Actualmente estamos registrando un elevado volumen de adopciones y actualizaciones de paquetes maliciosos en el Arch User Repository.

Estamos trabajando activamente para localizar las modificaciones maliciosas existentes e intentando evitar que se publiquen nuevas modificaciones de este tipo. Mientras esto ocurre, y mientras trabajamos para encontrar una solución más permanente, los usuarios pueden experimentar problemas con lo siguiente:

• Creación de nuevas cuentas en el AUR
• Publicación de actualizaciones de paquetes
• Adopción o creación de nuevos paquetes

Seguimos animando a todos los usuarios de paquetes del AUR a que revisen todos los cambios en los archivos PKGBUILD y en los scripts de instalación al actualizar, especialmente durante este periodo. Si detectas commits sospechosos en un paquete que utilizas, ponte en contacto con el personal de Arch a través de la lista de correo aur-general con más información.

If you ever ran eMule or MLDonkey back in the day, this will feel familiar — but it's built from scratch in Rust on modern infrastructure.

rucio is a decentralized peer-to-peer file sharing app. No trackers, no central servers, no relay nodes for the actual data. Peers find each other and the files through a Kademlia DHT (plus mDNS on the local network), keyword search rides on Gossipsub, and bytes move directly between peers.

I started it partly out of nostalgia and partly because I wanted a P2P stack I actually understood end to end — discovery, transfer, NAT handling, the lot — instead of a black box. It grew into something I now use daily, so I'm putting it out there.

What it does today:

• Fully decentralized — Kademlia DHT over the internet, mDNS on the LAN, no infrastructure to run (though you can run a bootstrap node if you want one).
• Web control panel — manage shares, searches and downloads from the browser. It's served by the daemon itself (Leptos/WASM), no extra process.
• Command-line client — a scriptable rucio CLI for everything, locally or against a remote daemon.
• Magnet links — share any file with a single rucio:<hash> link, generated entirely offline if you like.
• Resumable downloads — interrupted transfers pick up where they left off after a restart.
• Directory sharing — point it at a folder and every file inside gets indexed, hashed and announced automatically.
• NAT-friendly — HighID/LowID-style handling so peers behind NAT can still download; publicly reachable nodes serve chunks to everyone.
• Single binary — the same rucio binary is the daemon (ruciod) and the CLI depending on how you invoke it.

The eMule/Kad bridge (the fun part): rucio can optionally talk to the eMule Kad2 network. That means you can search Kad and download ed2k:// links right alongside native rucio transfers. It's opt-in (a build feature), but it's there because a chunk of those old files are still out there and still moving.

Some screenshots:

Try it (container):

docker run -d --name rucio \
  -e RUCIOD_API_LISTEN=0.0.0.0:3003 \
  -e RUCIOD_UPNP=false \
  -v rucio-data:/var/lib/rucio \
  -p 4321:4321/tcp \
  -p 3003:3003/tcp \
  -p 4662:4662/tcp \
  -p 4672:4672/udp \
  ghcr.io/ogarcia/rucio:latest

Then open http://localhost:3003/. There are slimmer image flavors too — latest-headless (daemon only), latest-cli (standalone client), and latest-bootstrap (a DHT bootstrap node). Pre-built binaries for Linux and macOS (x86_64 + aarch64) are on the releases page as well.

Note: If you download the precompiled binary from releases, when you extract it, create a symbolic link from ruciod to rucio, and run ruciod for the daemon and rucio for the CLI.

Honest caveats (it's early):

• I work with AI, so I’m not going to lie to you—there’s some vibe coding involved. I review and go over what I’ve done, but I want to be honest. If you don’t like it, just skip this app.
• This is v0.1.0, pre-1.0 — expect breaking changes (DB schema, API, config) between releases. I'll happily break things to get them right.
• There is no built-in authentication. If you expose the daemon beyond your own machine, put it behind a reverse proxy with auth (the docs have an nginx + basic-auth example). Keep the API port private otherwise.
• It's the work of one person so far. Rough edges exist.

Links:

• Source: https://github.com/ogarcia/rucio
• Containers: ghcr.io/ogarcia/rucio
• License: GPL-3.0

El proyecto Varnish ha cambiado su nombre a Vinyl Cache. Hemos acompañado este cambio de nombre con un nuevo paquete llamado «vinyl-cache». Esta actualización conlleva cambios que pueden provocar incompatibilidades, por lo que se recomienda a los usuarios que estudien dichos cambios y cómo les afectan antes de proceder a la sustitución. Todas las referencias a «varnish» se han cambiado por «vinyl» en todos los binarios y directorios.

Como mínimo, los usuarios deberán:

• cambiar el nombre de /etc/varnish a /etc/vinyl-cache
• cambiar el nombre de /var/lib/varnish a /var/lib/vinyl-cache
• corregir la propiedad de los archivos dentro de /var/lib/varnish
• el usuario varnish pasa a ser vinyl
• el grupo varnish pasa a ser vinyl
• el usuario varnishlog pasa a ser vinyllog
• el usuario vcache permanece igual
• desactivar las antiguas unidades de systemd varnish.service y varnishncsa.service
• activar las nuevas unidades de systemd vinyl-cache.service y vinylncsa.service

Mientras tanto, el paquete «varnish» ha sido eliminado de [extra]. Actualmente no tenemos previsto mantener un nuevo paquete «varnish», ya que se trata de un proyecto upstream diferente.

El paquete kea ha cambiado todos los servicios para que se ejecuten como un usuario kea específico (en lugar de como root) con el fin de mejorar la seguridad. Este cambio requiere actualizar los permisos de los archivos de tiempo de ejecución creados por los servicios de kea.

Por lo tanto, los usuarios que actualicen desde una instalación existente de kea deben ejecutar los siguientes comandos tras la actualización:

chown kea: /var/lib/kea/* /var/log/kea/* /run/lock/kea/logger_lockfile
systemctl try-restart kea-ctrl-agent.service kea-dhcp{4,6,-ddns}.service

Las cuentas que necesiten interactuar con los archivos de los servicios de kea (por ejemplo, los archivos de concesión en /var/lib/kea, los archivos de registro en /var/log/kea o los archivos de configuración en /etc/kea) deben añadirse al grupo kea.

El antiguo nombre del paquete iptables-nft se ha sustituido por iptables, y el backend heredado está disponible como iptables-legacy.

Al cambiar de paquete (entre iptables-nft, iptables e iptables-legacy), comprueba si hay archivos .pacsave en /etc/iptables/ y restaura sus reglas si es necesario:

• /etc/iptables/iptables.rules.pacsave
• /etc/iptables/ip6tables.rules.pacsave

La mayoría de las configuraciones deberían funcionar sin cambios, pero los usuarios que dependan de extensiones poco comunes de xtables o de un comportamiento exclusivo del backend heredado deben realizar pruebas minuciosas y utilizar iptables-legacy si es necesario.

Con la actualización a la versión 590 del controlador, el controlador NVIDIA ya no es compatible con las GPU Pascal (GTX 10xx) ni con versiones anteriores. Reemplazaremos el paquete nvidia por nvidia-open, nvidia-dkms por nvidia-open-dkms y nvidia-lts por nvidia-lts-open.

Impacto: al actualizar los paquetes NVIDIA en sistemas con tarjetas Pascal, Maxwell o anteriores, no se cargará el controlador, lo que puede provocar un fallo en el entorno gráfico.

Intervención necesaria para usuarios de Pascal/anteriores: los usuarios con tarjetas de la serie GTX 10xx y anteriores deben cambiar a la rama propietaria heredada para mantener la compatibilidad:

• Desinstala los paquetes oficiales nvidia, nvidia-lts o nvidia-dkms.
• Instala nvidia-580xx-dkms desde el AUR

Los usuarios con Turing (series 20xx y GTX 1650) y GPU más recientes pasarán automáticamente a los módulos de kernel abiertos al actualizar y no requerirán intervención manual.

Los siguientes paquetes pueden requerir intervención manual debido a la actualización de 9.0 a 10.0:

• aspnet-runtime
• aspnet-targeting-pack
• dotnet-runtime
• dotnet-sdk
• dotnet-source-built-artifacts
• dotnet-targeting-pack

pacman podría mostrar el siguiente error failed to prepare transaction (could not satisfy dependencies) o no se pudo preparar la transacción (no se pudieron satisfacer las dependencias) en los paquetes afectados.

Si te afecta esto y necesitas los paquetes 9.0, los siguientes comandos actualizarán, por ejemplo, aspnet-runtime a aspnet-runtime-9.0:

pacman -Syu aspnet-runtime-9.0
pacman -Rs aspnet-runtime

El paquete waydroid anterior a la versión 1.5.4-2 (incluido aur/waydroid) crea archivos de byte-code Python (.pyc) en tiempo de ejecución que no estaban siendo rastreados por pacman. Este problema se ha solucionado en la versión 1.5.4-3, en la que el byte-compiling de estos archivos se realiza ahora durante el proceso de empaquetado.

Como resultado, la actualización puede entrar en conflicto con los archivos sin propietario creados en versiones anteriores. Si encuentras errores como los siguientes durante la actualización:

error: no se ha podido confirmar la transacción (archivos en conflicto)

waydroid: /usr/lib/waydroid/tools/__pycache__/__init__.cpython-313.pyc existe en el sistema de archivos

waydroid: /usr/lib/waydroid/tools/actions/__pycache__/__init__.cpython-313.pyc existe en el sistema de archivos

waydroid: /usr/lib/waydroid/tools/actions/__pycache__/app_manager.cpython-313.pyc existe en el sistema de archivos

Puedes sobrescribir estos archivos de forma segura ejecutando el siguiente comando:

pacman -Syu --overwrite /usr/lib/waydroid/tools/\*__pycache__/\*

La rama de lanzamiento de dovecot 2.4 ha introducido cambios importantes que la hacen incompatible con cualquier archivo de configuración <= 2.3.

Por lo tanto, el servicio dovecot ya no podrá iniciarse hasta que se haya migrado el archivo de configuración, lo que requiere una intervención manual.

Para obtener orientación sobre la migración de la versión 2.3 a la 2.4, consulte la siguiente documentación de origen: Actualización de Dovecot CE de la versión 2.3 a la 2.4 (en inglés).

Además, la rama dovecot 2.4 ya no admite la función de replicación, que ha sido eliminada.

Para los usuarios que dependen de la función de replicación o que no pueden realizar la migración a la versión 2.4 en este momento, ofrecemos paquetes alternativos disponibles en [extra]:

• dovecot23
• pigeonhole23
• dovecot23-fts-elastic
• dovecot23-fts-xapian

La rama de lanzamiento de dovecot 2.3 recibirá correcciones de seguridad críticas de upstream hasta que se indique lo contrario.

Queremos informaros sobre las recientes interrupciones del servicio que afectan a nuestra infraestructura. El Proyecto Arch Linux está sufriendo actualmente un ataque de denegación de servicio que afecta principalmente a nuestra página web principal, al Arch User Repository (AUR) y a los foros.

Somos conscientes de los problemas que esto supone para nuestros usuarios finales y seguiremos trabajando activamente con nuestro proveedor de alojamiento para mitigar el ataque. También estamos evaluando proveedores de protección contra DDoS, teniendo en cuenta cuidadosamente factores como el coste, la seguridad y los estándares éticos.

Para mejorar la comunicación sobre este tema, proporcionaremos actualizaciones periódicas en nuestra página de estado del servicio en el futuro.

Como proyecto impulsado por voluntarios, agradecemos la paciencia de la comunidad mientras nuestro equipo de DevOps trabaja para resolver estos problemas. Os rogamos que tengáis paciencia y os agradecemos todo el apoyo que nos habéis brindado hasta ahora.

Soluciones alternativas durante la interrupción del servicio

• En caso de interrupción del servicio de archlinux.org:

  • Mirrors: El punto final de la lista de mirrors utilizado en herramientas como reflector está alojado en este sitio. Durante una interrupción del servicio, utiliza por defecto los espejos que figuran en el paquete pacman-mirrorlist.
  • ISO: Nuestra imagen de instalación está disponible en muchos de los mirrors, por ejemplo, los geomirrors administrados por DevOps. Verifica siempre su integridad tal y como se describe en la wiki y confirma que está firmada por 0x3E80CA1A8B89F69CBA57D98A76A5EF9054449A5C (u otras claves de confianza que puedan utilizarse en el futuro).

• En caso de interrupción del servicio de aur.archlinux.org:

  • Paquetes: mantenemos un mirror de los paquetes AUR en GitHub. Puedes recuperar un paquete utilizando: $ git clone --branch <nombre_del_paquete> --single-branch https://github.com/archlinux/aur.git <nombre_del_paquete>

• En caso de interrupción del servicio de wiki.archlinux.org:

  • Documentación: arch-wiki-docs y arch-wiki-lite contienen instantáneas recientes de los artículos alojados en la wiki de Arch Linux.

Observaciones adicionales

• Nuestros servicios pueden enviar un restablecimiento de conexión inicial debido a la autenticación TCP SYN realizada por nuestro proveedor de alojamiento, pero las solicitudes posteriores deberían funcionar según lo previsto.
• Mantenemos en secreto los detalles técnicos sobre el ataque, su origen y nuestras tácticas de mitigación mientras el ataque siga en curso.

Como quizá ya sepáis, algunos de nuestros servicios (AUR, foros, sitio web principal) se están viendo afectados por un ataque DDoS. Somos conscientes del problema y estamos trabajando activamente para mitigarlo. Estamos colaborando con el operador de nuestro centro de datos y con varios proveedores de seguridad de red, y agradecemos las ofertas de ayuda de la comunidad.

Agradecemos tu paciencia y, por motivos de seguridad, proporcionaremos periódicamente información técnica interna.

Gracias, el equipo de DevOps de Arch Linux

Nota personal: existe una página que actualiza el estado de los servicios en tiempo real.

A partir de la versión 7.4.1-2, las siguientes cuentas de usuario del sistema Zabbix (anteriormente incluidas en sus paquetes correspondientes) dejarán de utilizarse. En su lugar, todos los componentes de Zabbix pasarán a utilizar una cuenta de usuario zabbix compartida (tal y como estaba previsto inicialmente por el desarrollador original y como ya hacen otras distribuciones):

• zabbix-server
• zabbix-proxy
• zabbix-agent (también utilizado por el paquete zabbix-agent2)
• zabbix-web-service

Esta cuenta de usuario zabbix compartida es proporcionada por el nuevo paquete dividido zabbix-common, que ahora es una dependencia para todos los paquetes zabbix-* relevantes.

El cambio a la nueva cuenta de usuario se gestiona automáticamente para los archivos de configuración principales y las unidades de servicio systemd correspondientes.

Sin embargo, puede ser necesaria una intervención manual si ha creado archivos o configuraciones personalizados que hagan referencia a las cuentas de usuario obsoletas mencionadas anteriormente o que sean propiedad de estas, por ejemplo:

• Archivos PSK utilizados para la comunicación cifrada.
• Scripts personalizados para la recopilación de métricas o la generación de informes.
• Reglas sudoers para métricas que requieren privilegios elevados para su recopilación.
• ...

Por lo tanto, estos deben actualizarse para que hagan referencia a la nueva cuenta de usuario de zabbix o sean propiedad de esta, ya que, de lo contrario, algunos servicios o parámetros de usuario podrían no funcionar correctamente o no funcionar en absoluto.

Una vez realizada la migración, puedes eliminar las cuentas de usuario obsoletas de tu sistema.

Con 20250613.12fe085f-5, dividimos nuestro firmware en varios paquetes centrados en el proveedor. linux-firmware es ahora un paquete vacío que depende de nuestro conjunto de firmware por defecto.

Desafortunadamente, esto coincidió con la reorganización por parte del upstream de la disposición de los enlaces simbólicos del firmware de NVIDIA, lo que provocó una situación que Pacman no puede manejar. Cuando intentes actualizar desde 20250508.788aadc8-2 o anterior, verás los siguientes errores:

linux-firmware-nvidia: /usr/lib/firmware/nvidia/ad103 exists in filesystem
linux-firmware-nvidia: /usr/lib/firmware/nvidia/ad104 exists in filesystem
linux-firmware-nvidia: /usr/lib/firmware/nvidia/ad106 exists in filesystem
linux-firmware-nvidia: /usr/lib/firmware/nvidia/ad107 exists in filesystem

Para continuar con la actualización del sistema, primero elimina linux-firmware y, a continuación, vuelve a instalarlo como parte de la actualización:

# pacman -Rdd linux-firmware
# pacman -Syu linux-firmware

En Plasma 6.4 la sesión wayland será la única instalada cuando los usuarios no especifiquen manualmente kwin-x11.

Con la reciente división de kwin en kwin-wayland y kwin-x11, los usuarios que ejecuten la antigua sesión X11 necesitan instalar manualmente plasma-x11-session, o no podrán iniciar sesión. Actualmente pacman no es capaz de averiguar tu configuración personal, y no estaría bien instalar plasma-x11-session y kwin-x11 para todos los que usan Plasma.

tl/dr: instala plasma-x11-session si todavía usas x11

Hemos cambiado los paquetes wine y wine-staging a una compilación wow64 pura. Este cambio elimina la dependencia del repositorio multilib para wine y wine-staging.

La razón principal es alinearse con el desarrollo de Wine, lo que simplifica el empaquetado y la cadena de dependencias.

Problemas potenciales:

• Rendimiento OpenGL: Una limitación conocida del nuevo modo WoW64 es la reducción del rendimiento de las aplicaciones de 32 bits que utilizan OpenGL directamente
• Cambios importantes: Es necesario volver a crear los prefijos de 32 bits existentes.

Si tienes problemas con los prefijos de 32 bits, vuelve a crearlos y reinstala la aplicación.

Valkey, base de datos clave/valor de alto rendimiento, sustituirá a Redis en el repositorio [extra]. Este cambio se debe a que Redis modificó su licencia de BSD-3-Clause a RSALv2 y SSPLv1 el 20 de marzo de 2024.

Los responsables del mantenimiento de paquetes de Arch Linux tienen la intención de apoyar la disponibilidad del paquete Redis durante, aproximadamente, 14 días a partir de la fecha de esta publicación para permitir una transición suave a Valkey. Una vez finalizado el periodo de transición de 14 días, el paquete Redis se trasladará a AUR. Además, a partir de este momento, el paquete Redis no recibirá más actualizaciones y deberá considerarse obsoleto hasta que se elimine.

Se recomienda a los usuarios que comiencen la transición de su uso de Redis a Valkey tan pronto como sea posible para evitar posibles complicaciones después de que se cierre la ventana de transición de 14 días.

Hace unos dos años, fusionamos el repositorio [community] en [extra] como parte de la migración a git. Para no romper las configuraciones de los usuarios, mantuvimos estos repositorios en un estado vacío y sin usar. Vamos a eliminar estos viejos repositorios el 2025-03-01.

En sistemas donde /etc/pacman.conf todavía haga referencia al antiguo repositorio [community], pacman -Sy devolverá un error al intentar sincronizar los metadatos del repositorio.

Los siguientes repositorios obsoletos serán eliminados: [community], [community-testing], [testing], [testing-debug], [staging], [staging-debug].

Por favor, asegúrate de eliminar todo uso de los repositorios mencionados de tu /etc/pacman.conf (con pacman>=6.0.2-7 se incluyó un .pacnew para esto).

Se planea mover glibc y sus amigos al repositorio estable más tarde hoy, 3 de febrero. Después de instalar la actualización, el cliente Discord mostrará una advertencia roja de que la instalación está corrupta.

Este problema se ha solucionado en la versión canary de Discord. Si dependes de la conectividad de audio, utiliza la versión canary, inicia sesión a través del navegador o la versión flatpak hasta que la corrección llegue a la versión estable de Discord.

No se ha informado de que la conectividad de chat (escrito) se haya visto afectada.

ACTUALIZACIÓN: El problema se ha solucionado en Discord 0.0.84-1.

Nos gustaría dar a conocer la actualización de seguridad de rsync 3.4.0-1 descrita en nuestro aviso ASA-202501-1.

Un atacante sólo necesita acceso de lectura anónimo a un servidor rsync vulnerable, como una réplica pública, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor. Además, los atacantes pueden tomar el control de un servidor afectado y leer/escribir archivos arbitrarios de cualquier cliente conectado. Se pueden extraer datos sensibles, como claves OpenPGP y SSH, y ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt.

Recomendamos encarecidamente a cualquiera que ejecute un demonio o cliente rsync anterior a la versión 3.4.0-1 que actualice y reinicie sus sistemas inmediatamente. Dado que las réplicas de Arch Linux se sincronizan principalmente mediante rsync, también recomendamos encarecidamente a cualquier administrador de réplicas que actúe de inmediato, aunque los propios archivos de paquetes alojados estén firmados criptográficamente.

Todos los servidores de infraestructura y réplicas mantenidos por Arch Linux ya han sido actualizados.

Arch Linux no ha tenido en el pasado una licencia para ninguna fuente de paquetes (como los archivos PKGBUILD), lo que es potencialmente problemático. Proporcionar una licencia evitará esa incertidumbre.

En el RFC 40 acordamos cambiar todas las fuentes de paquetes para que se licencien bajo la licencia muy liberal 0BSD. Este cambio no limitará lo que puedes hacer con los paquetes fuente. Échale un vistazo al RFC para más información sobre los fundamentos y discusiones previas.

Antes de que hagamos este cambio, proporcionaremos a los contribuidores una vía de expresar cualquier objeción que puedan tener. A partir del 2024-11-19, en el transcurso de una semana, los colaboradores recibirán un único correo electrónico de notificación con la lista de todas sus contribuciones.

• Si recibes un correo electrónico y estás de acuerdo con este cambio, no tendrás que hacer nada.
• Si no estás de acuerdo, responde al correo electrónico y encontraremos juntos una solución.

Si has contribuido antes con los paquetes de Arch Linux pero no has recibido un correo electrónico, ponte en contacto con nosotros en [email protected].