openSUSE Tumbleweed 每月更新 - 五月

欢迎阅读 openSUSE Tumbleweed 2024 年 5 月的月度更新。本月带来了大量更新、增强功能以及关键的安全修复。无论您是开发人员、系统管理员还是普通用户，这些更新都旨在提升您的使用体验并确保最高级别的安全性和性能。

如果您希望更频繁地获取有关快照更新的信息，请订阅 openSUSE Factory 邮件列表。

让我们开始吧！

新功能和改进

• Linux Kernel 6.9.1：内核在 5 月份更新了数次，但目前仍停留在 6.9.1 版本，该版本修复了各种问题并增强了整体稳定性。针对 mt7915 无线网卡的 mt76 驱动程序通过添加缺少的 chanctx 操作进行了改进，从而增强了功能。内核针对密钥子系统进行了关键修复，以防止在实例化过程中覆盖密钥过期时间，从而提高了安全性。通过添加 mhi_power_down_keep_dev() API，增强了调制解调器主机接口子系统对系统挂起/休眠的支持，这有助于在电源管理操作期间保持设备状态。
• LLVM 18.1.6：此次更新涵盖了多个子包，例如 clang-tools、clang18、libLLVM18、libclang-cpp18、libclang13 和 llvm18-gold。主要修复了以下问题：修复了使用 StructRet 时，参数对齐的函数生成不正确的 thunk 或传递不正确的返回值的问题。引入了 -Xclang -target-feature -Xclang +unaligned-scalar-mem 选项，用于在不支持非对齐向量访问的 CPU 上启用非对齐标量内存访问。修复了使用 -march=native 在不支持 AVX512 的设备上编译 AVX512 代码时出现的构建失败问题。另外，还修复了 AArch64 后端因 IR 层的 fcmp 指令操作数为 true 或 false 引起的崩溃问题，并修复了一些导致编译器崩溃的错误。
• KDE Frameworks 5.116.0：Breeze 图标增强了对音频文件格式的支持，添加了针对以下文件类型的图标： audio/ogg、audio/x-vorbis+ogg 和 audio/vnd.wave MIME 类型。额外的 CMake 模块也进行了重要更新，其中包括放弃了在 ecm_add_qch 中具有已安装配置的 target 上设置 IMPORTED 的尝试。KFileMetaData 修复了属性命名空间的处理，并提高了元数据的准确性和处理能力。KService 修复了与 “mimeType x-scheme-handler/file not found” 问题相关的警告。
• udisks2 2.10.1: 此次更新了乌克兰语和德语翻译。改进了 LVM2 RAID 的测试，具体措施包括擦除已使用的设备、在检查属性之前让系统稳定下来，以及在测试后重新扫描 vdev。添加了离线和在线文件系统增长测试（grow test），并澄清了 Filesystem.Size 属性的文档。修复了 nvme 测试中的 Python 类调用，并为 udisksctl 中的 loop-setup 命令添加了 –no-partition-scan 选项。
• firewalld 2.1.2：新版本的更新包含数个修复：策略现在允许使用 to-addr 为 egress-zone=HOST 转发端口；已经纠正了丰富规则中大规则限制的范围检查；并且在测试期间修复了 fw-in-container 环境中的跳过检测问题。
• snapper 0.11.0：此次更新引入了异步清理过期的 btrfs qgroups，并恢复了某些部分以修复在 OBS 中的构建问题。清理服务现在设置为每小时运行一次，如果 qgroups 不存在则禁用它们，以避免在创建快照时失败。新增了对季度快照的支持，并且基于编码集的表格样式选择现在已经实现。
• GTK3 3.24.42：打印功能通过避免访问已释放的打印机得到了改进。Wayland 修复包括正确显示监视器大小、修复与平板移除相关的崩溃、推断平铺窗口的可调整边缘，以及确保在确认配置后尽快进行提交。GTK4 4.14.4：解决了没有子元素时的崩溃问题，并在加载符号 SVG 和处理无色符号方面提高了效率。无障碍更新包括使 gtk-demo 侧边栏搜索更易访问，并停止发出焦点事件。GDK 引入了对 XDG_ACTIVATION_TOKEN 的支持，并对 dmabuf 进行了防御性改进，这些改进包括更仔细地处理未知格式和使用更窄的 YUV 格式范围。
• Mozilla Firefox 126.0：该浏览器进行了重大更新，修复了 16 个 CVE。修复了 PDF.js 中的任意 JavaScript 执行漏洞（CVE-2024-4367）。修复了点击劫持导致的潜在权限请求绕过问题（CVE-2024-4764）。修复了内存安全漏洞（CVE-2024-4778 和 CVE-2024-4777），后者也适用于 Firefox ESR 115.11 和 Thunderbird 115.11。sssd 2.9.5：此次更新引入了一个新的配置选项，名为failover_primary_timeout。该选项允许用户配置在成功连接到备份服务器后，SSSD 尝试重新连接主服务器的频率。此前，该间隔硬编码为 31 秒，且仍为默认值。
• openldap2 2.6.7：liblber 库修复了长消息缺少换行符的问题，libldap 解决了与 openssl-3 的退出处理问题、使用多个 LDAP URI 时的 TLS 问题、OpenSSL 密码套件处理问题以及使用 OpenSSL 3.0 时的 Diffie-Hellman 参数文件处理问题。slapd 服务现在在 matchedDN 处理时遵守 disclose 选项，改进了 ACL 中的正则表达式测试，并修复了粘合数据库的同步复制问题。
• iproute2 6.9：此次更新引入了几个新功能和改进：m_mirred 模块现在允许镜像到块设备，tc 命令为 action 和过滤器增加了 NLM_F_ECHO 支持。ip 命令增强了对 bonding 的 coupled_control 支持，并新增了 IOAM6 的 monitor 命令。
• xwayland 24.1.0：此功能版本解决了在先前候选版本中引入的多个回归问题，并移除了对 eglstreams 的支持。
• AppStream 1.0.3：主要功能包括增强的验证器检查，以确保描述列表未被翻译，改进了描述的翻译检查，以及通过 CLI compose 命令将选定的自定义条目传播到目录输出的能力。此外，还增加了许多其他功能。

关键软件包更新

• tpm2-0-tss 4.1.0：此次更新提供了对 CVE-2024-29040 的重大安全修复。实施了各种错误修复，包括修正 FAPI 身份验证回调的长度检查、修复与 CEL 规范的偏离问题以及解决之前被 json-c 忽略的 FAPI 配置文件中的 json 语法错误。更新还增加了对新功能的支持，并启用了使用外部密钥进行 Fapi_Encrypt 的功能。
• postgresql16 16.3：修复了 CVE-2024-4317，该漏洞可能允许非特权数据库用户从其他用户的 CREATE STATISTICS 命令中读取大多数常见值和其他统计信息。
• Python 3.x 版本修复了 CVE-2023-6597。这是一个在 CPython 中发现的漏洞，影响 3.12.1、3.11.7、3.10.13、3.9.18、3.8.18 和更早版本。在清理过程中，当存在权限错误时，此类错误地跟随符号链接。因此，在特定条件下，具有运行特权程序能力的用户可能会更改符号链接指向的文件的权限。

错误修复

• glib2 2.80.2:
  • CVE-2024-34397 - GNOME GLib 中存在一个问题，允许伪造 D-Bus 信号，从而影响客户端行为
• qt6-base:
  • CVE-2024-33861 - QStringConverter 的无效指针回调可以修改堆栈，从而导致使用 QStringDecoder 的应用程序存在漏洞。
• libxml2 2.12.7
  • CVE-2024-34459 - xmllint –htmlout 中的缓冲区过度读取可能会导致 2.12.7 之前的 libxml2 版本中出现漏洞。
• libarchive 3.7.4:
  • CVE-2024-26256 - 远程执行漏洞
• krb5 添加了一些补丁来修复与以下相关的内存泄漏：
  • CVE-2024-26458
  • CVE-2024-26461
  • CVE-2024-26462
• ovmf
  • CVE-2022-36763 - Tcg2MeasureGptTable() 中的 EDK2 漏洞允许通过本地网络发生堆缓冲区溢出
• python-Jinja2 3.1.4:
  • CVE-2024-34064 - Jinja 的 xmlattr 过滤器漏洞允许键中使用非属性字符，从而存在遭受 XSS 攻击的风险。
• tpm2-0-tss 4.1.0:
  • CVE-2024-29040 是一个漏洞，它允许攻击者生成任意报价数据，而 Fapi_VerifyQuote 可能无法检测到这些数据。

结论

2024 年 5 月，openSUSE Tumbleweed 持续推出了一系列关键的安全修复、重要的更新和显著的增强。对 Linux 内核、LLVM、KDE 框架和许多其他组件的更新确保了 Tumbleweed 系统保持功能丰富并持续更新。开发人员和用户都从改进、增强和新功能中受益。

对于那些希望贡献或参与详细技术讨论的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表。openSUSE 团队鼓励用户继续通过 bug 报告、功能建议和讨论来参与进来。

为 openSUSE Tumbleweed 做贡献

您的贡献和反馈使 openSUSE Tumbleweed 的每次更新都更加完善。无论是报告错误、建议功能还是参与社区讨论，我们都非常重视您的参与。

---

原文：openSUSE Tumbleweed Monthly Update - May 2024，作者：Douglas DeMaio