Bugtracker 到 GitLab 的迁移已经完成

我们很高兴地宣布 bugtracker 到 GitLab 的迁移已经完成！🥳

感谢每个在迁移过程中提供了帮助的人。

这意味着 GitLab 上的软件包仓库的 issue tracker 和 merge request 现在已经被启用了。

在此之后，旧版的 bugtracker 将会被关闭。但是出于归档相关的原因，我们会为其提供一份静态副本，如此，链接（比如这个随机选取的 Task #56716）将会保持稳定可用。被迁移的 bug 的评论区会留有一个关闭评论区的评论，该评论会提供一个指向 GitLab 的新 URL。

软件包的打包 bug 现在在对应软件包的打包资源仓库中创建。archlinux.org 的软件包页面上的 “Add a new Bug” 按钮现在将会自动将你引导到正确的地方去创建 issue。在此之后，工作流基本上和原先的一致。首先，我们的 Bug Wrangler 们会查看并分类 issue，然后它们将会被交由对应的 Package Maintainer 们去处理。一个完整的 issue 列表可以在这里找到。

如果你没有一个（授权认证了我们的 SSO 服务的）GitLab 帐号的话，你可以像 banner 中建议的那样使用你想要的用户名来写一份邮件发送到 [email protected]。

https://www.archlinuxcn.org/bugtracker-migration-to-gitlab-completed/

新系统中安装 archlinuxcn-keyring 包前需要手动信任 farseerfc 的 key

archlinuxcn 社区源的 keyring 包 archlinuxcn-keyring 由 farseerfc 的 key 签署验证，而 Arch Linux 官方 keyring 中包含了 farseerfc 的 key 。自12月初 archlinux-keyring 中删除了一个退任的 master key 导致 farseerfc 的 key 的信任数不足，由 GnuPG 的 web of trust 推算为 marginal trust，从而不再能自动信任 archlinuxcn-keyring 包的签名。

如果你在新系统中尝试安装 archlinuxcn-keyring 包时遇到如下报错：

error: archlinuxcn-keyring: Signature from "Jiachen YANG (Arch Linux Packager Signing Key) <[email protected]>" is marginal trust

请使用以下命令在本地信任 farseerfc 的 key 。此 key 已随 archlinux-keyring 安装在系统中，只是缺乏信任：

sudo pacman-key --lsign-key "[email protected]"

之后继续安装 archlinuxcn-keyring ：
sudo pacman -S archlinuxcn-keyring

https://www.archlinuxcn.org/archlinuxcn-keyring-manually-trust-farseerfc-key/

[archlinuxcn] 仓库主服务器 repo.archlinuxcn.org 暂时不可用，请使用其他镜像

从昨日(2023-12-27 13:30 UTC+8)起，本社区 [archlinuxcn] 仓库主服务器遭遇未知技术故障，无法访问。请暂时改用其他镜像服务器，如各大高校的镜像或海外 xTom 镜像等。注意各镜像服务器只有故障前的包的镜像，在主服务器故障期间它们将无法收到更新。

在等待服务器恢复的过程中，我们更改了 rsyncd 服务器，镜像站将在数小时至一天内开始同步最新内容。

repo.archlinuxcn.org 已恢复运作。故障原因为硬件问题。

由于遭受 DDoS 攻击，ArchWiki 在中国大陆部分地区（主要是中国电信的网络）会返回 403 错误。请知悉，受影响的用户可以考虑更换不同的网络进行访问。

另注，已经独立出来的中文版维基不受影响。也可以安装并使用仓库里的 arch-wiki-docs 或者 arch-wiki-lite 离线文档包。

https://gitlab.archlinux.org/archlinux/infrastructure/-/issues/559

我们将 dbus-broker 设为默认的 D-Bus 守护进程

为了提高性能、可靠性以及与 systemd 的集成，我们将 dbus-broker 设为 D-Bus 的默认实现。
在可预见的未来，我们仍将支持使用 dbus-daemon，即之前的实现。pacman 会询问你是否要安装 dbus-broker-units 或 dbus-daemon-units。我们建议选择默认选项。
如需了解更详细的原因，请参阅我们的 RFC 25 。

https://www.archlinuxcn.org/making-dbus-broker-our-default-d-bus-daemon/

mkinitcpio 迁移挂钩及早期微码更新

伴随 mkinitcpio v38 发布，几个之前以 Arch 打包提供的挂钩（hook）移动到了 mkinitcpio 上游项目中。这些挂钩是： systemd, udev, encrypt, sd-encrypt, lvm2 和 mdadm_udev。
为了保证不破坏用户设置，我们在相关包中加入了一些临时的冲突，避免安装不再相互兼容的包。
以下这些包必须同时更新：

- mkinitcpio 38-3
- systemd 255.4-2
- lvm2 2.03.23-3
- mdadm 4.3-2
- cryptsetup 2.7.0-3

另外请注意 mkinitpcio 的 --microcode 选项和 preset 文件中的 microcode 选项将被弃置，取而代之的是新的 microcode 挂钩。这可以让你删掉引导配置中的 initrd 加载微码的行，因为它们现在已经打包进了主 initramfs 镜像文件中。

https://www.archlinuxcn.org/mkinitcpio-hook-migration-and-early-microcode/

由于受到大量下载的攻击，部分中国大陆的 IP 可能无法访问 repo.archlinuxcn.org ，请知悉，并改用镜像站点。

已解决。大范围的 IP 封禁已取消。

xz 软件包被植入后门

简单讲：立即升级系统和容器镜像！

大家可能已经听说了 [1]，xz 上游发布的 5.6.0 和 5.6.1 版本的代码包（tarball）中含有添加后门的恶意代码。

Arch Linux Security Tracker 记录了该漏洞 [2]。

xz 软件包旧于 5.6.1-2 的版本（即 5.6.0-1 和 5.6.1-1）包含该后门。

以下发布内容（release artifacts）也包含了受影响的 xz 版本：

- 安装镜像：2024.03.01 版
- 虚拟机镜像：20240301.218094 和 20240315.221711 版
- 容器镜像：任何 2024-02-24 到 2024-03-28 之间（包括这两个日期）构建的版本

受影响的发布内容已经从我们的镜像站上移除。

强烈建议不要使用受影响这些受影响的发布内容。请下载当前的最新版本！

升级系统
如果你的系统当前安装了 xz 5.6.0-1 或 5.6.1-1，强烈建议你立即进行完整系统升级：

pacman -Syu

升级容器镜像
要确定否正在使用受影响的容器镜像，使用以下命令（podman 用户）：

podman image history archlinux/archlinux

或者（docker 用户）：

docker image history archlinux/archlinux

所有旧于 2024-03-29 且新于 2024-02-24 的 Arch Linux 容器镜像都受到了影响。

使用以下命令升级受影响的容器镜像到最新版本（podman 用户）：

podman image pull archlinux/archlinux

或者（docker 用户）：

docker image pull archlinux/archlinux

升级之后，请确保重新构建基于受影响版本的任何容器镜像，并检查所有运行中的容器！

sshd 认证绕过 / 代码执行问题
根据上游报告 [1]：

openssh 不直接使用 liblzma。但 debian 和其他几个发行版对 openssh 打了补丁，引入了 systemd 通知支持，而 libsystemd 确实依赖于 lzma。

Arch 并不直接将 openssh 链接到 liblzma，因此这种攻击途径是不可能的。可以通过以下命令来确认这一点：

ldd "$(command -v sshd)"

但是，出于谨慎，我们建议用户通过升级系统/容器镜像移除恶意代码 —— 因为可能有其他还没有被发现的后门利用方法。

https://www.archlinuxcn.org/the-xz-package-has-been-backdoored/

增加 vm.max_map_count 的默认值

系统参数 vm.max_map_count 的默认值将从 65530 增加到 1048576 。
这一变更应该能对一些内存需求较高的应用程序帮助改善性能，减少崩溃或者启动问题，尤其是（但不仅限于）通过 Wine/Steam Proton 玩一些 Windows 游戏的情况。总体上来说，用户应该得到更平滑的开箱使用体验，而目前没有已表明的潜在顾虑，参见 arch-dev-public 邮件列表上关于本提议的讨论。
这项对 vm.max_map_count 的修改将会增加到 2024.04.07-1 版本的 filesystem 包，并且将在更新后生效。
在更新系统前，如果你已经在 sysctl.d 文件中自己设置过这个参数，请要么删除它（来切换到新的默认值），要么确保你的配置文件会比 /usr/lib/sysctl.d/10-arch.conf 文件有更高的优先级（以覆盖新的默认值）。

https://www.archlinuxcn.org/increasing-the-default-vmmax_map_count-value/

Arch Linux 2024 项目负责人选举结果

最近我们举办了项目负责人选举，前一任项目负责人 Levente “anthraxx” Polyák 再次参选，而没有别人参选。
因此根据选举规则他再任一届任期。
Arch Linux 项目负责人的职责包括作出一些决策（当没法达成共识时），处理和SPI相关的财政事务，以及整体的项目任务管理。
恭喜 Levente 并希望这一届任期也会是顺利的一届！🥳

https://www.archlinuxcn.org/arch-linux-2024-leader-election-results/

官方仓库中 Python 3.12 及依赖其的包已经进入稳定仓库。

[archlinuxcn] 仓库中依赖 Python 的包应该会很快完成更新，但是不能排除因为打包出错而延迟的情况。[archlinuxcn] 仓库的用户需要注意官方仓库与 [archlinuxcn] 仓库不一致的情况可能导致的问题，若有疑虑请考虑这两天不要更新或者安装新包，耐心等待软件包重建完成和镜像完全同步。另外记得重新打包从 AUR 等地方手动打包安装的相关软件包（比如 optimus-manager）。

如果已经更新过，使用 pacman -Qoq /usr/lib/python3.11 可列出本地安装的包中还未更新至 Python 3.12 的包。

近期常见问题简答

更新时如遇 extra.db 404，请尝试更换其它镜像。

汉字显示残缺不全，是更纱黑体 hinting 的问题。请更新或者更换其它字体。

遇到 gcc12 与 gcc13 冲突，请尝试卸载 gcc12。

使用 Chrome / chromium / 电子（electron）软件时，如遇输入法漏编码问题，请指定使用 GTK 模块而非 XIM。在 ~/.config/gtk-3.0/settings.ini 中加上 gtk-im-module=fcitx 即可。

nvidia 550 闭源驱动可能导致包括关机、使用 zswap 等多种情况下内核崩溃（kernel panic），请知悉。

Telegram Desktop 被 OOM Killer 杀死（终端显示 Killed），请删除 Tokyonight 的 telegram.svg 图标或者换其它图标主题。（QTBUG-124287）

近期常见问题简答

更新时遇到提示：安装icu（75.1-1）破坏依赖 'libicui18n.so=74-64'（electron22 需要）的，请尝试卸载 electron22 及依赖它的包。

更新时如遇 extra.db 404，请尝试更换其它镜像。

遇到 gcc12 与 gcc13 冲突，请尝试卸载 gcc12。

使用 Chrome / 电子软件时，如遇输入法漏编码问题，请指定使用 GTK 模块而非 XIM。在 ~/.config/gtk-3.0/settings.ini 中加上 gtk-im-module=fcitx 即可。

nvidia 550 闭源驱动可能导致包括关机、使用 zswap 等多种情况下内核崩溃（kernel panic），请知悉。

Telegram Desktop 被 OOM Killer 杀死（终端显示 Killed），请删除 Tokyonight 的 telegram.svg 图标或者换其它图标主题。

近期常见问题简答

更新时遇到类似 安装icu（75.1-1）破坏依赖 'libicui18n.so=74-64'（electron22 需要）提示的，请尝试卸载 electron22 （或 qt5-webkit 等，取决于提示中提到的包）及依赖它的包。不要尝试忽略 icu 更新！

更新时如遇 extra.db 404，请尝试更换其它镜像。

遇到 gcc12 与 gcc13 冲突，请尝试卸载 gcc12。

使用 Chrome / 电子软件时，如遇输入法漏编码问题，请指定使用 GTK 模块而非 XIM。在 ~/.config/gtk-3.0/settings.ini 中加上 gtk-im-module=fcitx 即可。如果使用的是 GNOME 可能需要额外的操作 。

nvidia 550 闭源内核模块可能导致多种情况下内核崩溃（kernel panic），请知悉。如果显卡属于 Turing 微架构及之后可以考虑切换到 nvidia-open{,-dkms}，否则可以考虑使用 aur/nvidia-535xx-dkms，或者卸载 nvidia-utils 来使用 nouveau。

Telegram Desktop 被 OOM Killer 杀死（终端显示 Killed），请删除 Tokyonight 的 telegram.svg 图标或者换其它图标主题。

近期常见问题简答 20240609

noto-fonts-cjk 打包变化，可能导致默认CJK回落字体不再是 Noto 系列字体。如需要设置回 Noto，请自行设置 fontconfig 或参考这里。

更新时遇到类似 安装icu（75.1-1）破坏依赖 'libicui18n.so=74-64'（electron22 需要）提示的，请尝试卸载 electron22 （或 qt5-webkit 等，取决于提示中提到的包）及依赖它的包。不要尝试忽略 icu 更新！

使用 Chrome / 电子软件时，如遇输入法漏编码问题，请指定使用 GTK 模块而非 XIM。在 ~/.config/gtk-3.0/settings.ini 中加上 gtk-im-module=fcitx 即可。如果使用的是 GNOME 可能需要额外的操作 。

nvidia 550 闭源内核模块可能导致多种情况下内核崩溃（kernel panic），请知悉。如果显卡属于 Turing 微架构及之后可以考虑切换到 nvidia-open{,-dkms}，否则可以考虑使用 aur/nvidia-535xx-dkms，或者卸载 nvidia-utils 来使用 nouveau。

近期常见问题简答 20240621

更新到 Plasma 6.1 后遇到 QML 相关报错，尝试删除 ~/.cache/systemsettings/qmlcache。

noto-fonts-cjk 打包变化，可能导致默认CJK回落字体不再是 Noto 系列字体。如需要设置回 Noto，请自行设置 fontconfig 或参考这里。

更新时遇到类似 安装icu（75.1-1）破坏依赖 'libicui18n.so=74-64'（electron22 需要）提示的，请尝试卸载 electron22 （或 qt5-webkit 等，取决于提示中提到的包）及依赖它的包。不要尝试忽略 icu 更新！

使用 Chrome / 电子软件时，如遇输入法漏编码问题，请指定使用 GTK 模块而非 XIM。在 ~/.config/gtk-3.0/settings.ini 中加上 gtk-im-module=fcitx 即可。如果使用的是 GNOME 可能需要额外的操作 。

nvidia 550 闭源内核模块可能导致多种情况下内核崩溃（kernel panic），请知悉。如果显卡属于 Turing 微架构及之后可以考虑切换到 nvidia-open{,-dkms}，否则可以考虑使用 aur/nvidia-535xx-dkms，或者卸载 nvidia-utils 来使用 nouveau。

OpenSSH 9.8p1-1 安全更新

请使用 sshd 的用户尽快将 OpenSSH 更新到 9.8p1-1（或更新）版本，以修复 CVE-2024-6387 远程代码执行漏洞。请注意：此次 9.8 版本的更新比较特别，请记得在更新完成之后、连接断开之前重启 sshd 服务，否则有可能无法再次连上（不重启服务的话漏洞也不会被修复）。重启 sshd 服务并不会中断已有的 ssh 连接。