昨天刚刚回国，坐了十多个小时的飞机，实在太累了，就没有更新“开源新闻速递”，今天补上~

头条消息

我们前两天提到过，Windows 的桌面市场份额已经跌破了90%，不过，也许你也听说了，在朝鲜国，Windows 的份额只能排名第三：第一名是 Mac 的 OS X，31.29%；第二名是 Linux，份额基本相当， 30.93%；第三名以及往后才是各种 Windows。等等，不要着急，如果你将这些各个版本的 Windows 份额加起来，其实发现，Windows 家族还是第一，达到 37.68%！当然，即便如此，Linux 也不错了，能有1/3的份额呢。

Fedora 24 的 Beta 测试版本，在经过了三次拖延之后，终于要在 5 月 10 日发布了。而下一步版本 Fedora 25 也公布了它的发布计划，根据该计划， Fedora 25 将于 11 月 8 号发布。当然，基于 Fedora 的传统，一般来说都是要延期的。

说起来，现在无论是 Fedora 还是 Ubuntu，都像搞军备竞赛一样，半年一个版本，真让人目不暇接。当然，除了发行版之外，浏览器也是如此，比如说， Chrome 现在版本是 50，FireFox 也放马直追，46 了。呃，不要忘记了，我们的 Linux 内核的多个分支也是如此，几天一个版本，感觉（对更新）已经不会再爱了。

重要的开源软件版本更新

• HPLIP （HP 复印与打印）项目发布了 3.16.5 版本。它是一个开源的 HP 打印机驱动项目，致力于带来最新的 HP 打印机驱动。如果你使用 HP 打印机，那你绝对应该试试它。它支持绝大多数最新的 Linux 发行版，项目开发非常活跃，每个月都至少会发布一次新版本，这次的更新后，就支持了 Ubuntu 16.04 LTS 和 Debian 8.4。
• 前 Kubuntu 项目领导人 Jonathan Riddell 宣布他的新项目 KDE Neon 的每日构建镜像可以下载了。这是一个滚动发行版，可以给使用者带来最新的软件更新体验。
• Linux 内核 4.4.9 LTS 、3.14.68 LTS 发布 。
• LibreOffice 5.0.6 发布。
• Red Hat 发布了两个软件的 beta 版本： Red Hat Software Collection 2.2 Beta 和 Red Hat Developer Toolset 4.1 Beta 。
• Canonical 为三星的 ARTIK 5 和 ARTIK 10 发布了 Ubuntu Core 操作系统。
• 滚动发行版 Neptune Linux 发布了 4.5.1，最大的修复是解决了不能从 USB3 端口上引导的问题。
• SparkyLinux 4.3 发布，这是一个轻量级的 Debian 衍生版，有不同的桌面环境版本： KDE、MATE、Xfce、LXDE 和 LXQt，并且基于它有三个特殊版本：GameOver （游戏专用）、Multimedia （多媒体）和 Rescue （急救）。

两位俄罗斯的安全研究人员刚刚在著名的图像处理库 ImageMagick 中发现了严重的安全漏洞。ImageMagick 用在大量的网站中，所以这个发现的零日漏洞一举将不计其数的网站暴露在安全攻击面前。

该漏洞被称之为“ImageTragick”，CVE 编号是 CVE-2016-3714。这个安全漏洞影响极其广泛，因为 ImageMagick 是除了 GD 之外使用最多的图像处理库，被广泛用于各种语言的图像处理，比如 PHP、Java、Python、Ruby 等等。许多开源软件，比如 WordPress、Drupal、Discuz 等都使用了它的图像处理功能。

通过 ImageMagick 的漏洞可以黑掉网站

据两位研究人员称，ImageMagick 中有多个安全缺陷，但是这个漏洞会导致那些允许用户上传图片（比如会员头像）的网站受到恶意制作的图片的攻击。

目前这个零日漏洞已经被 ImageMagick 项目所证实，但是尚未有修复版本发布，需要等到这个周末才能释出。不过，该项目提供了一些可以缓解该风险的方法。更多的缓解措施，可以参考 ImageTragick 网站 上的相关说明。

目前已经出现了验证该漏洞的 PoC，比如这个和另一个。

攻击者只需要找到能够上传图片的网站就行了

ImageMagick 是很多图像处理库和模块的基础，大量的编程语言都使用它来处理图像，比如 PHP、 Java、 Ruby、 JavaScript/Node.js 等等，而只要是用这些语言开发的网站就处于安全风险之中。

而唯一的条件就是网站允许用户上传图片（比如用户头像）并使用 ImageMagick 相关的库来处理它。

研究人员建议，要对上传的图片文件进行文件格式检查，比如通过 Magic Byte 来判断文件类型。Magic Byte 是一种通过文件头部的特定字节来判断文件类型的机制。

通过该漏洞，攻击者只需要构造一个特殊的文件，伪造成图片上传到服务器，服务器就会执行其中的任意代码，这相当于将整个网站的权限都交给了攻击者。

请在相应的补丁出来请先做防御性的缓解策略，并在更新版本出来后尽快更新。

头条消息

Ubuntu Tweak 的创始人和维护者周鼎宣布，Ubuntu Tweak 项目死亡！虽然之前也听说过 Ubuntu Tweak 不再开发了，但是一直没有一个官方的、态度坚决的宣布结束的公告。而现在，周鼎终于做出了这个艰难的决定。Ubuntu Tweak 已经落下了帷幕。更多详情……

两个俄罗斯安全研究人员发现了被广泛使用的 ImageMagick 图片处理库中存在严重的零日安全缺陷。它是除了 GD 之外使用最多的图片处理库，有不计其数的网站在使用它来进行图片处理，比如对用户上传的图片进行裁剪和缩放。因此，利用该漏洞，攻击者可以上传特别制作的图片文件，从而达到在服务器端执行恶意代码的目的。这个漏洞缺陷编号为：CVE-2016–3714 。目前已经出现了概念验证代码。

在 Ubuntu 在线峰会上， Canonical 宣布即将发布 Snappy Ubuntu Core 16 操作系统，并支持树莓派2和 DragonBoard 410c 等设备。目前还没有任何镜像发布，连 alpha 版本都没有，需要再等一段时间。它是作为其 15.04 版本的延伸，但是大部分的代码都进行了修改。在 Snappy Ubuntu Core 16 中，所有的东西都是 snap，包括设备、文件、内核、应用等等，甚至这个系统本身也是一个 snap。

在 Ubuntu 在线峰会上，来自 Canonical 的开发者 David Callé 宣布为 Ubuntu Touch 移动系统的 Scopes 功能带来两款全新标签化设计的两款模型，并已经在社区上邀请有兴趣的用户进行尝鲜体验。

之前我们报道过，Ubuntu 16.04 LTS 中使用 GNOME “软件”作为图形界面的软件安装系统，替代其原来的“软件中心”，但是这个版本存在一个问题，就是不能通过它来安装第三方的 .deb 软件包（当然，你可以通过命令行来安装）。在上游的 GNOME 开发人员推出修复的更新之后，Ubuntu 16.04 LTS 今天也更新解决了这个问题。

重要的开源软件版本更新

• 一个以简洁漂亮为目标的 Linux 发行版 Simplicity Linux 发布了最新版本 16.04。它是一个基于 LXPup 的发行版，采用的是 LXDE 桌面环境。它分为三个不同的版本： Desktop、X 和 Mini。
• 在 Wine 1.9.9 发布了一周之后，Wine Staging 1.9.9 发布了，不过没啥重要的新功能，只是修复了一些 bug。
• Black Lab Linux 即将发布的企业桌面版第 8 版的第六个开发者预览版可以下载了，在这个版本中，增加了实时内核补丁，也就是说，以后可以不用重启而对该发行版的内核进行升级了。
• CoreOS 899.17.0 发布，对最近出现严重安全问题的 OpenSSL、NTP 和 git 进行了升级。
• Linux 内核 4.5 发布了第三个维护版本 4.5.3。
• Ubuntu Make 发布了 16.05 版本。Ubuntu Make 是为开发者和程序员们所设计的，可以为他们安装各种不在 Ubuntu 主软件库中或没有 PPA 的第三方软件。它是一个非常简便而又值得拥有的命令行工具。这次更新修复了一些问题。

周鼎，是大家熟悉的 Ubuntu Tweak 软件的创造者和维护者，他前不久宣布该项目从 2016年5月2日开始不再维护。

Ubuntu Tweak 是 Ubuntu 上下载量最多的程序之一，它可以让 Ubuntu 用户按照自己的想法来优化 Ubuntu 系统的方方面面。

每当 Ubuntu Linux 发布新的版本，过一些天之后，Ubuntu Tweak 就会发布相应的新版本，用户就可以用它来配置和优化他们的系统和桌面的设置。

这并不是第一次听到 Ubuntu Tweak 的开发要终结了，三年前周鼎就宣布过他不再准备开发这个开源项目了。

就在不久前，他终于因用户的请求而“被迫”正式关闭了这个项目，他将该项目的官方网站 ubuntu-tweak.com 下线，并将用户访问重定向到了该项目博客。并且，Launchpad 和 GitHub 上的项目页面也显示了自5/2开始“该项目不再维护”的消息。周鼎在社区里面发了一个简短的公告，说他不再开发了。

本以为我已经彻底抛开了这个项目，哪知最近因为 Ubuntu 16.04 的发布，收到了至少 5 封来询问我如何让 Ubuntu Tweak 运行在 Ubuntu 16.04 下的英文邮件，我才意识到，我根本没有正式地宣布过一次这个项目的终止，无论在它的 Blog 上、Github 项目上还是Launchpad 项目，甚至主站（ubuntu-tweak.com）本身也是好好的运行着。确实不像是彻底放弃的样子。

然后，他会完全关闭该项目的博客和官网（目前已经不可访问了），接下来域名也会停止续费而失效。

Unity Tweak Tool 是配置 Ubuntu 桌面的最好工具

Ubuntu Tweak 已经官方宣布死亡了，那么唯一可以帮助你优化运行着 Unity 界面的 Ubuntu Linux 操作系统的工具就是 Unity Tweak Tool 了，它可以直接从发行版的软件主仓库中找到。

Unity Tweak Tool 主要是一个 Unity 桌面环境的一个配置工具，但是你也可以用它来配置一些其它的方面，包括添加/删除桌面主题、图标集、字体等等。

头条消息

我们昨天报道过，根据 Net Applications 四月份的最新调查数据显示，谷歌的 Chrome 浏览器的市场占有率超过了微软的 IE，取得了市场占有率第一的排名。事实上，在这次报告中，同样有另外一个重大变化需要注意到：Windows 系统市场份额首次跌破90%大关，这是几个月以来持续下跌的结果。另外， Linux 的份额也有所下跌，唯一增长的是 Mac OS。

Linux 基金会发布了其免费徽章计划“CII 最佳实践徽章”，该徽章会授予通过了安全性、稳定性和高品质评估的开源项目，目前已经授予的包括：Linux 内核、OpenSSL、Node.js、GitLab、cURL、Zephyr 和 OpenBlox。

正在召开的 Ubuntu 在线峰会中，开发者们决定在不将 Unity 8 作为 Ubuntu 16.10 的默认桌面，虽然它也会安装上，但是不是默认的。

重要的开源软件的版本更新情况

• 基于 FreeBSD 的开源防火墙平台 pfSense 2.3 发布了第一个修复更新，版本号为 2.3\_1 而不是 2.3.1——这个完整维护版会在稍后发布。本次紧急更新是为了解决上游修复的 NTP 中发现的严重安全漏洞。
• 另外一个基于 Linux 内核的开源防火墙平台 IPFire 2.19 发布了 Core Update 101 更新，解决了其 Web 界面中的一个跨站脚本安全漏洞。
• 用于搭建自己的私有云的开源云平台软件 ownCloud 发布了其多个分支的维护版本：9.0.2、8.2.4、8.1.7、8.0.12 和 7.0.14，主要是修复了一些安全问题。另外要注意的是 ownCloud 7.x 系列在五月份就要结束支持期了，使用该版本的用户应该尽快升级到其它版本。
• Firefox 46.0 推送了第一个维护版本 46.0.1，修复了一些安全问题。
• Wordpress 的论坛插件 bbPress 中存在一个存储型 XSS 安全漏洞，黑客可以通过窃取 Cookie 来假扮成系统管理员。该安全问题至少会影响30万个使用 bbPress 的站点。最近释出的 2.5.9 解决了这个严重的安全问题，请尽快升级。
• Canonical 修复了目前还在支持的 Ubuntu 各个版本中的 OpenSSL 的多个安全漏洞。

今天有一个里程碑的事件：谷歌的 Chrome 浏览器的市场占有率超过了微软的 IE，取得了市场占有率第一的排名。

这是由于微软在 Windows 10 中不再携带 IE，所以 IE 的占有率下降是必然的；而另外一方面，谷歌的 Chrome 却保持了持续增长的势头。据 Net Applications 四月份的最新调查数据显示，谷歌 Chrome 的占有率达到了 41.72%，而微软的 IE 则降到了 40.6%，虽然相差不大，但是按照现有的发展趋势，谷歌将很快取得更大的优势。当然，微软的 Edge 系列浏览器目前占有 4.64%，如果这个部分依旧是 IE 浏览器的话，显然微软目前还能暂时保持第一。

另外一个消息也是浏览器相关的，微软宣布它计划在今年夏天在 Edge 和 IE 中废弃对 SHA-1 证书的支持。也就是说，到时候使用更新后的 Edge 或 IE 访问 SHA-1 证书的 HTTPS 站点，将不会显示绿色的小锁，以表明其加密方案并不安全。而到 2017年2月时，微软会进一步对使用 SHA-1 签名证书的站点的访问进行默认拦截。

2014年，因为对 systemd 不满，一群开发者创建了不使用 systemd 的 Debian 分支 Devuan。现在，他们宣布发布了Devuan Jessie 的 beta 版本。Debian 8 Jessie 是在去年发布的，默认的初始化系统是 systemd，可选使用 sysvinit。Devuan 开发者称，Devuan 提供了从 Debian 7 Wheez 安全升级的路径，避免引入 systemd 导致的大部分问题。

之前，Ubuntu 的安装镜像会限制在 1GB 以内，但是 Ubuntu 16.04 LTS 的发布打破了这一限制，大小达到了1.4GB。因此，Canonical 决定将大小限制将提高到 2GB，甚至一些衍生版，比如 Ubuntu Studio 会将限制放到更大，比如一张 DVD 的大小4.7GB。

以下是一些开源软件的版本更新情况：

• 历经了八个月的 beta 开发，Apricity OS 最近发布了第一个 RC 公测版本。它是一个基于 Arch Linux 的发行版，已经被下载超过了10万次。
• OpenELEC 7.0 的第三个 beta 版本发布。
• 在上一个维护版本发布一个月之后，Git 发布了 2.8.2 版本，做了若干改进和错误修复。
• Manjaro Linux LXQt 16.04 的一个衍生版 Manjaro Linux LXQt 16.04 黑暗版发布了，它使用了一个名为 Kwantum 的暗色系主题，以避免刺激眼睛。
• 跨平台的开源多媒体播放软件 VLC 2.2 发布了第三个维护版本 2.2.3。