openSUSE Tumbleweed 每月更新 - 十月

本月，Tumbleweed 就像一个经过精心调试的引擎，精准而快速地完成了重要更新和错误修复。除了重要的安全补丁外，GNOME、systemd、qemu 等也有更新。处理了特别是针对 Firefox、openssl 和 virtualbox 软件包的各种 CVE，以提高系统的安全性。本月还更新了 GNOME 和 KDE 的桌面组件。

除了本月的所有软件包更新外，Tumbleweed 还进行了全新的视觉改造，更新了 Tumbleweed 的 LOGO 和包含白天和夜间主题变体的新壁纸。

与往常一样，如果出现任何问题，请记住使用 snapper 进行回滚。

祝您在风滚草上玩得愉快！👻

有关当月更改日志的更多详细信息，请访问 openSUSE Factory 邮件列表。

新功能和增强功能

• LibreSSL 4.0：新的大版本进行了一些重大变更和删除，其中值得注意的有：
  • openssl(1) 中的 cms 命令现在支持 CRLfile 选项，以便在验证过程中指定额外的 CRL；
  • 更新还更改了 libtls 中的协议处理，完全忽略了不支持的 TLSv1.0 和 TLSv1.1 协议；
  • 删除了有潜在危险的 EVP_PKEY*_check(3) 函数；
  • 不再支持 Whirlpool 哈希函数。
• bind 9.20.3：
  • 新增了 WALLET 记录类型，允许将域名映射到加密货币钱包；
  • 引入了查询响应日志功能，通过响应类别提供摘要；
  • 做出了一项重要更改，在 DNS 记录传输过程中，如果记录过多导致失败，可以从 IXFR 回退到 AXFR；
  • 解决了一些问题，如只向前区域（forward-only zones）中不正确的统计数据、导致错误查询的静态存根错误；
  • 改进了 DNSSEC 验证和区域文件操作等长期运行流程。
• GNOME 47.1：
  • gnome-shell 的增强功能包括改进了快速设置的可访问性、更好地使用平板电脑用户界面强调色以及更准确的插入框阴影；
  • 翻译更新包括了各种布局修复、填充调整和崩溃修复；
  • gnome-shell-extensions 增加了经典模式中缺少的顶栏指示器；
  • gnome-sudoku 用户将获得多项用户界面修复，包括改进浅色模式下的工具提示，以及更好地处理撤销功能；
  • gnome-text-editor 的更新引入了对默认为隐式尾随换行符的文档的修复，并改进了小屏幕上的文本换行；
  • gnome-bluetooth 的更新解决了取消配对时崩溃的问题，并增加了对 Kawai CA501 音乐键盘的支持以及其他改进；
  • gnome-control-center 修复了后台名称处理中的可访问性回归问题；
  • 该软件包还对外观、颜色和用户等多个模块进行了改进。
• xz 5.6.3：
  • 主要变更包括 x86-64 内联汇编与旧版 GNU Binutils 的兼容性修复，以及针对 OpenBSD/sparc64 上的 GCC 4.2 的构建修复；
  • xzdec 工具现在能在使用 -M 等不支持的选项时正确显示错误；
  • lzmainfo 解决了舍入字典和未压缩大小时的整数溢出问题；
  • 在构建改进方面，基于 Autotools 的构建系统现在能更好地处理链接时优化（link-time optimization, -flto），Solaris 用户也能受益于 version.sh 中对重新生成 configure 文件的修复；
  • CMake 系统也得到了改进，包括优先使用 C11 而不是 C99 编译器，以及在链接到共享 liblzma 时避免不必要的线程标志；
  • 此外，还更新了加泰罗尼亚语、简体中文和巴西葡萄牙语的翻译。
• KDE Plasma 6.2.1：
  • 修复了 Breeze 在没有文本或图标时调整复选框大小的问题；
  • Discover 解决了与 Snap 包中的空通道相关的崩溃问题；
  • Plasma Addons 改进了网络浏览器小程序的比例选择；
  • KWin 进行了多项修复，包括使用自定义几何体优化渲染、正确处理 X11 键盘修饰符以及防止与窗口堆叠和时间戳相关的崩溃；
  • Powerdevil 改进了亮度控制并修复了显示滑块的问题；
  • Spacebar 修复了 SMS 发送问题，以进一步完善 Plasma Mobile 环境中的通信功能。
• KDE Gear 24.08.2：
  • Dolphin 修复了与 URL 中的尾部斜杠和文件名中的 & 符号显示相关的问题；
  • Elisa 解决了阻止播放没有元数据的曲目的问题；
  • 视频编辑器 Kdenlive 修复了多个错误，包括标题制作者更新、崩溃修复以及特效和关键帧处理的改进；
  • Spectacle 对截图清晰度以及模糊和像素化工具等用户界面元素进行了改进。
• Qt 6.8.0：该版本对整个 Qt 框架进行了重要更新，提高了性能和稳定性，具体如下：
  • libQt6Core 和 libQt6Gui 等核心库进行了错误修复并提高了性能；
  • Qt Multimedia 改进了对系统 Eigen headers 的支持，并优化了 x86 兼容性；
  • Qt WebEngine 和 Qt WebView 增强了网页渲染功能，并包含防止 ARM 系统构建失败的补丁；
  • Qt Quick 3D 和 Qt ShaderTools 等图形模块提供了更好的 3D 渲染和着色器处理；
  • 总体而言，本次更新增强了用户界面、多媒体和网络组件的功能。
• NetworkManager 1.50.0：
  • 在此更新中，已弃用对 dhclient 的支持，除非明确启用，否则默认情况构建时不再默认内置；
  • 现在推荐使用内部 DHCP 客户端，它自 1.20 版以来一直是默认设置；
  • 现在，在对系统主机名执行反向 DNS 查找时，该软件包会考虑 /etc/hosts；
  • 通过 ndisc 增加了对单个网络上多个网关的支持；
  • 现已支持 Wi-Fi AP 模式的 channel-width 配置；
  • 其他增强功能包括改进了网桥端口上 VLAN 的处理，以及更好地处理格式错误的 LLDP 数据包以避免崩溃。
• cups 2.4.11：
  • 此更新解决了与 Internet 打印协议（IPP）响应验证、PostScript 打印机描述（PPD）值处理和 Web UI 增强有关的几个问题；
  • 值得注意的变化包括将 cupsd 的最大文件描述符限制更新为 64k-1，并修复了 lpoptions -d 命令中已发现但未添加打印机的问题；
  • 增强了对 Web UI 中复选框的支持，并改进了打印机状态通知和 IPP Everywhere 打印机设置；
  • 此外，还包含了与 IPP 验证和 PPD 字符串处理相关的若干提交，以解决本地化字符串处理等问题。

关键包更新

• systemd 256.7：
  • 该版本由 26 位开发者贡献，共有 83 次 commit；
  • 主要改进包括完善了对管理 nspawn 容器的支持、ld.so.cache 的处理以及查询响应系统中更好的日志机制；
  • 该版本还解决了 seccomp 同步问题，并改进了 ARP 协议 (sd-ipv4acd) 的错误处理。
• kernel-source 6.11.3：
  • 主要更新包括改进静态调用处理，特别是模块故障和静态密钥递减（static key decrements）；
  • 多个 SCSI 修复解决了空驱动器重置时的输入/输出错误和 PCI 队列映射覆盖等问题；
  • 在图形方面，优化了英特尔和 [AMDGPU] 驱动程序，包括电源管理和显示渲染修复；
  • 网络更新包括修复 [Realtek] PHY 驱动程序、VLAN 处理以及防止数据包长度初始化中可能出现的下溢（underflow）情况；
  • 更新还引入了各种内存泄漏修复、蓝牙改进以及 [netfilter] 和 IPv4/IPv6 处理增强。
• gpg2 2.5.1：
  • 像 --add-recipients 和 --change-recipients 这样的新命令在管理收件人方面提供了更大的灵活性，并为签名处理增加了 --proc-all-sigs 选项；
  • 改进包括修复密钥检索、PKCS#12 解析更新以及使用环回 pinentry 时 KEYTOCARD 命令的解决方案；
  • 该版本更新现在还利用 libgpg-error 中的进程生成 API 来提高系统兼容性。
• gtk4 4.16.3：
  • 此更新增强了通过在 XDG 目录中搜索来处理默认光标主题的方式，以确保更好地兼容 Wayland 环境；
  • 默认光标大小现在与 gsettings 模式相匹配，可提供更一致的用户体验；
  • 改进了 portal 设置的回退流程，因为在切换到无 portal 设置的回退时，settings_portal 会被清除；
  • 此版本还包括更新的翻译。
• php8 8.3.13：
  • 此次更新对该软件包的内核和扩展包进行了一些必要的修复；
  • 日历扩展解决了 jdtounix 等日期函数中的溢出问题；
  • CLI 更新则防止了 HTTP 头信息的重复；
  • 内核更新解决了分段故障、内存泄漏和断言错误，从而稳定了嵌套框架和哈希表；
  • 在 DOM 中，修复了空指针和内存泄漏问题，使 XML 处理更流畅；
  • LDAP 现在可以处理 ldap_modify_batch 中的内存泄漏问题；
  • SOAP 补丁解决了分段故障和内存泄漏问题。
• wicked 0.6.77：
  • 该版本增强了 IPv4/IPv6 节点生成和特定接口设置；
  • 改进了跨接口（包括环回接口）的 sysctl 继承，但排除了 use_tempaddr 和 accept_dad 等设置；
  • 路由更新解决了目标处理问题；
  • 手册页面的增强则澄清了配置细节；
  • 新选项包括 DHCP4 的 ignore-rfc3927-1-6 设置；
  • 兼容性改进解决了已废弃的 INTERFACETYPE=dummy 问题；
  • 更新修复了 ethtool 操作中的数据泄露问题。

错误修复和安全更新

本月解决了几个关键的安全漏洞：

• Firefox 131.0.3：
  • CVE-2024-9936 是一个漏洞，允许攻击者操纵选择节点缓存，可能导致崩溃；
  • CVE-2024-9392 可能允许在 131 版本以下的 Firefox 和 Thunderbird 中加载任意跨域页面。
• libnbd 1.20.3：
  • CVE-2024-7383 由于连接到 NBD 服务器时 TLS 证书验证不正确而允许中间人攻击。
• OpenSSL：
  • CVE-2024-9143 是一个漏洞，可能会导致内存访问越界，从而可能导致崩溃或远程代码执行，但可能性很小；
  • CVE-2023-50782 是一个漏洞，amy 允许远程攻击者解密使用 RSA 密钥交换的 TLS 服务器中捕获的消息，从而导致机密或敏感数据泄露。
• qemu 9.1.0：
  • [CVE-2024-8612] 可能会泄露未初始化的数据并导致潜在的信息泄露。
• virtualbox 7.1.4：
  • CVE-2024-21248 允许低权限攻击者破坏系统，从而可能导致未经授权的数据访问、修改或部分拒绝服务；
  • CVE-2024-21273 允许高权限攻击者未经授权访问所有数据，从而可能影响其他产品；
  • CVE-2024-21259 允许高权限攻击者潜在地接管系统，从而影响机密性、完整性和可用性；
  • CVE-2024-21263 允许低权限攻击者造成完全拒绝服务并获得对某些数据的未经授权的读取访问权限。
• libarchive 3.7.6：
  • CVE-2024-20696 和 CVE-2024-26256 是远程代码执行漏洞。
• webkit2gtk3 2.46.1：
  • Apple 用户会受益于 CVE-2024-40866 和 CVE-2024-44187 的修复。
• gnome-shell：
  • CVE-2024-36472 可能允许基于网络响应启动门户帮助程序，从而启用不受信任的 JavaScript 执行，从而可能导致资源消耗或其他影响。
• oath-toolkit 2.6.11.12：
  • CVE-2024-47191 可能允许通过不正确的用户文件访问来提升 root 权限，包括符号链接处理。
• unbound 1.21.1：
  • CVE-2024-8508 允许拒绝服务，这可能会导致名称压缩期间 CPU 使用率过高。

结论

Tumbleweed 在 2024 年 10 月为用户带来了重大更新，并为他们提供了安全且高性能的系统。更新 systemd、pgp、php、GTK4 等关键软件包可以使您的系统保持最新状态并获得最新快照。订阅 openSUSE Factory 邮件列表，随时了解最新快照。

订阅 openSUSE Factory 邮件列表，随时了解最新快照。对于那些想要贡献或想要参与详细技术讨论的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表。openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。

为 openSUSE Tumbleweed 做出贡献

您的贡献和反馈使 openSUSE Tumbleweed 每次更新都变得更好。无论是报告错误、建议功能还是参与社区讨论，您的参与都非常有价值。

---

原文：Tumbleweed Monthly Update - October 2024，作者：Douglas DeMaio