openSUSE Tumbleweed 每月更新 - 四月

欢迎来到 openSUSE Tumbleweed 2024 年 4 月的月度更新。本月的更新是在解决了上个月针对 xz 压缩库的供应链攻击后开始的。关于 XZ 后门的解释、如何解决该问题以及所学到的知识，请访问 news.opensuse.org 或 suse.org.cn。

随着会议旺季的到来，openSUSE Tumbleweed 本月发布了大量更新、增强功能和重要的安全修复。如果读者希望更频繁地获得快照更新信息，我们鼓励读者订阅 openSUSE Factory 邮件列表。

新功能和改进

• Linux 内核：四月份有数次内核更新。Linux 6.8.5 的显著变化包括缓解分支历史注入（Branch History Injection, BHI）漏洞、改进 Spectre 缓解、更新英特尔图形驱动程序、修复 SMB 客户端漏洞和修复 RISC-V 架构。Linux 6.8.7 提供了 AMD 显示驱动程序、英特尔 i915 驱动程序、x86 推测执行漏洞（speculative execution vulnerabilities）、arm 64 位设备树文件、DRM 驱动程序、文件系统处理等的更新和修复。

• KDE Frameworks 6.1.0：numpy 软件包增强了对结构化数组和灵活索引的支持，而 pandas 则改进了对缺失数据的处理，并加入了新的数据处理方法。此外，matplotlib 软件包为情节美学（Plot aesthetics）提供了增强的自定义选项。此次更新还包含了用于 scikit-learn 机器学习任务的新算法。

• KDE Gear 24.02.2：KDE Gear 24.02.2 更新包含大量修复和增强功能。此次更新解决了 Akonadi 中标签添加功能的问题、Akregator 中翻译快捷方式和图标外观问题；并为 ark 提供了各种改进和修复，如禁用 RAR4 压缩方法。更新还修复了 Elisa 中的多个问题（其中包括音量滑块和曲目播放问题）以及为 Konsole 提供大量增强功能。Korganizer 中的日历选择和待办事项视图更新也得到了修复。

• PHP8 8.3.6：该更新包含大量错误修复、安全补丁以及对不同组件的改进。除了对 Core、DOM、GD、Opcache 和 Session 的修复外，其他修复包括：
  • FPM：修复了配置测试在守护进程模式下运行两次以及 fpm_shm_free() 中检查不正确的问题。
  • Gettext：修复了在特定配置下调用 dcgettext 和 dcngettext 时出现的问题。
  • MySQLnd：已应用多项修复，包括纠正握手响应和字符集长度检查。
  • Random：针对 8.2 之前的 PHP 版本引入了兼容性改进，并解决了全局 Mt19937 重置的问题。
  • Standard：在 mail() 函数中添加了对特定字符的验证，并应用了各种错误修复，包括解决命令注入和 cookie 旁路漏洞。（CVE-2024-1874、CVE-2024-2756 中已注明，并使用 CVE-2024-3096 和 CVE-2024-2757 修复了 mb_encode_mimeheader 和 password_verify 的问题。）

• Mozilla Firefox 125.0.2。该浏览器带来了以下新功能：
  • 加密媒体扩展（Encrypted Media Extensions, EME）新增对 AV1 编解码器的支持，提高了视频播放质量。
  • 增强的 PDF 查看器功能，可突出显示文本。
  • 引入 URL 粘贴建议功能，允许快速浏览复制到剪贴板的 URL，从而提高可用性。
  • 多个关键安全修复，解决了越界读取和使用后无错误等漏洞，增强了浏览器的安全性。
• dracut：新增了 tpm2.target 和 systemd-tpm2-generator 等改进功能，并修复了若干内存泄漏问题。
• ffmpeg：ffmpeg-4 和 ffmpeg-6 解决了一些视频处理问题，并修复了内存泄漏，改进了 EOF 处理。更新涉及：
  • CVE-2023-51793 和 CVE-2023-49502
  • CVE-2023-50008 和 CVE-2023-50007

• sqlite3：从 3.45.2 版本更新到 3.45.3 版本，解决了影响某些 UPSERT 操作中触发器响应准确性的一个长期存在的错误，以确保更可靠的数据库操作。

• Flatpak：1.15.8 版本更新包含一些防止沙箱逃逸的安全修复，以及其他各种可用性改进。
• Python3.11：3.11.9 版本包含各种安全补丁和错误修复，如处理 CVE-2023-52425、将捆绑的 libexpat 更新至 2.6.0 版本、修复 collections.deque.index() 中可能出现的崩溃，以及改进 SSLContext 行为。

• Cppcheck：2.14.0 版中的新检查包括：
  • eraseIteratorOutOfBounds：警告对超出范围的迭代器调用 erase()，从而增强代码的健壮性。
  • returnByReference：当从 getter 函数按值返回大型类成员时发出警告，这可能会影响性能和内存使用。

其他软件包更新

• SDL2：2.30.2 版本引入了对各种新控制器的支持，包括 6 键 SEGA Mega Drive 控制板和 Hori Fighting Stick EX2。
• Cryptsetup：2.7.2 版本解决了几个问题，包括 OPAL 设备格式化和激活的修复。
• SpamAssassin：4.0.1 版本增强了 URL 缩短器链接重定向处理并改进了 TxRep 锁定管理，从而增强了用户的电子邮件安全性。

错误修复

• Xwayland：CVE-2024-31083 这个严重的安全漏洞缓解了 Xorg 服务器因 ProcRenderAddGlyphs() 函数中的释放后使用 (use-after-free) 漏洞而造成的安全风险，该缺陷允许经过身份验证的攻击者执行任意代码。

• PHP8：CVE-2023-51793、CVE-2023-49502、CVE-2023-50008 和 CVE-2023-50007
• glibc：[CVE-2024-2961] 允许在转换为 ISO-2022-CN-EXT 时发生缓冲区溢出，导致崩溃或变量覆盖。libxml2：CVE-2024-25062 是一个通过精心设计的 XML 文档释放后使用的漏洞。

• Python3.11：CVE-2023-52425、CVE-2023-6597

• QEMU：针对一个漏洞进行了补丁和修复，该漏洞允许恶意虚拟机崩溃 QEMU，并导致拒绝服务情况，对应 CVE-2024-3567。CVE-2024-3446 可能会影响任意代码执行，同时也进行了补丁。

• Freerdp2：2.11.5 版本修复了 CVE-2023-40574 和 CVE-2023-40575，前者在 writePixelBGRX 函数中出现越界（Out-Of-Bounds）写入，这可能是由于变量计算不正确造成的，后者则会导致崩溃。

结论

2024 年 4 月份的更新涵盖了功能增强和关键安全修复。从使用 SDL2 改善游戏支持到加强 Cryptsetup 的加密实践，用户受益于一系列旨在增强功能、稳定性和安全性的更新。在该月份，Tumbleweed 还更新了 Mesa、GTK4 和 transactional-update 等其他软件包。

对于那些想要贡献的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表。openSUSE 团队鼓励用户通过 BUG 报告、功能建议和讨论继续参与。

为 openSUSE Tumbleweed 做贡献

您的贡献和反馈使 openSUSE Tumbleweed 的每次更新都更加完善。无论是报告错误、建议功能还是参与社区讨论，我们都非常重视您的参与。

---

原文：openSUSE Tumbleweed Monthly Update - April，作者：Douglas DeMaio