Glibc 2.41 版本会损坏 Discord 安装

我们计划今天（2月3日）将 glibc 及其相关组件更新至稳定版。安装此更新后，Discord 客户端将显示红色警告，提示安装已损坏（the installation is corrupt）。
该问题已在 Discord 的 canary 版本中修复。如果您依赖音频功能，建议使用 canary 版本、从浏览器登录或使用 flatpak 版本，直至稳定版 Discord 发布修复更新。
目前未接到文字聊天功能受影响的报告。

https://www.archlinuxcn.org/glibc-241-corrupting-discord-installation/

关键 rsync 安全更新 3.4.0

我们想提醒大家 rsync 发布了安全版本更新 3.4.0\-1 ，已经在公告 ASA-202501-1 中所描述。
攻击者仅需要 rsync 服务器的匿名读取权限，比如公共镜像站，就可在服务器端的机器上执行任意代码。并且，攻击者可以控制受影响的服务器端，然后在连接上该服务器的客户端读写任意文件。据此可以获取敏感信息，比如 OpenGPG 和 SSH 的私钥，并且可以通过写入 ~/.bashrc 或 ~/.popt 文件的方式执行恶意代码。
我们强烈建议所有在执行 3.4.0\-1 之前版本的 rsync 守护进程或者客户端的用户立刻升级系统并重启。以及因为 Arch Linux 镜像站通常使用 rsync 同步更新，我们强烈建议所有镜像站管理员立刻行动，即便这些镜像站中提供的包文件本身是被加密签名保护的。
所有 Arch Linux 维护的基础设施服务器和镜像服务器已经更新修复。

https://www.archlinuxcn.org/critical-rsync-security-release-340/

官方仓库中 Python 3.13 及依赖其的包已经进入稳定仓库。

[archlinuxcn] 仓库中依赖 Python 的包应该会很快完成更新，但是不能排除因为打包出错而延迟的情况。[archlinuxcn] 仓库的用户需要注意官方仓库与 [archlinuxcn] 仓库不一致的情况可能导致的问题，若有疑虑请考虑这两天不要更新或者安装新包，耐心等待软件包重建完成和镜像完全同步。另外记得重新打包从 AUR 等地方手动打包安装的相关软件包。

如果已经更新过，使用 pacman \-Qoq /usr/lib/python3.12 可列出本地安装的包中还未更新至 Python 3.13 的包。

给打包用的源码指定协议

以前 Arch Linux 打包用的源码（比如PKGBUILD文件）一直没有写明协议，这潜藏着问题。明确指定协议可以澄清这种不确定性。
根据 RFC 40 我们同意把所有打包用的源码授权为非常开放的 0BSD 协议。这项变更不会限制你能用打包源码做的事情。请参阅 RFC 以了解缘由和之前的讨论。
在做出变更之前，我们想给贡献者一个提出反对声音的渠道。从2024年11月19日起，为期一周时间，贡献者们将收到一封邮件通知，其中会列出他们所做的所有贡献。
・ 如果你收到邮件并且同意这次变更，那么不需要你那边进行任何操作。
・ 如果你不同意，那么请回复邮件，然后我们会一起协商一个方案。
如果你之前为 Arch Linux 打包做出过贡献但没有收到邮件通知，请联系我们 [email protected] 。

https://www.archlinuxcn.org/providing-a-license-for-package-sources/

pacman 7.0.0 更新，本地仓库需要手动干预

随着 7.0.0 版本的发布，pacman 增加了以单独的低权限用户身份来下载软件包的功能。

然而，对于使用本地仓库的用户，这可能意味着下载用户无法访问相关文件。要解决此问题，可以将这些文件和文件夹分配给 alpm 组，并确保相关文件夹设置了可执行权限（+x）。

$ chown :alpm \-R /path/to/local/repo

请记得合并 .pacnew 文件以应用新的默认设置。

pacman 还引入了一个更改，以提高使用 .gitattributes 文件的 git 仓库的校验和稳定性。使用 git 源码的 PKGBUILD 可能需要一次校验和更改。

https://www.archlinuxcn.org/manual-intervention-for-pacman-700-and-local-repositories-required/

升级 tzdata 至 2024b-1 可能会出现问题 由于在 2024b 版本中，tzdata 使用了暂不受支持的一些新格式，可能会造成 libstdc++ 及其他库无法正确解析。出现的错误现象可能是部分使用 C++ 编写的软件（如 waybar）无法识别和使用除了 UTC 以外的所有时区。 为了避免这个问题，目前可以将 tzdata 包降级到（或保留在）2024a-2 版本。 相关链接：Arch tzdata的错误报告、上游 tzdata 的讨论、libstdc++ 上的更改。

呃，两台服务器再次离线……

luoxu.archlinuxcn.org 也恢复了。至此之前离线的服务全数恢复。

repo.archlinuxcn.org 已经恢复，但 luoxu.archlinuxcn.org 还没有。

repo.archlinuxcn.org 已离线，恢复时间未知。用户可改用镜像站。另外 luoxu.archlinuxcn.org 也同时离线。