昨天刚刚回国，坐了十多个小时的飞机，实在太累了，就没有更新“开源新闻速递”，今天补上~

头条消息

我们前两天提到过，Windows 的桌面市场份额已经跌破了90%，不过，也许你也听说了，在朝鲜国，Windows 的份额只能排名第三：第一名是 Mac 的 OS X，31.29%；第二名是 Linux，份额基本相当， 30.93%；第三名以及往后才是各种 Windows。等等，不要着急，如果你将这些各个版本的 Windows 份额加起来，其实发现，Windows 家族还是第一，达到 37.68%！当然，即便如此，Linux 也不错了，能有1/3的份额呢。

Fedora 24 的 Beta 测试版本，在经过了三次拖延之后，终于要在 5 月 10 日发布了。而下一步版本 Fedora 25 也公布了它的发布计划，根据该计划， Fedora 25 将于 11 月 8 号发布。当然，基于 Fedora 的传统，一般来说都是要延期的。

说起来，现在无论是 Fedora 还是 Ubuntu，都像搞军备竞赛一样，半年一个版本，真让人目不暇接。当然，除了发行版之外，浏览器也是如此，比如说， Chrome 现在版本是 50，FireFox 也放马直追，46 了。呃，不要忘记了，我们的 Linux 内核的多个分支也是如此，几天一个版本，感觉（对更新）已经不会再爱了。

重要的开源软件版本更新

• HPLIP （HP 复印与打印）项目发布了 3.16.5 版本。它是一个开源的 HP 打印机驱动项目，致力于带来最新的 HP 打印机驱动。如果你使用 HP 打印机，那你绝对应该试试它。它支持绝大多数最新的 Linux 发行版，项目开发非常活跃，每个月都至少会发布一次新版本，这次的更新后，就支持了 Ubuntu 16.04 LTS 和 Debian 8.4。
• 前 Kubuntu 项目领导人 Jonathan Riddell 宣布他的新项目 KDE Neon 的每日构建镜像可以下载了。这是一个滚动发行版，可以给使用者带来最新的软件更新体验。
• Linux 内核 4.4.9 LTS 、3.14.68 LTS 发布 。
• LibreOffice 5.0.6 发布。
• Red Hat 发布了两个软件的 beta 版本： Red Hat Software Collection 2.2 Beta 和 Red Hat Developer Toolset 4.1 Beta 。
• Canonical 为三星的 ARTIK 5 和 ARTIK 10 发布了 Ubuntu Core 操作系统。
• 滚动发行版 Neptune Linux 发布了 4.5.1，最大的修复是解决了不能从 USB3 端口上引导的问题。
• SparkyLinux 4.3 发布，这是一个轻量级的 Debian 衍生版，有不同的桌面环境版本： KDE、MATE、Xfce、LXDE 和 LXQt，并且基于它有三个特殊版本：GameOver （游戏专用）、Multimedia （多媒体）和 Rescue （急救）。

两位俄罗斯的安全研究人员刚刚在著名的图像处理库 ImageMagick 中发现了严重的安全漏洞。ImageMagick 用在大量的网站中，所以这个发现的零日漏洞一举将不计其数的网站暴露在安全攻击面前。

该漏洞被称之为“ImageTragick”，CVE 编号是 CVE-2016-3714。这个安全漏洞影响极其广泛，因为 ImageMagick 是除了 GD 之外使用最多的图像处理库，被广泛用于各种语言的图像处理，比如 PHP、Java、Python、Ruby 等等。许多开源软件，比如 WordPress、Drupal、Discuz 等都使用了它的图像处理功能。

通过 ImageMagick 的漏洞可以黑掉网站

据两位研究人员称，ImageMagick 中有多个安全缺陷，但是这个漏洞会导致那些允许用户上传图片（比如会员头像）的网站受到恶意制作的图片的攻击。

目前这个零日漏洞已经被 ImageMagick 项目所证实，但是尚未有修复版本发布，需要等到这个周末才能释出。不过，该项目提供了一些可以缓解该风险的方法。更多的缓解措施，可以参考 ImageTragick 网站 上的相关说明。

目前已经出现了验证该漏洞的 PoC，比如这个和另一个。

攻击者只需要找到能够上传图片的网站就行了

ImageMagick 是很多图像处理库和模块的基础，大量的编程语言都使用它来处理图像，比如 PHP、 Java、 Ruby、 JavaScript/Node.js 等等，而只要是用这些语言开发的网站就处于安全风险之中。

而唯一的条件就是网站允许用户上传图片（比如用户头像）并使用 ImageMagick 相关的库来处理它。

研究人员建议，要对上传的图片文件进行文件格式检查，比如通过 Magic Byte 来判断文件类型。Magic Byte 是一种通过文件头部的特定字节来判断文件类型的机制。

通过该漏洞，攻击者只需要构造一个特殊的文件，伪造成图片上传到服务器，服务器就会执行其中的任意代码，这相当于将整个网站的权限都交给了攻击者。

请在相应的补丁出来请先做防御性的缓解策略，并在更新版本出来后尽快更新。

头条消息

Ubuntu Tweak 的创始人和维护者周鼎宣布，Ubuntu Tweak 项目死亡！虽然之前也听说过 Ubuntu Tweak 不再开发了，但是一直没有一个官方的、态度坚决的宣布结束的公告。而现在，周鼎终于做出了这个艰难的决定。Ubuntu Tweak 已经落下了帷幕。更多详情……

两个俄罗斯安全研究人员发现了被广泛使用的 ImageMagick 图片处理库中存在严重的零日安全缺陷。它是除了 GD 之外使用最多的图片处理库，有不计其数的网站在使用它来进行图片处理，比如对用户上传的图片进行裁剪和缩放。因此，利用该漏洞，攻击者可以上传特别制作的图片文件，从而达到在服务器端执行恶意代码的目的。这个漏洞缺陷编号为：CVE-2016–3714 。目前已经出现了概念验证代码。

在 Ubuntu 在线峰会上， Canonical 宣布即将发布 Snappy Ubuntu Core 16 操作系统，并支持树莓派2和 DragonBoard 410c 等设备。目前还没有任何镜像发布，连 alpha 版本都没有，需要再等一段时间。它是作为其 15.04 版本的延伸，但是大部分的代码都进行了修改。在 Snappy Ubuntu Core 16 中，所有的东西都是 snap，包括设备、文件、内核、应用等等，甚至这个系统本身也是一个 snap。

在 Ubuntu 在线峰会上，来自 Canonical 的开发者 David Callé 宣布为 Ubuntu Touch 移动系统的 Scopes 功能带来两款全新标签化设计的两款模型，并已经在社区上邀请有兴趣的用户进行尝鲜体验。

之前我们报道过，Ubuntu 16.04 LTS 中使用 GNOME “软件”作为图形界面的软件安装系统，替代其原来的“软件中心”，但是这个版本存在一个问题，就是不能通过它来安装第三方的 .deb 软件包（当然，你可以通过命令行来安装）。在上游的 GNOME 开发人员推出修复的更新之后，Ubuntu 16.04 LTS 今天也更新解决了这个问题。

重要的开源软件版本更新

• 一个以简洁漂亮为目标的 Linux 发行版 Simplicity Linux 发布了最新版本 16.04。它是一个基于 LXPup 的发行版，采用的是 LXDE 桌面环境。它分为三个不同的版本： Desktop、X 和 Mini。
• 在 Wine 1.9.9 发布了一周之后，Wine Staging 1.9.9 发布了，不过没啥重要的新功能，只是修复了一些 bug。
• Black Lab Linux 即将发布的企业桌面版第 8 版的第六个开发者预览版可以下载了，在这个版本中，增加了实时内核补丁，也就是说，以后可以不用重启而对该发行版的内核进行升级了。
• CoreOS 899.17.0 发布，对最近出现严重安全问题的 OpenSSL、NTP 和 git 进行了升级。
• Linux 内核 4.5 发布了第三个维护版本 4.5.3。
• Ubuntu Make 发布了 16.05 版本。Ubuntu Make 是为开发者和程序员们所设计的，可以为他们安装各种不在 Ubuntu 主软件库中或没有 PPA 的第三方软件。它是一个非常简便而又值得拥有的命令行工具。这次更新修复了一些问题。

周鼎，是大家熟悉的 Ubuntu Tweak 软件的创造者和维护者，他前不久宣布该项目从 2016年5月2日开始不再维护。

Ubuntu Tweak 是 Ubuntu 上下载量最多的程序之一，它可以让 Ubuntu 用户按照自己的想法来优化 Ubuntu 系统的方方面面。

每当 Ubuntu Linux 发布新的版本，过一些天之后，Ubuntu Tweak 就会发布相应的新版本，用户就可以用它来配置和优化他们的系统和桌面的设置。

这并不是第一次听到 Ubuntu Tweak 的开发要终结了，三年前周鼎就宣布过他不再准备开发这个开源项目了。

就在不久前，他终于因用户的请求而“被迫”正式关闭了这个项目，他将该项目的官方网站 ubuntu-tweak.com 下线，并将用户访问重定向到了该项目博客。并且，Launchpad 和 GitHub 上的项目页面也显示了自5/2开始“该项目不再维护”的消息。周鼎在社区里面发了一个简短的公告，说他不再开发了。

本以为我已经彻底抛开了这个项目，哪知最近因为 Ubuntu 16.04 的发布，收到了至少 5 封来询问我如何让 Ubuntu Tweak 运行在 Ubuntu 16.04 下的英文邮件，我才意识到，我根本没有正式地宣布过一次这个项目的终止，无论在它的 Blog 上、Github 项目上还是Launchpad 项目，甚至主站（ubuntu-tweak.com）本身也是好好的运行着。确实不像是彻底放弃的样子。

然后，他会完全关闭该项目的博客和官网（目前已经不可访问了），接下来域名也会停止续费而失效。

Unity Tweak Tool 是配置 Ubuntu 桌面的最好工具

Ubuntu Tweak 已经官方宣布死亡了，那么唯一可以帮助你优化运行着 Unity 界面的 Ubuntu Linux 操作系统的工具就是 Unity Tweak Tool 了，它可以直接从发行版的软件主仓库中找到。

Unity Tweak Tool 主要是一个 Unity 桌面环境的一个配置工具，但是你也可以用它来配置一些其它的方面，包括添加/删除桌面主题、图标集、字体等等。

头条消息

我们昨天报道过，根据 Net Applications 四月份的最新调查数据显示，谷歌的 Chrome 浏览器的市场占有率超过了微软的 IE，取得了市场占有率第一的排名。事实上，在这次报告中，同样有另外一个重大变化需要注意到：Windows 系统市场份额首次跌破90%大关，这是几个月以来持续下跌的结果。另外， Linux 的份额也有所下跌，唯一增长的是 Mac OS。

Linux 基金会发布了其免费徽章计划“CII 最佳实践徽章”，该徽章会授予通过了安全性、稳定性和高品质评估的开源项目，目前已经授予的包括：Linux 内核、OpenSSL、Node.js、GitLab、cURL、Zephyr 和 OpenBlox。

正在召开的 Ubuntu 在线峰会中，开发者们决定在不将 Unity 8 作为 Ubuntu 16.10 的默认桌面，虽然它也会安装上，但是不是默认的。

重要的开源软件的版本更新情况

• 基于 FreeBSD 的开源防火墙平台 pfSense 2.3 发布了第一个修复更新，版本号为 2.3\_1 而不是 2.3.1——这个完整维护版会在稍后发布。本次紧急更新是为了解决上游修复的 NTP 中发现的严重安全漏洞。
• 另外一个基于 Linux 内核的开源防火墙平台 IPFire 2.19 发布了 Core Update 101 更新，解决了其 Web 界面中的一个跨站脚本安全漏洞。
• 用于搭建自己的私有云的开源云平台软件 ownCloud 发布了其多个分支的维护版本：9.0.2、8.2.4、8.1.7、8.0.12 和 7.0.14，主要是修复了一些安全问题。另外要注意的是 ownCloud 7.x 系列在五月份就要结束支持期了，使用该版本的用户应该尽快升级到其它版本。
• Firefox 46.0 推送了第一个维护版本 46.0.1，修复了一些安全问题。
• Wordpress 的论坛插件 bbPress 中存在一个存储型 XSS 安全漏洞，黑客可以通过窃取 Cookie 来假扮成系统管理员。该安全问题至少会影响30万个使用 bbPress 的站点。最近释出的 2.5.9 解决了这个严重的安全问题，请尽快升级。
• Canonical 修复了目前还在支持的 Ubuntu 各个版本中的 OpenSSL 的多个安全漏洞。

尽管围绕 Debian Live 项目发生了很多戏剧性事件，关于 Debian Live 项目结束的公告的影响力甚至小于该项目首次出现时的公告。主要开发者的离开是最显而易见的损失，而社区对他本人及其项目的态度是很令人困惑的，但是这个项目也许还是会以其它的形式继续下去。所以 Debian 仍然会有更多的工具去创造启动光盘和其他介质。尽管是用这样一种有遗憾的方式，项目创始人 Dabiel Baumann 和 Debian CD 团队以及安装检测团队之间出现的长期争论已经被「解决」了。

在 11 月 9 日， Baumann 发表了题为「 Debian Live 项目的突然结束」的一篇公告。在那篇短文中，他一一列举出了自从这个和他有关的项目被发起以来近 10 年间发生的不同的事件，这些事件可以表明他在 Debian Live 项目上的努力一直没有被重视或没有被足够重视。最具决定性的因素是因为在「包的含义」上存在冲突， R.Learmonth 申请了新的包名，而这侵犯了在 Debian Live 上使用的命名空间。

考虑到最主要的 Debian Live 包之一被命名为 live-build ，而 R.Learmonth 申请的新包名却是 live-build-ng ，这简直是对 live-build 的挑战。 live-build-ng 意为一种围绕 vmdebootstrap（LCTT 译注：创造真实的和虚拟机Debian的磁盘映像）工具的外部包装，这种包装是为了创造 live 介质（光盘和USB的插入），也是 Debian Live 最需要的的部分。但是当 Baumann Learmonth 要求为他的包换一个不同的名字的时候，他得到了一个「有趣」的回复：

应该注意到， live-build 不是一个 Debian 项目，它是一个声称自己是官方 Debian 项目的外部项目，这是一个需要我们解决的问题。

这不是命名空间的问题，我们要将以目前维护的 live-config 和 live-boot 包为基础，把它们加入到 Debian 的本地项目。如果迫不得已的话，这将会有很多分支，但是我希望它不要发生，这样的话我们就可以把这些包整合到 Debian 中并继续以一种协作的方式去开发。

live-build 已经被 debian-cd 放弃，live-build-ng 将会取代它。至少在一个精简的 Debian 环境中，live-build 会被放弃。我们（开发团队）正在与 debian-cd 和 Debian Installer 团队合作开发 live-build-ng 。

Debian Live 是一个「官方的」 Debian 项目（也可以是狭义的「官方」），尽管它因为思路上的不同产生过争论。除此之外， vmdebootstrap 的维护者 Neil Willians 为脱离 Debian Live 项目提供了如下的解释:

为了更好的支持 live-build 的代替者, vmdebootstrap 肯定会被推广。为了能够用 live-build 解决目前存在的问题，这项工作会由 debian-cd 团队来负责。这些问题包括可靠性问题，以及不能很好的支持多种机器和 UEFI 等。 vmdebootstrap 也存在着这些问题，我们用来自于对 live-boot 和 live-config 的支持情况来确定 vmdebootstrap 的功能。

这些抱怨听起来合情合理，但是它们可能已经在目前的项目中得到了解决。然而一些秘密的项目有很明显的取代 live-build 的意图。正如 Baumann 指出的，这些计划没有被发布到 debian-live 的邮件列表中。人们首次从 Debian Live 项目中获知这些计划正是因为这一次的ITP事件，所以它看起来像是一个「秘密计划」——有些事情在像 Debian 这样的项目中得不到很好的安排。

人们可能已经猜到了，有很多帖子都支持 Baumann 重命名 live-build-ng 的请求，但是紧接着，人们就因为他要停止继续在 Debian Live 上工作的决定而变得沮丧。然而 Learmonth 和 Williams 却坚持认为取代 live-build 很有必要。Learmonth 给 live-build-ng 换了一个争议性也许小一些的名字： live-wrapper 。他说他的目标是为 Debian Live 项目加入新的工具（并且「把 Debian Live 项目引入 Debian 里面」），但是完成这件事还需要很大的努力。

我向已经被 ITP 问题所困扰的每个人道歉。我们已经告知大家 live-wrapper 还不足以完全替代 live-build 且开发工作仍在进行以收集反馈。尽管有了这部分的工作，我们收到的反馈缺并不是我们所需要的。

这种对于取代 live-build 的强烈反对或许已经被预知到了。自由软件社区的沟通和交流很关键，所以，计划去替换一个项目的核心很容易引起争议——更何况是一个一直不为人所知的计划。从 Banumann 的角度来说，他当然不是完美的，他因为上传个不合适的 syslinux 包导致了 wheezy 的延迟发布，并且从那以后他被从 Debian 开发者暂时降级为 Debian 维护者。但是这不意味着他应该受到这种对待。当然，这个项目还有其他人参与，所以不仅仅是 Baumann 受到了影响。

Ben Armstrong 是其他参与者中的一位，在这个事件中，他很圆滑地处理了一些事，并且想从这个事件中全身而退。他从一封邮件13开始，这个邮件是为了庆祝这个项目，以及他和他的团队在过去几年取得的成果。正如他所说， Debian Live 的下游项目列表是很令人振奋的。在另一封邮件中，他也指出了这个项目不是没有生命力的：

如果 Debian CD 开发团队通过他们的努力开发出可行的、可靠的、经过完善测试替代品，以及一个合适的取代 live-build 的候选者，这对于 Debian 项目有利无害。如果他们继续做这件事，他们不会「用一个官方改良，但不可靠且几乎没有经过测试的待选者取代 live-build 」。到目前为止，我还没有看到他们那样做的迹象。其间， live-build 仍保留在存档中——它仍然处于良好状态，且没有一种经过改良的继任者来取代它，因此开发团队没有必要尽快删除它。

11 月 24 号， Armstrong 也在他的博客上发布了一个有关 Debian Live 的新消息。它展示了从 Baumann 退出起两周内的令人高兴的进展。甚至有迹象表明 Debian Live 项目与 live-wrapper 开发者开展了合作。博客上也有了一个计划表，同时不可避免地寻求更多的帮助。这让人们有理由相信围绕项目发生的戏剧性事件仅仅是一个小摩擦——也许不可避免，但绝不是像现在看起来这么糟糕。

via: https://lwn.net/Articles/665839/

作者：Jake Edge 译者：vim-kakali 校对：PurlingNayuki

本文由 LCTT 原创翻译，Linux中国 荣誉推出