openSUSE Tumbleweed 每月更新 - 十一月

Tumbleweed 在本月继续向一台运转良好的机器飞快奔驰着。风滚草在十一月更新了 gtk4、php8、postgresql17 等关键软件包。除了这些关键更新外，风滚草还为 mozjs128、postgresql、Firefox 和 OpenSC 提供了重要的安全修复，解决了多个 CVE 问题，有助于增强系统的弹性。上个月推出的全新设计、焕然一新的徽标和日/夜主题壁纸继续增强了 Tumbleweed 的美感，而本月的更新则提高了功能性和安全性。

与往常一样，如果出现任何问题，请记住使用 snapper 进行回滚。

祝您在风滚草上玩得愉快！🦎

有关当月更改日志的更多详细信息，请访问 openSUSE Factory 邮件列表。

新功能和增强功能

• GTK4 4.16.6 和 4.16.7：
  • 最新版本减小了文本渲染中错误下划线的大小，使视觉更清晰；
  • 4.16.6 版本提供了一些修复，让用户体验更流畅；
  • Wayland 颜色管理现在是可选的，有助于避免与 KWin 的兼容性问题。用户可以通过设置 GDK_DEBUG=color-mgmt 来尝试此功能；
  • 改进包括防止在 GtkText 中插入时选择表情符号、根据 GtkApplication 中的应用程序 ID 设置默认窗口图标，以及增强 GtkFontChooser 使其对话框更具适应性；
  • 该版本还包括更新的翻译。
• postgresql 17.2：
  • 该软件包本月收到了两个更新，解决了影响与 ResultRelInfo 交互的扩展的 ABI 中断，并恢复了 ALTER {ROLE|DATABASE} SET 角色的功能。逻辑复制槽现在可以正确处理 restart_lsn 以避免向后移动；
  • 新版本现在防止了在 pg_rewind 过程中删除所需的 WAL 文件，并修复了共享统计条目的竞争条件；
  • 现在能正确计算 contrib/bloom 中的索引统计数据；
  • 该更新修复了由于 NFA 子图断开连接导致的正则表达式解析中的断言失败。
• gnutls 3.8.8：
  • 该软件包改进了后量子加密和在线证书状态协议处理；
  • 在 TLS 1.3 中添加了对 X25519MLKEM768 和 SecP256r1MLKEM768 密钥交换算法的实验支持，以与最终的 ML-KEM 标准保持一致；
  • 此更新需要 liboqs 0.11.0 或更新版本；
  • 此外，该库现在还能验证 OCSP 响应中的所有记录，确保服务器证书与所有可用记录进行核对，而不是只核对第一条记录；
  • 改进了对格式错误的 compress_certificate 扩展的处理，使其更严格地符合 RFC 8879 合规性，用 illegal_parameter 代替了不正确的警报，并拒绝超长的扩展数据。
• KDE Plasma 6.2.3：
  • Bluedevil 改进了 PIN 输入行为；
  • Breeze 则解决了一个潜在的空指针问题；
  • Discover 更新了后端以兼容 fwupd 2.0.0，并修正了应用页面中的审查可见性；
  • KWin 获得了大量更新，包括对崩溃、色谱图泄漏、文件描述符处理和 HDR 亮度管理等问题的修复；
  • Plasma Desktop 修复了应用程序工具提示、任务管理器图标对齐、表情符号搜索等问题，并优化了活动管理；
  • KPipeWire、KSystemStats 和 Powerdevil 等其他组件分别改进了数据流处理、传感器稳健性和亮度调整；
  • Plasma Mobile 简化并清理了操作抽屉，增强了应用列表导航和搜索功能；
  • Plasma Audio Volume Control 可确保设备名称更新的准确性；
  • Plasma Workspace 则调整了注销屏幕行为、主题默认值和移动用户界面修复。
• KDE Gear 24.08.3：
  • Elisa 修复了某些平台上图标缺失的问题；
  • K3b 更正了翻录文件的文件模式分析，并删除了已弃用的 MusicBrainz 代码；
  • KAccounts-Integration 改进了日志记录，修复了悬空引用，并优雅地处理了丢失的文件；
  • Kate 解决了会话组保存、SQL 导出顺序等问题，并通过更新依赖关系在 openSUSE 上进行了构建；
  • Kdenlive 解决了多次崩溃问题，并改进了项目处理、代理生成和时间线管理；
  • KIO-Extras 增加了 WebP 缩略图支持；
  • Kitinerary 扩展了对多种运输服务的票据提取支持，并改进了对 Renfe 和 Agoda 格式的处理；
  • Konsole 修复了 OSC 颜色命令的问题。
• KDE Frameworks 6.8.0：
  • Baloo 现在可将 model/obj 和 text/rust 排除在索引之外；
  • Breeze Icons 增加了对 text/x-typst mimetype 图标的支持，并统一了索引主题以提高一致性；
  • 额外的 CMake 模块获得了 Python 绑定，并改进了对 Qt6 的静态支持；
  • KIO 改进了 http 处理、KFilePlacesView 中的大小调整以及整体用户体验；
  • Kirigami 解决了图标、主题和叠加的各种问题，提高了可用性；
  • KTextEditor 增强了会话还原和模板处理功能，并引入了全面的交换文件测试；
  • Solid 恢复了音频 CD 的媒体更改处理，并采用了 Linux 上的 libmount 以获得更好的功能；
  • 该版本还包括大量错误修复、静态构建的 CI 改进、Qt6 兼容性增强以及翻译更新。
• gnome-control-center 47.2：
  • 通过移除过多的 “屏幕” 标签，GNOME 用户的可访问性得到了改善；
  • 外观设置修复了意外重置重点颜色的问题；
  • 在应用程序部分解决了 Lemory 泄漏问题；
  • 色彩部分则确保在使用前连接了配置文件；
  • 打印机 “修复了 ”添加打印机” 按钮中不正确的工具提示；
  • 更新了翻译。
• ruby 3.3.6：
  • 此更新包括合并 JSON 2.7.2 和 reline 0.5.10，以及升级至 REXML 3.3.9；
  • 该版本解决了一些重大错误，如使用 Data_Make_Struct 时对象释放不当、Fiber 调度下 IO#close 功能损坏以及 Windows 下多字节路径名错误等；
  • 其他修复还涉及 Float 处理 ASCII 不兼容字符串的问题、IO::Buffer 操作中的内存管理问题，以及不同 Ruby 版本中 instance_method 行为的差异；
  • 该版本还修正了使用特定标志时损坏的 RUBY_DESCRIPTION 元数据，并改进了 Process.warmup 之后的哈希键检索。

关键包更新

• Mesa 24.3.0：
  • 该软件包引入了一个新的稳定版本，其中的更新增强了其图形功能并解决了安全性和构建问题；
  • 该版本更新了各种漏洞的补丁，包括 CVE-2023-45913 、 CVE-2023-45919 和 CVE-2023-45922 ，同时合并了针对 Python 3.6 构建兼容性和其他调整的修复；
  • 删除了已弃用的选项（例如 -Ddri3=enabled 和 -Ddri-search-path 以简化构建配置；
  • Vulkan 1.3 现在通过 v3dv 在 Raspberry Pi 4 和 5 上得到支持；
  • NVK 驱动程序增加了对 VK_EXT_descriptor_buffer、VK_KHR_dynamic_rendering_local_read 和 VK_KHR_pipeline_binary 等重要扩展的支持；
  • RADV 添加了新功能，显着增强着色器支持；
  • 完整的详细信息可以在发行说明中获取。
• kernel-source 6.11.8：
  • Linux 内核的关键更新解决了虚拟套接字和 hyper-v 套接字初始化中的悬挂指针等问题；
  • 改进了对某些笔记本电脑上 AMD 音频的支持；
  • 修复了英特尔和 AMD 显卡驱动程序中的显示渲染和超时处理；
  • 更新解决了多个内存管理、文件系统和 USB 相关的 bug，包括 USB Type-C 和串行设备处理；
  • 对 Thunderbolt 连接、媒体设备解析以及 AMD 处理器的系统时钟管理和 platformance 功能进行了修复；
  • 对 Btrfs 文件系统的更新增强了子卷标记管理和配额处理。
• GStreamer 1.24.9：
  • 修复的问题包括更好地处理 flvmux 中的时间戳、RTPManager 关键帧管理以及增强的 SRT 和 V4L2 支持；
  • 更新优化了 aggregator、playbin3 和 qtdemux，提供了更广泛的格式和库兼容性。
• gpgme 1.24.0：
  • 该软件包带来了一些重要的增强和修复，包括现在支持直接文件输出的扩展解密和验证命令，加密和签名命令还允许从文件中读取输入数据；
  • 其他功能还包括改进了对指定撤销密钥的处理，为导入选项和处理所有签名等高级操作添加了新的上下文标志，并引入了一种更简便的方法来更改所有者信任以及启用或禁用密钥；
  • Qt 库现在支持 Qt5 和 Qt6 的同步构建，支持基于文件的加密和签名操作，同时为导入选项和附加分离签名提供更好的集成。
• gtk4 4.16.3：
  • 此更新增强了通过在 XDG 目录中搜索来处理默认光标主题的方式，以确保更好地兼容 Wayland 环境；
  • 默认光标大小现在与 gsettings 模式相匹配，可提供更一致的用户体验。改进了 portal 设置的回退流程，因为在切换到无 portal 设置的回退时，settings_portal 会被清除；
  • 此版本还更新了翻译。
• php8 8.3.14：
  • 修复了 DOM、GD 和 FFI 中的分段故障，Reflection 和 OpenSSL 中的内存泄漏，以及 SPL 和套接字中的使用后即释放漏洞；
  • 更新还解决了多个模块的溢出问题，如 mbstring、streams 和 GMP，从而更稳定、更安全地处理边缘情况；
  • 显着的安全改进包括 LDAP 中的越界写入补丁 CVE-2024-8932、MySQLnd 中的堆缓冲区过度读取 CVE-2024-8929 以及流中的 CRLF 注入漏洞 CVE-2024-11234。
• ibus 1.5.31：
  • 该版本包含对通用设置和 Wayland 环境的增强型 CI 支持，以及基于最新 Xorg 和 GTK 标准的编译密钥更新；
  • 该版本过渡到在 Wayland 中使用 localectl 进行 XKB 配置检索，从而增强了集成性；
  • 安全方面的改进包括更改 IBus 唯一名称，同时更新 XKB 引擎和 Unicode 类别，以确保更广泛的兼容性；
  • 该版本解决了各种问题，包括 X11 应用程序和游戏、表情符号处理、Flatpak 集成以及特定输入法（如 m17n:sa:itrans）中的预编辑行为。

错误修复和安全更新

本月解决了几个关键的安全漏洞：

• Firefox 132：
  • CVE-2024-10458：通过嵌入或对象元素造成权限泄漏。
  • CVE-2024-10459：具有可访问性的布局中的释放后使用，可能导致可利用的崩溃。
  • CVE-2024-10460：外部协议处理程序提示的来源显示令人困惑。
  • CVE-2024-10461：由于在 multipart/x-mixed-replace 响应中忽略 Content-Disposition，导致 XSS。
  • CVE-2024-10462：权限提示的来源可能会被长 URL 欺骗。
  • CVE-2024-10463：某些情况下跨源视频帧泄漏。
  • CVE-2024-10468：IndexedDB 中的竞争条件可能会导致内存损坏和潜在可利用的崩溃。
  • CVE-2024-10464：历史记录接口可能会导致拒绝服务情况。
  • CVE-2024-10465：剪贴板“粘贴”按钮在选项卡中持续存在，从而允许潜在的欺骗攻击。
  • CVE-2024-10466：DOM 推送订阅消息可能会挂起 Firefox，导致其无响应。
  • CVE-2024-10467：修复了内存安全错误，可能会被利用来运行任意代码。
• php8 8.3.14：
  • CVE-2024-8932：LDAP 扩展的 ldap_escape 函数中出现越界访问。
  • CVE-2024-8929：MySQLnd 中的堆缓冲区过度读取可能会泄漏部分堆内容。
  • CVE-2024-11233：Streams 组件中存在允许通过代理配置进行潜在 CRLF 注入的问题。
  • CVE-2024-11234：Streams 组件中存在与 CRLF 注入相关的漏洞。
  • CVE-2024-11236：PDO DBLIB 和 PDO Firebird 引用程序中的整数溢出，导致越界写入。\
• opensc 0.26.0：
  • CVE-2024-45615：libopensc 和 pkcs15init 中未初始化的值可能会导致未定义的行为。
  • CVE-2024-45616：libopensc 中 APDU 响应值的错误检查或使用可能会导致值未初始化。
  • CVE-2024-45617：libopensc 中缺少或不正确的返回值检查可能会导致未初始化的值。
  • CVE-2024-45618：由于返回值处理不当 pkcs15init 中出现类似问题。
  • CVE-2024-45619：libopensc 中缓冲区或文件长度处理不当。
  • CVE-2024-45620： pkcs15init 中类似的缓冲区或文件长度处理问题。
  • CVE-2024-8443：密钥生成期间 OpenPGP 驱动程序中的堆缓冲区溢出。
• libsoup：
  • CVE-2024-52531：缓冲区溢出 soup_header_parse_param_list_strict 在使用 3.6.1 之前的 libsoup 版本的应用程序中进行 UTF-8 转换期间可能会发生这种情况。通过网络接收的输入无法触发此问题。
  • CVE-2024-52532：在 3.6.1 之前的 libsoup 版本中从客户端读取某些模式的 WebSocket 数据时，可能会出现无限循环和过多的内存消耗。
• mozjs128 128.4.0：
  • CVE-2024-10458：通过 embed 或 object 元素造成权限泄漏。
  • CVE-2024-10459：具有可访问性的布局中的释放后使用。
  • CVE-2024-10460：外部协议处理程序提示的来源显示令人困惑。
  • CVE-2024-10461：由于在 multipart/x-mixed-replace 响应中忽略 Content-Disposition，导致 XSS。
  • CVE-2024-10462：权限提示的来源可能会被长 URL 欺骗。
  • CVE-2024-10463：跨源视频帧泄漏。
  • CVE-2024-10464：历史记录接口可能会导致拒绝服务情况。
  • CVE-2024-10465：剪贴板“粘贴”按钮在选项卡中持续存在。
  • CVE-2024-10466：DOM 推送订阅消息可能会挂起 Firefox。
  • CVE-2024-10467：Firefox 132、Thunderbird 132、Firefox ESR 128.4 和 Thunderbird 128.4 中修复了内存安全错误
• postgresql17 17.1：
  • CVE-2024-10976：对具有行级安全性的表进行不完整的跟踪可能会允许重复使用的查询访问意外的行。
  • CVE-2024-10977：SSL 或 GS​​S 协议协商期间的错误消息可能会被中间人欺骗。
  • CVE-2024-10978：不正确的权限分配可能允许权限较低的用户查看或修改意外的行。
  • CVE-2024-10979：在 PL/Perl 中，非特权数据库用户可以更改敏感的进程环境变量，从而可能导致任意代码执行。
• [libssh2_org] 1.11.1：
  • CVE-2023-48795：该漏洞可能导致握手和序列号处理不当，从而允许攻击者绕过完整性检查并降级某些 OpenSSH 扩展中的安全功能。
• Xen 4.19.0_06：
  • CVE-2024-45818：修复了 x86 HVM 标准 VGA 处理中的死锁。
  • CVE-2024-45819：仅运行 PVH 虚拟机的 x86 系统受到影响； HVM 和 PV 虚拟机不易受到攻击。libxl 工具堆栈可能会通过 ACPI 表将数据泄漏给 PVH 虚拟机。
• python-tornado6 6.4.2：
  • CVE-2024-52804：6.4.2 之前的 Tornado 版本中用于解析 HTTP cookie 的算法有时具有二次复杂度，导致解析恶意制作的 cookie 标头时 CPU 消耗过多。此解析发生在事件循环线程中，可能会阻塞其他请求的处理。 6.4.2版本修复了该问题

结论

2024 年 11 月对于 Tumbleweed 来说又是一个辉煌的月份，因为它展示了其致力于提供具有一系列令人印象深刻的更新的最新软件的承诺。 Mesa、GTK4、KDE ​​Plasma、PostgreSQL 等的显着更新为滚动发布用户提供了最新的开源技术，以实现安全、强大的系统。

订阅 openSUSE Factory 邮件列表，随时了解最新快照。对于那些想要贡献或想要参与详细技术讨论的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表。openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。

Slowroll 更新

请注意，这些更新也适用于 Slowroll，并且在 Tumbleweed 快照中发布后平均 5 到 10 天到达。这种按月更新的方式已经持续了好几个月，确保了用户的稳定性和及时的增强。

为 openSUSE Tumbleweed 做出贡献

您的贡献和反馈使 openSUSE Tumbleweed 每次更新都变得更好。无论是报告错误、建议功能还是参与社区讨论，您的参与都非常有价值。

---

原文：Tumbleweed Monthly Update - November 2024，作者：Douglas DeMaio