WeLinux

Debian 发布团队成员 Paul Gevers 于 5 月 10 日在 debian-devel-announce 邮件列表发布公告，宣布 Debian 将正式强制要求所有软件包实现可复现构建（reproducible builds）。自公告发布之日起，Debian 的软件包迁移工具已启用检测机制：无法通过可复现性验证的新软件包将被阻止进入测试分支，测试分支中现有软件包若出现可复现性退步同样会被拦截。此举相当于为可复现性水平设置了一个"棘轮"，确保整体标准只进不退。 不过，Gioele Barabucci 随即指出，此处的"可复现"特指在 Debian 官方构建环境（buildd）的某个实例中可复现，比可复现构建项目的通常定义更为受限——后者的长期目标是让任意用户在本地系统独立构建出与官方二进制包逐比特完全一致的结果。尽管如此，LWN 与社区普遍认为这仍是可复现构建运动的重要里程碑。目前用户已可通过 debrebuild 工具在本地验证 Debian 官方构建守护进程未向软件包注入恶意内容；长尾问题尚在处理中，此次政策变更的首要目标是防止可复现性状况继续恶化。 LWN.net | Debian 邮件列表 https://lwn.net/Articles/1072314/

据 Phoronix 报道，继 Linux 7.1 开始淘汰 i486 处理器支持后，Linux 7.2 的支持删除范围进一步扩展至缺少时间戳计数器（TSC，Time Stamp Counter）指令的 i586 与 i686 级处理器。受影响的处理器包括 AMD K5 及多款 Cyrix 系列型号；拥有 TSC 的 Intel Pentium 系列则不在本次删除之列。开发者认为，在不支持 TSC 的老旧处理器上维护相关代码路径已成为明显负担，而 TSC 如今可被视为现代 Linux 启动的基础依赖，使内核得以移除大量与非 TSC 相关的 x86 代码路径。AMD K5 于 1996 年 3 月发布，是 AMD 首款完全自主设计的 x86 处理器，采用 RISC 内部架构配合 x86 解码前端，集成 430 万个晶体管，其主要对手为 Intel 奔腾；因上市较晚且性能未达预期，K5 在市场上未获广泛采用。 Phoronix

Linux Containers 项目负责人 Stéphane Graber 于 5 月 5 日宣布 Incus 7.0 LTS 正式发布，该版本将获得为期 5 年的长期支持（至 2031 年 6 月），前两年提供 bug 修复、安全补丁及小幅可用性改进，后三年切换为安全修复模式。Incus 是一款现代化的系统容器、应用容器与虚拟机管理器，以 Apache 2.0 协议开源，可从预制镜像或任意 OCI 镜像仓库创建实例。此版本共有 204 名贡献者参与，并修复了由 7asecurity 安全审计发现的 9 个安全漏洞（均评级为中或低危）。主要新特性方面：内置 S3 监听器替换了不再维护的 MinIO，现有存储桶数据将在首次访问时自动迁移；新增 NBD API 与脏位图（dirty bitmap）接口，支持虚拟机的增量备份与恢复；新增 core.shutdown_action 配置项，可在关机时触发集群实例疏散；新增存储池项目访问限制键；集群重均衡时调用实例部署脚本；incus file push/pull 行为对齐 cp 命令语义。 重大变更方面，Incus 7.0 LTS 提升了全线依赖的最低版本要求，包括 Go 1.25、Linux 6.12、QEMU 8.2、LXC 6.0、nftables 1.0 及 dnsmasq 2.90，并彻底移除了 CGroupV1 支持与 xtables（iptables/ebtables）防火墙后端，仅保留 nftables。对于从 Incus 6.0 LTS 直接升级的用户，此次还一并引入了 OCI 应用容器支持、依赖存储卷、网络地址集、Linstor 与 TrueNAS 存储驱动，以及集群组 CPU 基线定义等功能。Incus 6.0 LTS 则进入仅安全维护阶段，包含上述安全修复的 6.0.7 版本正在准备中。 Linux Containers Forum https://discuss.linuxcontainers.org/t/incus-7-0-lts-has-been-released/26641

韩国安全研究员 Hyunwoo Kim（@v4bel）于北京时间 5 月 8 日凌晨在 oss-security 邮件列表正式披露 Linux 内核本地提权（LPE）漏洞 Dirty Frag，同步发布概念验证（PoC）利用代码。该漏洞通过链式组合两个独立缺陷实现普通用户一步提权至 root：其一为 xfrm-ESP Page-Cache Write，利用 IPsec ESP 快速解密路径在 splice()/sendfile() 注入的外部页面上直接操作，提供强力的任意 4 字节写原语；其二为 RxRPC Page-Cache Write，无需命名空间创建权限。两者互补盲区——前者可绕过 Ubuntu 的 AppArmor 限制，后者则针对默认加载 rxrpc.ko 的 Ubuntu 环境——组合后可在所有主流发行版上实现完整利用。该漏洞属于 Dirty Pipe（CVE-2022-0847）与 Copy Fail（CVE-2026-31431）同类缺陷的延伸，为确定性逻辑漏洞，无需竞争条件，失败时内核不崩溃，成功率极高。xfrm-ESP 漏洞影响范围可追溯至 2017 年 1 月（Linux 4.14 前后），存续近 9 年；受影响发行版涵盖 Ubuntu 18.04–24.04、RHEL/AlmaLinux 8–10、Fedora 44、openSUSE Tumbleweed、CentOS Stream 10、Debian 10–13 等全线主流版本。 本次披露属于禁令被破后的被动公开：Kim 原定于 5 月 12 日协调性披露，但不明第三方提前泄露，迫使其在 linux-distros 维护者建议下提前发布完整信息。目前尚无任何发行版的官方补丁，亦未分配 CVE 编号；上游内核已有针对 ESP 的修复提交进入 netdev 树，rxrpc 补丁亦在 netdev 邮件列表流转，AlmaLinux 已率先发布测试版修复内核。临时缓解措施为卸载并禁用 esp4、esp6、rxrpc 三个内核模块，但将导致 IPsec 与 kAFS 功能失效，不适用于依赖这些功能的生产环境。 GitHub | LWN.net | AlmaLinux https://github.com/V4bel/dirtyfrag https://lwn.net/Articles/1071719/ https://almalinux.org/blog/2026-05-07-dirty-frag/

安全研究团队 Theori 旗下的 Xint Code 于 4 月 29 日公开披露 CVE-2026-31431（“Copy Fail”）——一个在 Linux 内核加密子系统中潜伏近十年的直线逻辑缺陷，无需竞态条件、无需内核版本特定偏移，同一支 732 字节 Python 脚本（仅用标准库）可在 Ubuntu、Amazon Linux、RHEL、SUSE 四大发行版上稳定获取 root shell，并已确认可作为容器逃逸原语横穿 Kubernetes 节点边界（Part 2 技术细节待发）。漏洞根本原因在于三个独立修改在时间轴上的交叉：2011 年 authencesn 加入内核以支持 IPsec ESN 时将调用方目标 scatterlist 当作 ESN 字节交换的临时暂存区；2015 年 AF_ALG 获得 AEAD 支持并引入 splice() 路径，可将页缓存页（包含 setuid 二进制文件的内存镜像）以引用方式直接喂入加密 scatterlist；2017 年 algif_aead.c 引入"就地（in-place）"优化，令 req->src = req->dst 且通过 sg_chain() 把页缓存的 tag 页链接到可写目标 scatterlist——至此 authencesn 的越界 4 字节写正好落入页缓存中，而该写入完全绕过 VFS writeback 路径，磁盘文件保持不变，基于磁盘校验的完整性工具无法检测。利用时攻击者以 splice() 将 /usr/bin/su 的页缓存喂入 AF_ALG socket，通过选择 assoclen 与 splice 偏移精确控制写入位置，通过 sendmsg AAD bytes 4–7（seqno_lo）控制写入值，多轮调用后在内存中注入 shellcode，execve("/usr/bin/su") 即触发提权——无需特权，唯需普通本地用户账号。 漏洞于 3 月 23 日向 Linux 内核安全团队报告，4 月 1 日主线提交修复（commit a664bf3d603d，撤销 2017 年的 in-place 优化，将 req->src 与 req->dst 重新分离为独立 scatterlist），4 月 22 日分配 CVE 编号，4 月 29 日公开披露。主流发行版（RHEL、Ubuntu、SUSE、Debian）正在或已推送含修复的内核包。紧急缓解措施为禁用 algif_aead 模块：执行 echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf && rmmod algif_aead 2>/dev/null；此操作对 dm-crypt/LUKS、kTLS、IPsec/XFRM、OpenSSL 默认构建均无影响，仅影响显式启用 afalg 引擎的少数配置。对 CI runner、容器沙盒、多租户主机等不可信工作负载，无论是否已打补丁均建议通过 seccomp 阻断 AF_ALG socket 创建。 Copy Fail | Xint Blog | GitHub PoC | Red Hat | Ubuntu | Debian | SUSE https://copy.fail/ https://xint.io/blog/copy-fail-linux-distributions https://github.com/theori-io/copy-fail-CVE-2026-31431

Fedora Linux 44 于 4 月 28 日正式发布，搭载内核 6.19.14-300.fc44（Linux 7.0 未能赶上此次发布窗口，预计数周后以更新形式推送）。旗舰 Workstation 版内置 GNOME 50，带来可访问性、色彩管理与远程桌面等层面的大量改进；KDE Plasma Desktop 版升级至 Plasma 6.6，引入全新 Plasma Login Manager 与 Plasma Setup，提供更一体化的首次开机体验，同时简化了安装流程。Wine NTSYNC 内核模块通过软件包推荐机制自动启用（无需手动配置），可改善 Wine 与 Steam 运行 Windows 程序（尤其是游戏）的兼容性与性能。Anaconda 安装器改为仅为安装期间实际配置的网卡创建网络配置文件，简化安装后的网络自定义流程；MariaDB 默认版本从 10.11 升至 11.8；Fedora Cloud 的 /boot 分区改用 Btrfs 子卷以改善空间利用率。 桌面版本层面，本次发布同步提供 Atomic Desktops（Silverblue、Kinoite、Cosmic、Budgie、Sway）和 Spins（Cinnamon、Xfce 等）各版。OpenSSL 证书加载时间通过目录哈希支持有所改善，但涉及证书包存储路径变更，升级用户需留意相关文档。Fedora Asahi Remix 44 与本次同期发布（Asahi 项目此前已在进展报告中宣布 M3 系列 Alpha 支持，正式安装器入口随本版本开放）。从 Fedora 43 升级可通过 dnf upgrade --refresh 后执行 dnf system-upgrade 完成，官方称"与普通更新重启基本无异"；Linux 7.0 内核将在稳定期（预计 6 月中旬）前推送。 Fedora Magazine | Fedora 44 Release Notes - Desktop https://fedoramagazine.org/announcing-fedora-linux-44/ https://docs.fedoraproject.org/en-US/fedora/latest/release-notes/desktop/

Phoronix 在 Linux 7.1-rc1 发布当日统计了内核代码规模。尽管 7.1 合并窗口期间大量清理了旧驱动——包括 ISDN、业余无线电（Ham Radio）及其他老旧网络驱动共减少约 13.8 万行代码，还移除了 PCMCIA 驱动、部分 PCI 驱动并开始退出俄罗斯 Baikal CPU 支持——但这些删减远不足以抵消新增代码，Linux 7.1 Git 树总行数已快速逼近 4000 万行。其中 AMD GPU 驱动（AMDGPU + AMDKFD 计算代码及相关基础设施）在 7.1 周期中突破 600 万行，成为主线内核中规模最大的单一开源驱动，这一数字主要来自 Linux 7.0 周期中 AMD 同步提交的多个 GPU 架构寄存器头文件与自动生成的硬件定义文件。 相关背景是：Linux 内核代码总量在 2015 年约为 1900 万行，在近 10 年内翻倍，并于今年 1 月前后正式越过 4000 万行大关；AMD GPU 驱动一家的体量约占整个内核的 15%，Phoronix 的逐版本追踪数据显示其规模在每个内核周期都以百万量级持续扩张。Intel 486 CPU 支持的退出在 7.1 中仅完成了配置文件删除，代码清理将延续至后续版本，对总行数影响有限。 Phoronix https://www.phoronix.com/news/Linux-Kernel-Nearly-40M

Linus Torvalds 于 4 月 26 日标记并推送 Linux 7.1-rc1，关闭为期两周的合并窗口，共纳入约 1.3 万条非合并提交。最受关注的亮点包括：全新 NTFS 驱动上游（定位取代现有所有开源 NTFS 实现，XDA 报道称其显著提升 Linux 与 Windows 分区之间文件传输的速度与安全性）；Flexible Return and Event Delivery（FRED）在 Intel Panther Lake 平台上正式默认启用（基准测试显示对性能有明显提升）；32 位 ARM 架构获得 PREEMPT_RT 实时内核支持（Linux 6.12 已为 x86、ARM64 与 RISC-V 引入 PREEMPT_RT，7.1 补齐了 32 位 ARM 这一缺口，覆盖大量工业与嵌入式设备）；Intel 新增 SoC 电源滑块（SoC Slider）支持，x86_energy_perf_policy 工具新增 --soc-slider-balance、--soc-slider-offset 与 --platform-profile 命令行参数，可直接从用户空间管理 Panther Lake 系统的功耗/性能偏好。硬件支持层面新增 12 款 SoC，包括高通骁龙 Glymur（18 核 Oryon-2）、Glymur 变体 Mahua（12 核）、面向移动与 IoT 的 Eliza（SM7750/QC7790S），以及 ARM Corstone-1000-A320、Renesas RZ/G3L、NXP S32N79 等。 此外，合并窗口还完成了多项清理：i486 配置文件已删除（代码清除待后续 RC）、旧网络驱动与 PCMCIA 驱动批量移除、俄罗斯 Baikal CPU 支持启动退出程序（bt1-l2-ctl 内存驱动已移除）；Lenovo Legion Go 与 Yoga 风扇驱动、Intel QAT Zstd 压缩支持、Intel LASS（线性地址空间分离）安全特性、AMD Zen 6 进一步使能也一并落地。尽管 AMD GPU 寄存器头文件同步造成统计数字虚高，内核代码总量仍逼近 4000 万行。稳定版预计于 2026 年 6 月中旬发布；Linus 在发布邮件中提及本轮合并"相当正常，略偏大"，呼吁社区积极测试并报告回归。 Phoronix - rc1 | Phoronix - ARM RT | Phoronix - SoC Slider | XDA https://www.phoronix.com/news/Linux-7.1-rc1 https://www.phoronix.com/news/Linux-7.1-ARM-RT https://www.phoronix.com/news/Linux-7.1-SoC-Slider-Utility https://www.xda-developers.com/linux-71-rc1-brings-faster-safer-file-transfers-between-windows-and-linux-partitions-with-a-brand-new-ntfs-driver/

Asahi Linux 项目于 4 月 26 日发布 Linux 7.0 进展报告，M3 系列芯片设备的 Linux 支持新增 PCIe、键盘/触控板、SMC 时钟控制器及 NVMe 控制器，整体支持水平已与项目最初 M1 Alpha 版相当，尚未通过安装器开放安装但"即将到来"。同期 Fedora Asahi Remix 44 预计随 Fedora Linux 44 于 4 月 28 日发布，新安装将采用 Plasma Setup 替代 Calamares 向导，Plasma Login Manager 替代 SDDM，并回归上游 Mesa 与 virglrenderer 包。 技术突破层面，本次报告的亮点分散于多个子系统：Variable Refresh Rate（VRR）支持完成——驱动开发者在追踪显示控制器固件时意外发现一个被误读三年的参数就是最低刷新率设置，由此将数百行代码简化为两个函数调用，M3 ProMotion 内屏同样适用，目前通过 appledrm.force_vrr 内核参数手动开启，正式 KMS 暴露待上游讨论确定规范；蓝牙共存问题修复，之前每当 KDE Connect 触发蓝牙扫描就会造成音频丢包，现已通过向内核蓝牙协议栈添加 Broadcom 私有 HCI 命令解决；电源管理方面，M1 Pro 及后续芯片新增电源管理处理器（PMP）驱动，14 英寸 M1 Pro MacBook Pro 空载功耗降低约 0.5W（约 20%）；此外环境光传感器（ALS / True Tone）固件加载机制已完成，安装器 0.8.0 同步更新并新增 Mac Pro 支持及固件更新模式，用户只需重新运行安装器即可获取校准数据而无需手动操作 EFI 分区；耳机插孔芯片 CS42L84 驱动新增对 44.1、88.2、176.4 和 192 kHz 采样率的支持，避免了 PipeWire 因重采样产生的额外 CPU 开销与音质损失。 Asahi Linux | Phoronix