Forwarded from 汐
群友可以直接删
~/.local/state/nix/profiles/home-manager 了August 14, 2025
August 14, 2025
August 14, 2025
如果您正在使用 nixpkgs-unstable,现在您可以使用以下语法来加密*整个* sing-box 配置文件:
https://github.com/nixos/nixpkgs/pull/434171
EDIT:修改了 typo,config -> settings
services.sing-box = {
enable = true;
settings = {
_secret = <指向 sops-nix/agenix 文件的路径>
quote = false;
};
};https://github.com/nixos/nixpkgs/pull/434171
EDIT:修改了 typo,config -> settings
GitHub
utils.genJqSecretsReplacementSnippet: support top level secret by Prince213 · Pull Request #434171 · NixOS/nixpkgs
This PR allows genJqSecretsReplacementSnippet to properly handle top level secret, which will have a empty name and cause jq to fail. Use . instead to properly refer to the entire file.
Example:
l...
Example:
l...
August 20, 2025
为了支持 Firefox 的端侧 AI 功能,
由于许可证原因,官方二进制缓存不会包含 CUDA 相关软件。
如果您在更新系统时发现 Nix 在编译 Firefox 或 Thunderbird,您可选择以下任一方案:
- 在 override 关闭全局的
- 使用 NixOS CUDA Team 提供的二进制缓存。
[1]: buildMozillaMach: use system onnxruntime, make profiling phase cheaper, prune patches by mweinelt · Pull Request #436667 · NixOS/nixpkgs
[2]: mozilla (thunderbird and firefox): add to release-cuda for nix-community caching by hatch01 · Pull Request #437809 · NixOS/nixpkgs
build-mozilla-mach 现在引入了 onnxruntime 作为依赖。onnxruntime 可选地依赖 CUDA。由于许可证原因,官方二进制缓存不会包含 CUDA 相关软件。
如果您在更新系统时发现 Nix 在编译 Firefox 或 Thunderbird,您可选择以下任一方案:
- 在 override 关闭全局的
cudaSupport,让 Firefox/Thunderbird 使用不依赖 CUDA 的 onnxruntime。- 使用 NixOS CUDA Team 提供的二进制缓存。
[1]: buildMozillaMach: use system onnxruntime, make profiling phase cheaper, prune patches by mweinelt · Pull Request #436667 · NixOS/nixpkgs
[2]: mozilla (thunderbird and firefox): add to release-cuda for nix-community caching by hatch01 · Pull Request #437809 · NixOS/nixpkgs
👍5
August 29, 2025
近期上游内核引入的回归使 /proc/net/tcp 等文件无法 seek,受影响的内核版本会使 tailscale 在运行 portlist 测试时失败,NixOS 系统构建/升级可能因此中断。受影响版本为 6.12.42–6.12.45(另有 6.16.5 和 6.6.102+ 报告)。问题已在 Linux 6.12.46 / 6.16.6 / 6.6.105 中解决。
建议的处理方式:临时关闭 tailscale 的测试(
services.tailscale.package = pkgs.tailscale.overrideAttrs { doCheck = false; };)或禁用 tailscale 服务后升级到 Linux 6.12.46 / 6.16.6 / 6.6.105。该更新已合入 nixos-unstable(PR #441608,跟踪)并已 backport 到 release-25.05(PR #441680,跟踪),nixos-25.05-small 已携带该更新,nixos-25.05 将随后推进。如需立刻恢复构建,也可临时为当前内核加入补丁,或回滚到不受影响的内核版本。
EDIT:backport 已进入 nixos-25.05。
👍7
September 11, 2025
Forwarded from pluie
PSA: 今年的NixOS Steering Committee选举需要人工注册邮箱 不填写邮箱的话无法参与投票(!)
https://discourse.nixos.org/t/the-election-committee-announces-the-second-steering-committee-election/69354/15
如果有投票资格的大家请前往 https://github.com/NixOS/SC-election-2025 查看 eligible.csv 如果有自己的GitHub ID的话 需要人工开一个PR把自己用于投票的邮箱填进去才可以 PR会有机器人自动merge
https://discourse.nixos.org/t/the-election-committee-announces-the-second-steering-committee-election/69354/15
如果有投票资格的大家请前往 https://github.com/NixOS/SC-election-2025 查看 eligible.csv 如果有自己的GitHub ID的话 需要人工开一个PR把自己用于投票的邮箱填进去才可以 PR会有机器人自动merge
NixOS Discourse
The Election Committee announces the second Steering Committee election
One year has passed since the Nix community voted in the very first Nix Steering Committee. As some of their terms are coming to an end, the community must once again cast their ballots to form the next SC. Call to action If you are an automatically eligible…
September 15, 2025
频道现在有了在 Matrix 的桥接!如果您使用 Matrix,请加入 #nixos_zhcn_news:ny4.dev。
matrix.to
Matrix - Decentralised and secure communication
You're invited to talk on Matrix. If you don't already have a client this link will help you pick one, and join the conversation. If you already have one, this link will help you join the conversation
September 15, 2025
NixOS moderation team 由于与 Steering Committe 的未能解决的分歧而集体辞职*。Mod team 希望 SC 主动与其交流而不是对具体对策和成员任免强加干涉,而 SC 则认为 Mod team 的部分行为有偏向性并且并未严格遵守 Code of Conduct,且未能对 SC 尽到披露义务。
这也意味着,在今年 SC 重新选举前后,SC 将基本重组,而 Mod team 将完全重组。一部分社区成员期望采取的政治立场是否将会得到实施,是一个仍不明确的问题。
https://discourse.nixos.org/t/a-statement-from-members-of-the-moderation-team/69828
*我(Aleksana)因为个人原因辞职。Lassulus暂未辞职。
这也意味着,在今年 SC 重新选举前后,SC 将基本重组,而 Mod team 将完全重组。一部分社区成员期望采取的政治立场是否将会得到实施,是一个仍不明确的问题。
https://discourse.nixos.org/t/a-statement-from-members-of-the-moderation-team/69828
*我(Aleksana)因为个人原因辞职。Lassulus暂未辞职。
NixOS Discourse
A statement from members of the moderation team
We resign, effective immediately, in protest of the Steering Committee’s ongoing pattern of attempting to interfere with moderation team operation, membership and specific moderation decisions. This is not a statement we enjoy making, and we apologize to…
❤6😭5
September 28, 2025
NixOS 正在征集 25.11 的 release logo:
https://discourse.nixos.org/t/search-for-logo-for-nixos-25-11-xantusia/70740
https://discourse.nixos.org/t/search-for-logo-for-nixos-25-11-xantusia/70740
NixOS Discourse
Search for Logo for NixOS 25.11 ("Xantusia")
We, @leona and @jopejoe1, are the NixOS 25.11 (“Xantusia”) release managers. We are working in coordination with the marketing team to hold a design contest for the release logo. We’re happy to see your ideas for a release logo 🙂 Please follow the following…
👀1
October 15, 2025
第二届 Nix SC 选举已结束
本次新当选成员(按字典序):
- cafkafk (2年任期)
- JulienMalka (1年任期)
- K900 (2年任期)
- philiptaron (1年任期)
- tomberek (2年任期)
此外 Ericson2314 和 roberth 尚余一年任期。
本次新当选成员(按字典序):
- cafkafk (2年任期)
- JulienMalka (1年任期)
- K900 (2年任期)
- philiptaron (1年任期)
- tomberek (2年任期)
此外 Ericson2314 和 roberth 尚余一年任期。
👍3
November 4, 2025
2025-11-14 更新:openssh 更新已合入 nixos-unstable,此临时解决方案失效
OpenSSH 10.1p1 引入了一个
ControlMaster 和 ControlPersist 的问题,可能导致终端交互异常。受影响用户如需临时解决方案,请更新到最新的
nixos-unstable 并切换 SSH 客户端到 openssh_10_2,配置如下:programs.ssh.package = pkgs.openssh_10_2;
因为依赖 OpenSSH 软件包众多,默认的
pkgs.openssh 暂时未更新。该临时解决方案将在 openssh: 10.1p1 -> 10.2p1 和 openssh_10_2: drop 合入 nixos-unstable 后失效,届时移除前述临时配置即可。November 6, 2025
November 6, 2025
Systemd 在 257.10 和 258.2 中引入了一个访问 efivarfs 时的缓冲区大小计算的逻辑错误,如果使用 systemd-boot,可能导致 nixos-rebuild 失败,错误信息如下:
Assertion ‘n <= st.st_size + 1’ failed at src/basic/efivars.c:110, function efi_get_variable(). Aborting.临时解决方案:如果遇到此情况,请重启机器后重试。该问题只在系统从休眠 (hibernate/suspend-to-disk) 状态启动后出现。
Systemd 已对此问题有修复,并已发布 258.3 版本修复此问题
- NixOS 25.05 将在 12 月底停止支持,因此不会修复该问题。请受影响的用户暂缓更新或使用临时解决方案,并在 NixOS 25.11 发布后及时更新。
- NixOS 25.11 用户请使用临时解决方案,等待 [Backport staging-25.11] systemd: 258.2 -> 258.3 (#474788)
- NixOS unstable 用户若受影响,请暂缓更新或使用临时解决方案,等待 systemd: 258.2 -> 258.3 (#472183)
(2026-01-05: Systemd 258.3 的更新 PR 已经合并,等待 channel 更新)
👍7
November 14, 2025
在 macOS 上的一个 Python wrapper 的问题,导致
python3.withPackages 生成的 wrapper (.../bin/python3) 从 $PATH 中调用时(而不是用绝对路径调用)会找不到模块,报错例如:Traceback (most recent call last):
File "test.py", line 1, in <module>
import re2
ModuleNotFoundError: No module named 're2'目前在 Nixpkgs 中已有修复,但是由于修复的更改影响软件包众多,暂时还未进入 channel。
- 25.05 将在 12 月底停止支持,请受影响用户暂缓更新,之后待 25.11 修复此问题后更新到 25.11。
- 25.11 受影响用户请暂缓更新,等待 [Backport staging-25.11] python-env: wrap python executable with --resolve-argv0 (#462248) 合入后更新
- unstable 受影响用户请更新 channel 获取包含 python-env: wrap python executable with --resolve-argv0 (#462090) 的版本
(2026-01-05: nixos-unstable 已更新到包含修复的版本)
❤3
December 2, 2025
Nix/NixOS CN Meetup #2 将于 12/27 和 12/28 举行
参会信息:https://meetup.nixos-cn.org/meetup-2-guide/
Telegram 群组:https://t.me/nixcnmeetup
Matrix 群组:https://matrix.to/#/#nix-cn-meetup:rebmit.moe
线上直播地址:https://youtube.com/@nixcn-meetup
报名:https://v.wjx.cn/vm/m9YRDuN.aspx
参会信息:https://meetup.nixos-cn.org/meetup-2-guide/
Telegram 群组:https://t.me/nixcnmeetup
Matrix 群组:https://matrix.to/#/#nix-cn-meetup:rebmit.moe
线上直播地址:https://youtube.com/@nixcn-meetup
Nix CN
Nix CN Meetup #2 参会指南
Nix CN Meetup #2 是国内第二次以 Nix 为主题的聚会。我们希望汇聚国内 Nix 爱好者、开发者和实践者,共同分享 Nix 的使用经验、最佳实践以及在不同场景下的应用案例。
🔥5
December 7, 2025
Nix CN Meetup 直播连接:
- Day 1 上午: https://www.youtube.com/live/1MaxbambyfA
- Day 1 下午: https://www.youtube.com/live/cOyLnNgG43o
- Day 2: https://www.youtube.com/live/5skZYqzYgV8
更新:以上链接已失效,若您要查看直播回放,请访问以下链接。
https://www.youtube.com/watch?v=7YgnyCoUqQg&list=PLRIQjcY9CtRuN7cntKnuzMbUFenj0GNNP
- Day 1 上午: https://www.youtube.com/live/1MaxbambyfA
- Day 1 下午: https://www.youtube.com/live/cOyLnNgG43o
- Day 2: https://www.youtube.com/live/5skZYqzYgV8
更新:以上链接已失效,若您要查看直播回放,请访问以下链接。
https://www.youtube.com/watch?v=7YgnyCoUqQg&list=PLRIQjcY9CtRuN7cntKnuzMbUFenj0GNNP
December 28, 2025
NixOS 26.05 的第一个 staging 已合并
这次更新引入了一些重大变更:
1. GCC 的默认版本升级到了 15 。这意味着 Linux 上的所有包都已经由 GCC 15 重新构建。一些包可能会构建失败,请查看 https://github.com/NixOS/nixpkgs/issues/475479 了解修复方案。
2. Python 3.14 的所有模块开始在 hydra 上构建,以取代 Python 3.12。Python 3.13 从 3.13.9 升级到了 3.13.11 ,仍是默认的 Python 版本。
3.
4. gpgme 的默认版本从 1.24.3 升级到了 2.0.1 。一些依赖 gpgme 的包可能会出现构建问题。
5. Nodejs 的默认版本从 22 升级到了 24 。Nodejs 24 默认使用 C++ 20 编译 Native Addon ,一些包可能会出现构建错误。此外,在 fetchNpmDeps 中发现了一个兼容性问题( https://github.com/NixOS/nixpkgs/issues/474535 ),影响了少部分包,目前正在等待修复。
这次更新引入了一些重大变更:
1. GCC 的默认版本升级到了 15 。这意味着 Linux 上的所有包都已经由 GCC 15 重新构建。一些包可能会构建失败,请查看 https://github.com/NixOS/nixpkgs/issues/475479 了解修复方案。
2. Python 3.14 的所有模块开始在 hydra 上构建,以取代 Python 3.12。Python 3.13 从 3.13.9 升级到了 3.13.11 ,仍是默认的 Python 版本。
3.
python3.withPackages 在 macOS 上找不到模块的问题已修复。4. gpgme 的默认版本从 1.24.3 升级到了 2.0.1 。一些依赖 gpgme 的包可能会出现构建问题。
5. Nodejs 的默认版本从 22 升级到了 24 。Nodejs 24 默认使用 C++ 20 编译 Native Addon ,一些包可能会出现构建错误。此外,在 fetchNpmDeps 中发现了一个兼容性问题( https://github.com/NixOS/nixpkgs/issues/474535 ),影响了少部分包,目前正在等待修复。
👍9
December 31, 2025
Forwarded from ねこ 浅
January 28
Linux 6.19.4 和 6.18.14 版本存在 nftables kernel oops 问题。
因为 NixOS firewall 使用 iptables-nft 实现,所以该问题会导致系统启动后立即崩溃。
- NixOS unstable-small:请受影响用户暂缓更新,等待 Revert kernel updates for 2026-02-26 (#494816) 合入 channel
- NixOS unstable 和 25.11:其它 channel 已经采取措施确保不受此问题影响,用户可以放心更新
Update 2026-02-28 nixos-unstable-small 已经回滚内核版本,各 channel 都不会再更新到出现该问题的内核,请放心更新
👀3❤1
February 27
GitHub Dependabot 正式支持 Nix
Nix 用户可在项目根目录的
Dependabot 将自动监控 flake.lock,当上游输入有更新时单独提交 Pull Request。
官方博客:https://github.blog/changelog/2026-04-07-dependabot-version-updates-now-support-the-nix-ecosystem/
Nix 用户可在项目根目录的
.github/dependabot.yml 中添加以下配置:- package-ecosystem: "nix"
directory: "/"
Dependabot 将自动监控 flake.lock,当上游输入有更新时单独提交 Pull Request。
官方博客:https://github.blog/changelog/2026-04-07-dependabot-version-updates-now-support-the-nix-ecosystem/
The GitHub Blog
Dependabot version updates now support the Nix ecosystem - GitHub Changelog
Dependabot now supports Nix flakes. Add nix as a package ecosystem in your dependabot.yml file. Dependabot will then monitor your flake.lock inputs and open pull requests when newer commits are…
🤩7
April 8
Nix 守护进程存在本地提权漏洞,可被以守护进程用户(在 NixOS 和多用户安装中为 root 用户)身份进行任意文件覆盖。该漏洞编号为 GHSA-g3g9-5vj6-r3gj 和 CVE-2026-39860 。
所有被允许向 Nix 守护进程提交构建的用户(默认为 allowed-users ,即所有人)都可以以 root 用户身份进行任意文件写入,并随后提升权限。
- Nix 用户请立即更新到已修复的补丁版本 (2.34.5, 2.33.4, 2.32.7, 2.31.4, 2.30.4, 2.29.3, 2.28.6)
- NixOS 25.11 用户请立即更新到最新 nixos-25.11(包含 Git commit 4e92bbcdb030)
- NixOS unstable 用户请立即更新到最新 nixos-unstable(包含 Git commit 3afd2c065472)
除了更新之外,可以考虑修改 Nix
allowed-users 配置(/etc/nix/nix.conf, NixOS nix.settings.allowed-users),限制可以访问 Nix daemon 的用户。详见 https://discourse.nixos.org/t/nix-security-advisory-privilege-escalation-via-symlink-following-during-fod-output-registration
(Update 2026-04-10) 现在所有受支持的 NixOS channel 均已更新修复此漏洞,请立即更新
NixOS Discourse
Nix security advisory: Privilege escalation via symlink following during FOD output registration
Summary Nix daemon is vulnerable to arbitrary file overwrites as the daemon user (root on NixOS and in multi-user installations). The issue is identified as GHSA-g3g9-5vj6-r3gj and CVE-2026-39860. All users allowed to submit builds to the Nix daemon (allowed…
😱21
April 8
修复已于 2026-04-28 进入 `nixos-unstable{,-small}`。
Limine 11.4.0 存在问题,可导致 x86 BIOS 设备无法启动,显示
limine integrity error。本问题影响
nixos-unstable 与 nixos-unstable-small 用户。请暂缓更新,等待 https://github.com/NixOS/nixpkgs/pull/512987
在此期间,可考虑使用以下 overlay:
(_: prev: {
limine = prev.limine.overrideAttrs (
previousAttrs:
assert previousAttrs.version == "11.4.0";
{
version = "11.4.1";
src = previousAttrs.src.overrideAttrs {
hash = "sha256-sTmjVVhOb2EOhohW/SMJgrM8HT5t6afq1ekv+6eZNuY=";
};
}
);
})GitHub
limine: 11.4.0 -> 11.4.1 by mjm · Pull Request #512987 · NixOS/nixpkgs
*** Release 11.4.1 ***
Noteworthy changes compared to the previous release, 11.4.0:
Bug fixes:
- Fix an issue with the limlz compressor/decompressor that could cause
spurious failures (...
Noteworthy changes compared to the previous release, 11.4.0:
Bug fixes:
- Fix an issue with the limlz compressor/decompressor that could cause
spurious failures (...
😱9
April 25
[unstable] dbus 默认实现已切换到 dbus-broker
NixOS unstable 默认的 dbus 实现已由
因为 dbus 不能在系统运行时热切换。此时应根据提示通过
NixOS unstable 默认的 dbus 实现已由
dbus 切换到 dbus-broker。在第一次更新到切换后的版本时,如果使用 nixos-rebuild switch 会出现如下提示There are changes to critical components of the system:
dbus-implementation : dbus -> broker
Switching into this system is not recommended.
...
因为 dbus 不能在系统运行时热切换。此时应根据提示通过
nixos-rebuild boot 后重启机器的方式切换到新的系统。除此之外,无需其它操作。❤3
April 26
Linux 内核 AF_ALG AEAD 算法接口存在漏洞,使得任意用户可以写入任意可读文件的 page cache 并将其污染,效果相当于写入任意文件。
请所有用户更新到 Linux 7.0+, 6.19.12+, 6.18.22+, 6.12.85+, 6.6.137+ 版本。
如果暂时不能更新,可以使用如下配置,然后重启机器,禁止受影响模块自动加载。但是注意,可能会有部分程序(如 iwd)功能受影响,请务必充分检查自己的配置是否受到影响。
boot.blacklistedKernelModules = [ "algif_aead" ];
boot.extraModprobeConfig = ''
install algif_aead /run/current-system/sw/bin/false
'';
参考链接
- https://copy.fail
- https://lore.kernel.org/all/2026042214-CVE-2026-31431-3d65@gregkh/
- https://cve.org/CVERecord/?id=CVE-2026-31431
nixos-unstable 已更新到包含修复的版本;nixos-25.11nixos-25.11 也已经更新。- NixOS unstable 用户请更新到最新
nixos-unstable,并确认内核版本。- NixOS 25.11 用户请更新到最新
nixos-25.11,并确认内核版本。(Update 2026-05-03) 现在所有受支持的 NixOS channel 均已更新修复此漏洞,请立即更新
👍10
April 30
NixOS CN 新闻
若NixCN Conf 2605在6/13-14举办(上海),您是否有意愿参会
NixCN Conference 2605 报名通道正式开放
报名地址:https://nix.org.cn/app
Telegram 群组链接:https://t.me/nixcnmeetup
Matrix 群组链接:https://matrix.to/#/#nixos-zhcn-news:nichi.co
报名地址:https://nix.org.cn/app
Telegram 群组链接:https://t.me/nixcnmeetup
Matrix 群组链接:https://matrix.to/#/#nixos-zhcn-news:nichi.co
Telegram
NixCN Conference
https://meetup.nixos-cn.org
https://matrix.to/#/#nix-cn-meetup:rebmit.moe
https://matrix.to/#/#nix-cn-meetup:rebmit.moe
🔥2🥰2
May 4
Nix 守护进程存在本地提权漏洞 GHSA-vh5x-56v6-4368 / CVE-2026-44028,允许本地攻击者以守护进程用户(在 NixOS 和多用户安装中为 root)身份执行任意代码。
Nix 和 Lix 均受到影响,Guix 未受影响。
- Nix 2.24.4+ 受影响,在 2.34.7, 2.33.6, 2.32.8, 2.31.5, 2.30.5, 2.29.4, 2.28.7 版本修复
- Determinate Nix 在 3.19.1 版本修复
- Lix 2.93.0+ 受影响,在 2.93.4, 2.94.2, 2.95.2 版本修复
相关更新同时还修复了无关路径遍历漏洞 GHSA-gr92-w2r5-qw5p。
详见 https://discourse.nixos.org/t/security-advisory-local-privilege-escalation-in-lix-and-nix
注意:unstable 和 25.11 均已包含此更新,建议受影响用户立即更新。
NixOS Discourse
Security Advisory: Local privilege escalation in Lix and Nix
Summary Nix and Lix daemon implementations are affected by buffer overflows vulnerabilities that allow a local attacker to gain arbitrary code execution as the daemon user (root in multi-user installations). The vulnerabilities are identified as: Nix:…
😁11
May 5
Linux 内核存在漏洞,使得任意用户可以写入任意可读文件的 page cache 并将其污染,效果相当于写入任意文件,可以导致任意用户获得 root 权限。受影响组件为:
* Linux 内核 RxRPC 协议实现
* Linux 内核 IPv4/IPv6 IPSec ESP 协议实现
boot.blacklistedKernelModules = [ "esp4" "esp6" "rxrpc" ];
boot.extraModprobeConfig = ''
install esp4 /run/current-system/sw/bin/false
install esp6 /run/current-system/sw/bin/false
install rxrpc /run/current-system/sw/bin/false
'';
ESP 相关漏洞已在 6.6.138 / 6.12.87 / 6.18.28 / 7.0.5 修复,请立即更新。相关 PR:unstable / 25.11。
RxRPC 相关漏洞已在 6.18.29 / 7.0.6 等版本修复,请立即更新。相关 PR:unstable / 25.11。
参考链接
- https://github.com/V4bel/dirtyfrag
- https://github.com/0xdeadbeefnetwork/Copy_Fail2-Electric_Boogaloo
- https://git.kernel.org/torvalds/c/f4c50a4034e6 (IPSec ESP)
- https://lore.kernel.org/all/afKV2zGR6rrelPC7@v4bel (RxRPC)
😱18
May 8
[25.11, unstable] CVE-2026-46300 Linux 内核 Fragnesia / XFRM ESP-in-TCP 本地提权漏洞
Linux 内核存在 Fragnesia 本地提权漏洞,使得本地用户在满足 user namespace / network namespace 等前提时,可以通过 Linux XFRM ESP-in-TCP 路径写入任意可读文件的 page cache,效果相当于临时污染只读文件内容,并可能导致任意用户获得 root 权限。该漏洞属于 Dirty Frag 类漏洞,但与已公开的 Dirty Frag ESP / RxRPC 漏洞不同,是 ESP/XFRM 攻击面上的另一个独立问题。
目前暂时没有确认包含该修复补丁的 NixOS 内核更新,请在不影响业务的前提下使用如下配置禁止受影响模块自动加载,然后重启机器。但是注意,可能会有部分功能无法正常使用,如 IPSec, 请务必检查自己的系统是否受到功能影响。
已运行过 PoC 或怀疑被利用的机器,建议重启以清理可能被污染的 page cache。请注意
参考链接
Fragnesia PoC:https://github.com/v12-security/pocs/tree/main/fragnesia
上游修复补丁:https://lists.openwall.net/netdev/2026/05/13/79
Linux 内核存在 Fragnesia 本地提权漏洞,使得本地用户在满足 user namespace / network namespace 等前提时,可以通过 Linux XFRM ESP-in-TCP 路径写入任意可读文件的 page cache,效果相当于临时污染只读文件内容,并可能导致任意用户获得 root 权限。该漏洞属于 Dirty Frag 类漏洞,但与已公开的 Dirty Frag ESP / RxRPC 漏洞不同,是 ESP/XFRM 攻击面上的另一个独立问题。
目前暂时没有确认包含该修复补丁的 NixOS 内核更新,请在不影响业务的前提下使用如下配置禁止受影响模块自动加载,然后重启机器。但是注意,可能会有部分功能无法正常使用,如 IPSec, 请务必检查自己的系统是否受到功能影响。
boot.extraModprobeConfig = ''
install esp4 ${pkgs.coreutils}/bin/false
install esp6 ${pkgs.coreutils}/bin/false
install rxrpc ${pkgs.coreutils}/bin/false
'';
boot.blacklistedKernelModules = [
"esp4"
"esp6"
"rxrpc"
];
已运行过 PoC 或怀疑被利用的机器,建议重启以清理可能被污染的 page cache。请注意
echo 1 | tee /proc/sys/vm/drop_caches 可能无法缓解问题。参考链接
Fragnesia PoC:https://github.com/v12-security/pocs/tree/main/fragnesia
上游修复补丁:https://lists.openwall.net/netdev/2026/05/13/79
GitHub
pocs/fragnesia at main · v12-security/pocs
poc it like it's hot. Contribute to v12-security/pocs development by creating an account on GitHub.
🤨6
May 14
ngx_http_rewrite_modul 存在一个已存在约 18 年的内存损坏漏洞,攻击者可通过构造特定请求触发堆溢出,在部分场景下可能实现远程代码执行(RCE)。漏洞影响范围较广,几乎所有通用发行版默认构建的 Nginx 均会包含该模块。
受影响版本:
* Nginx 0.6.27 ~ 1.30.0
建议用户尽快升级至以下已修复版本:
* 1.30.1
* 1.31.0
目前 NixOS unstable 和 25.11 均已已合入相关更新,建议尽快更新:
- unstable:https://github.com/NixOS/nixpkgs/pull/519893
- 25.11: https://github.com/NixOS/nixpkgs/pull/520076
对于暂时无法切换到已修复 nixpkgs 的场景,可使用 overrideAttrs 临时覆盖 Nginx 版本作为 workaround
services.nginx.package = pkgs.nginx.overrideAttrs (old: rec {
version = "1.30.1";
src = pkgs.fetchurl {
url = "https://nginx.org/download/nginx-${version}.tar.gz";
hash = "sha256-mXZQANl0iWsxyliC2MJ5zj/n729cb58Kln7X/TQH+cw=";
};
});
参考链接
漏洞分析:https://depthfirst.com/nginx-rift
CVE-2026-42945: https://github.com/advisories/GHSA-gcgv-v5gf-c543
F5 公告 K000161019:https://my.f5.com/manage/s/article/K000161019
(2026-05-20:相关修复已经进入 channel,请立即更新)
GitHub
nginx: 1.30.0 -> 1.30.1, nginxMainline: 1.29.7 -> 1.31.0 by SuperSandro2000 · Pull Request #519893 · NixOS/nixpkgs
Things done
Built on platform:
x86_64-linux
aarch64-linux
x86_64-darwin
aarch64-darwin
Tested, as applicable:
NixOS tests in nixos/tests.
Package tests at passthru.tests.
Tests in lib/...
Built on platform:
x86_64-linux
aarch64-linux
x86_64-darwin
aarch64-darwin
Tested, as applicable:
NixOS tests in nixos/tests.
Package tests at passthru.tests.
Tests in lib/...
😱10❤1
May 14
Linux 内核
__ptrace_may_access 在进程退出时的权限检查漏洞 [2] [3],使得普通用户可以在高权限进程退出时有机会读取该进程的敏感信息和高权限的任意打开文件,影响包括但不限于进程隐秘数据、SSH 私钥、/etc/shadow 等泄漏。目前 Linus Torvalds 的分支已包含修复 [1],并已回合入 Linux 7.0.8+, 6.18.31+, 6.12.89+, 6.6.139+ 等版本。Unstable 和 25.11 均已更新,建议用户尽快升级。
- unstable kernel updates for 2026-05-15 (#520443)
- 25.11 [Backport release-25.11] kernel updates for 2026-05-15 (#520457)
目前可以使用如下临时配置禁止非特权进程使用 ptrace 级别权限 [4]。但是注意,该方案只能缓解目前已知的越权访问,同时非特权用户将不能使用 gdb 等基于 ptrace 的调试器调试运行的程序。
临时应用,重启恢复:
# sysctl kernel.yama.ptrace_scope=2
NixOS 配置:
boot.kernel.sysctl."kernel.yama.ptrace_scope" = 2;
该选项设置为 2 或以上可以阻挡对此漏洞的利用,1 及以下不能阻挡。为确保此临时配置有效,请确认 Yama 已启用(NixOS 配置
security.lsm 默认包含 "yama",也可以查看 /proc/cmdline 确认 lsm= 后包含 yama。)参考连接:
[1] https://git.kernel.org/torvalds/c/31e62c2ebbfd
[2] https://www.openwall.com/lists/oss-security/2026/05/15/2
[3] https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn
[4] https://www.openwall.com/lists/oss-security/2026/05/15/8
(2026-05-20:相关修复已经进入 channel,请立即更新)
😱10
May 15
Forwarded from Cryolitia🏳️⚧️ PukNgae
Nix CN 文化衫概念征集公告
为迎接下一次Nix CN社区聚会,及长线周边贩售工作,NixCN Conf会务组(以下简称我们)决定开启文化衫概念征集和贩售工作。任何感兴趣的伙伴可以通过Telegram联系 @Cryolitia 或邮件联系 cryolitia@nixcn.dev 提交自己的文化衫设计。我们将在初步筛选后发起社区投票,并下单制作高人气的文化衫在社区销售或在各类活动中作为纪念品发放。
参考其他社区经验后,我们决定选取 T社定制 (https://www.tshe.com/) 作为文化衫供货商,请参赛选手自行在其官网了解可使用的底衫及印花工艺,在提交参赛作品时应包含底衫颜色,印花图案文件,概念预览图,可包含一段对设计的文字描述。
最终胜出的作品及其设计师的名字将会在我们的社区页面永久展示,并在下一次聚会时颁发奖项,高人气作品有机会在未来不断返场重贩售。
征集截止时间为2026年5月24日。
为迎接下一次Nix CN社区聚会,及长线周边贩售工作,NixCN Conf会务组(以下简称我们)决定开启文化衫概念征集和贩售工作。任何感兴趣的伙伴可以通过Telegram联系 @Cryolitia 或邮件联系 cryolitia@nixcn.dev 提交自己的文化衫设计。我们将在初步筛选后发起社区投票,并下单制作高人气的文化衫在社区销售或在各类活动中作为纪念品发放。
参考其他社区经验后,我们决定选取 T社定制 (https://www.tshe.com/) 作为文化衫供货商,请参赛选手自行在其官网了解可使用的底衫及印花工艺,在提交参赛作品时应包含底衫颜色,印花图案文件,概念预览图,可包含一段对设计的文字描述。
最终胜出的作品及其设计师的名字将会在我们的社区页面永久展示,并在下一次聚会时颁发奖项,高人气作品有机会在未来不断返场重贩售。
征集截止时间为2026年5月24日。
Tshe
T社定制 - 高品质T恤文化衫服装定制平台
T社定制,在线定制T恤文化衫网站,追求更高质量T恤定制、企业文化衫定制、班服定制等高端团体服装定制。T社自有大型工厂,可定制T恤、卫衣、POLO衫等团体服装定制
🔥7
May 18
Linux 内核 RDS (Reliable Datagram Sockets) 协议实现存在漏洞 [1][2],错误处理路径对用户提供的内存页面的资源管理不当,使得任意用户可以覆盖任意可读文件的 page cache,效果相当于写入任意文件,可以导致任意用户获得 root 权限。
目前 Linus Torvalds 的分支已包含修复 [3],并已回合至 7.0.10+, 6.18.33+, 6.12.91+, 6.6.141+。对于 NixOS 用户:
- 请 NixOS unstable 用户更新到最新
nixos-unstable channel (包含 kernel updates for 2026-05-23 (#523326) 的版本)- 请 NixOS 25.11 用户更新到最新
nixos-25.11 channel (包含 [Backport release-25.11] kernel updates for 2026-05-23 (#523337) 的版本)如果暂时没有更新或无法更新,请使用如下配置禁止受影响模块自动加载,然后重启机器。绝大部分用户不会用到 RDS 协议,在此情况下正常系统功能不应受到影响。
boot.blacklistedKernelModules = [ "rds" "rds_tcp" "rds_rdma" ];
boot.extraModprobeConfig = ''
install rds /run/current-system/sw/bin/false
install rds_tcp /run/current-system/sw/bin/false
install rds_rdma /run/current-system/sw/bin/false
'';
[1] https://www.openwall.com/lists/oss-security/2026/05/19/6
[2] https://github.com/v12-security/pocs/tree/main/pintheft
[3] https://git.kernel.org/torvalds/c/e17492979319
(已经是模板了……)
🤣8😇4😱2
May 20
Garnix 将于 7 月 15 日关停:团队加入 Shopify,核心代码现已开源
Garnix 宣布加入 Shopify,其托管服务将于 2026 年 7 月 15 日关闭,届时将清空所有用户数据及构建产物。
目前核心代码已开源(GitHub 仓库),支持用户自建实例。团队亦在寻找有意愿运营公共社区实例的合作者,并对 Nix 社区多年来的支持表示感谢。
https://discourse.nixos.org/t/garnix-is-shutting-down-not-oc/77895
Garnix 宣布加入 Shopify,其托管服务将于 2026 年 7 月 15 日关闭,届时将清空所有用户数据及构建产物。
目前核心代码已开源(GitHub 仓库),支持用户自建实例。团队亦在寻找有意愿运营公共社区实例的合作者,并对 Nix 社区多年来的支持表示感谢。
https://discourse.nixos.org/t/garnix-is-shutting-down-not-oc/77895
😢15😁1
May 29
[25.11, 26.05, unstable] Linux 内核 CVE-2026-46331 "PACKET_EDIT_MEME" 本地提权漏洞
Linux 内核网络流量控制 tc 子系统 pedit 动作协议实现存在漏洞 [1][2],任意用户(非特权用户如果可用 unprivileged user namespace 可以获得 CAP_NET_ADMIN 也能利用)可以覆盖任意可读文件的 page cache,效果相当于写入任意文件,可以导致任意用户获得 root 权限。
目前 Linux 7.1 中已有修复 [3],内核稳定版本还没有修复。
在等待修复期间,请使用如下配置禁止受影响模块自动加载,然后重启机器。绝大部分用户不会用到 tc-pedit,在此情况下正常系统功能不应受到影响。
[1] https://lore.kernel.org/all/2026061625-CVE-2026-46331-47be@gregkh/
[2] https://github.com/sgkdev/packet_edit_meme
[3] https://git.kernel.org/torvalds/c/899ee91156e5
Linux 内核网络流量控制 tc 子系统 pedit 动作协议实现存在漏洞 [1][2],任意用户(非特权用户如果可用 unprivileged user namespace 可以获得 CAP_NET_ADMIN 也能利用)可以覆盖任意可读文件的 page cache,效果相当于写入任意文件,可以导致任意用户获得 root 权限。
目前 Linux 7.1 中已有修复 [3],内核稳定版本还没有修复。
在等待修复期间,请使用如下配置禁止受影响模块自动加载,然后重启机器。绝大部分用户不会用到 tc-pedit,在此情况下正常系统功能不应受到影响。
boot.blacklistedKernelModules = [ "act_pedit" ];
boot.extraModprobeConfig = ''
install act_pedit /run/current-system/sw/bin/false
'';
[1] https://lore.kernel.org/all/2026061625-CVE-2026-46331-47be@gregkh/
[2] https://github.com/sgkdev/packet_edit_meme
[3] https://git.kernel.org/torvalds/c/899ee91156e5
😁9❤1
June 18
由于最近开始测试新的 Hydra queue runner 遇到的一些未预期情况,导致上传到 cache.nixos.org 部分路径出现内容异常下载失败。该问题也影响到部分之前已有的路径。
特别提示,此次基础设施异常并非外来攻击导致。另外,由于 Nix 下载 binary cache 路径有签名检查,大家无需担心成功下载的路径内容损坏。
目前 Hydra 已经修复,而 cache.nixos.org 完善检查和修复正在进行中。如果确实受到影响,可以考虑端午节休息一下非必要别玩 NixOS 了。
Update:目前基础设施问题已经解决,如果还遇到缓存的错误信息,请尝试清除本地缓存
rm -rf ~/.cache/nix
sudo rm -rf ~root/.cache/nixnixos-unstable 还未更新原因与基础设施问题无关。
😁22🤯3
June 18
[unstable] x86_64-darwin 平台即将停止支持
由于 Nixpkgs 开发者精力和构建资源有限,x86_64-darwin 平台即运行 macOS 的 Intel Mac 即将停止受到 Nixpkgs 支持。随着 release: stop building for x86_64-darwin (#493096) 合入,Nixpkgs unstable 将不再会有 x86_64-darwin 构建。请相关设置了
请注意,Homebrew 也将在 2026 年 9 月将 x86_64-darwin 支持降级至 Tier 3,并于 2027 年 9 月完全停止支持 [2]。Apple 也将在 2028 年停止为 macOS 26 提供安全更新。
有兴趣考虑下换成 Linux 么?
[1] https://github.com/NixOS/nixpkgs/pull/493096
[2] https://docs.brew.sh/Support-Tiers#future-macos-support
由于 Nixpkgs 开发者精力和构建资源有限,x86_64-darwin 平台即运行 macOS 的 Intel Mac 即将停止受到 Nixpkgs 支持。随着 release: stop building for x86_64-darwin (#493096) 合入,Nixpkgs unstable 将不再会有 x86_64-darwin 构建。请相关设置了
allowDeprecatedx86_64Darwin 选项的用户暂时切换使用 26.05,并尽快迁移。不建议长期自行构建 x86_64-darwin 的软件包。请注意,Homebrew 也将在 2026 年 9 月将 x86_64-darwin 支持降级至 Tier 3,并于 2027 年 9 月完全停止支持 [2]。Apple 也将在 2028 年停止为 macOS 26 提供安全更新。
有兴趣考虑下换成 Linux 么?
[1] https://github.com/NixOS/nixpkgs/pull/493096
[2] https://docs.brew.sh/Support-Tiers#future-macos-support
🎉4😁1🕊1
June 24