts-elastic ・dovecot23-fts-xapian dovecot 2.3 发布分支将继续接收来自上游的关键安全修复，直到另行通知。 https://www.archlinuxcn.org/dovecot-24-requires-manual-intervention/

近期常见问题简答 20251011 如遇 Telegram 崩溃，检查 QT_IM_MODULE。Wayland 用户可考虑不设置该环境变量，或者设置以下环境变量以使用 Wayland 输入法协议：

QT_IM_MODULES=wayland;fcitx
QT_IM_MODULE=fcitx

X11 用户则可以使用 env QT_IM_MODULE=ibus IBUS_USE_PORTAL=1 telegram-desktop 来运行。 ---- AUR 正在持续遭受攻击，请参考最近的新闻。遇到访问故障请先检查 https://status.archlinux.org/，如果是服务器的问题则不要在群里报告。 ---- 如遇 Telegram 在 KDE 中使用右键菜单后显示错乱，请尝试关闭菜单透明。 火狐更新后语言包失效，通常是因为手动安装的语言包与更新后的火狐版本不一致。请从软件仓库安装语言包，并在 about:addons 中卸载已安装的语言包，直到不再允许卸载。 使用 Chrome / Electron 软件时，如遇输入法漏编码问题，请指定使用 Wayland 原生运行或者让输入法使用 GTK 模块而非 XIM。在 ~/.config/gtk-3.0/settings.ini 中加上 gtk-im-module=fcitx 即可。如果使用的是 GNOME 可能需要额外的操作 。

更新到 glycin 2.0.0-5 之后问题应当会解决。

若更新后发现许多 GTK 应用程序出现卡死、运行缓慢、不能正常显示字体和图标，请先检查 ~/.local/share/fonts/ 目录下是否存在符号链接，如果存在，这是由于 gdk-pixbuf2 2.44.1-4 开始依赖 glycin 导致，请将 gdk-pixbuf2 降级至 2.44.1-3。如果该路径下不存在符号链接，也请尝试降级 gdk-pixbuf2 至 2.44.1-3，如果有效请在群里分享此事，以帮助排查问题。

除了 cqu 之外，能访问的镜像应该都恢复正常了。

近期常见问题简答 20250910 Iosevka 及其衍生字体的用户请注意：extra/freetype2 2.14.0-1 在渲染此系列字体时会导致界面冻结（bug报告），建议暂时改用其他字体或停留在 freetype2 2.13.3-3 版本。 AUR 正在持续遭受攻击，请参考最近的新闻。 virt-manager 更新时提示 .pyc 文件冲突，是由于打包变化引起的。请使用 pacman -Syu --overwrite '*/*.pyc' 来完成此次更新。 如遇 Telegram 在 KDE 中使用右键菜单后显示错乱，请尝试关闭菜单透明。 ---- 火狐更新后语言包失效，通常是因为手动安装的语言包与更新后的火狐版本不一致。请从软件仓库安装语言包，并在 about:addons 中卸载已安装的语言包，直到不再允许卸载。 使用 Chrome / Electron 软件时，如遇输入法漏编码问题，请指定使用 Wayland 原生运行或者让输入法使用 GTK 模块而非 XIM。在 ~/.config/gtk-3.0/settings.ini 中加上 gtk-im-module=fcitx 即可。如果使用的是 GNOME 可能需要额外的操作 。