openSUSE Tumbleweed 每月更新 - 4 月

欢迎阅读 2024 年 4 月 openSUSE Tumbleweed 的每月更新。本月始于解决上个月针对滚动发布的 xz 压缩库的供应链攻击。关于该 XZ 后门、如何解决以及学到的教训的解释可以在 news.opensuse.org 上找到。

随着繁忙的会议季开始，本月 openSUSE 的滚动发布版收到了大量的更新、增强和关键的安全修复。如果读者希望获得关于快照更新的更频繁信息，鼓励读者订阅 openSUSE Factory 邮件列表。

新功能和增强功能

• Linux 内核：4 月份进行了一些内核更新。6.8.5 版本的显著变化包括缓解分支历史注入 (BHI) 漏洞、改进 Spectre 缓解措施、更新 Intel 图形驱动程序、修复 SMB 客户端漏洞以及修复 RISC-V 架构的漏洞。6.8.7 版本包括对 AMD 显示驱动程序、Intel i915 驱动程序、x86 投机执行漏洞、arm 64 设备树文件、DRM 驱动程序、文件系统处理等的更新和修复。
• KDE Frameworks 6.1.0：numpy 包引入了对结构化数组和灵活索引的增强支持，而 pandas 包含了改进的缺失数据处理和新的数据操作方法。此外，matplotlib 包提供了增强的绘图美学定制选项。新算法用于 scikit-learn 中的机器学习任务也包含在更新中。
• KDE Gear 24.02.2：KDE Gear 24.02.2 更新包含广泛的修复和增强，包括解决 Akonadi 中标签添加功能的故障、解决 Akregator 中翻译后的快捷键和图标外观问题、ark 中的各种改进和修复，例如禁用 RAR4 压缩方法、Elisa 中的多个修复，包括音量滑块和曲目播放问题，以及 Konsole 中的大量增强。在 Korganizer 中修复了日历选择和待办事项视图更新的问题。
• PHP8 8.3.6：该更新包含大量的错误修复、安全补丁和对不同组件的改进。除了 Core、DOM、GD、Opcache 和 Session 中的修复之外，其他修复还包括
  • FPM：已应用修复程序以解决守护模式下配置测试运行两次以及 fpm_shm_free() 中不正确的检查的问题。
  • Gettext：已进行修复以解决特定配置下 dcgettext 和 dcngettext 调用的问题。
  • MySQLnd：已应用各种修复程序，包括更正握手响应和字符集长度检查。
  • Random：为了与 PHP 8.2 之前的版本兼容，引入了兼容性改进，并解决了全局 Mt19937 重置的问题。
  • Standard：已为 mail() 函数中的特定字符添加验证，并实施了各种错误修复，包括解决命令注入和 cookie 绕过漏洞。（请参阅 CVE-2024-1874、CVE-2024-2756 以及修复 mb_encode_mimeheader 和 password_verify 的问题，请参阅 CVE-2024-3096 和 CVE-2024-2757。）
• Mozilla Firefox 125.0.2。该浏览器带来了新功能，例如
  • 对加密媒体扩展 (EME) 中 AV1 编解码器的支持，以提高视频播放质量。
  • 增强的 PDF 查看器功能，具有文本高亮显示功能。
  • 引入 URL 粘贴建议功能，通过允许快速导航到剪贴板中复制的 URL 来提高可用性。
  • 多个关键的安全修复，解决了诸如越界读取和使用后释放错误之类的漏洞，从而增强了浏览器的安全性。
• dracut：改进包括添加 tpm2.target 和 systemd-tpm2-generator 以及几个内存泄漏修复。
• ffmpeg：4 和 6 版本处理了一些视频处理问题，并修复了具有改进的 EOF 处理的内存泄漏问题。更新解决了
  • CVE-2023-51793 和 CVE-2023-49502。
  • CVE-2023-50008 和 CVE-2023-50007
• sqlite3：从版本 3.45.2 更新到 3.45.3 解决了影响某些 UPSERT 操作中触发器响应准确性的长期错误，以确保更可靠的数据库操作。
• Flatpak：1.15.8 更新包含一些安全修复，以防止沙盒逃逸以及各种其他可用性改进。
• Python3.11：3.11.9 版本包含各种安全补丁和错误修复，例如解决 CVE-2023-52425、更新捆绑的 libexpat 到版本 2.6.0、修复 collections.deque.index() 中的潜在崩溃以及改进 SSLContext 行为。
• Cppcheck：2.14.0 版本中的新检查包括
  • eraseIteratorOutOfBounds：警告调用 erase() 的迭代器超出范围，从而增强代码的健壮性。
  • returnByReference：警告从 getter 函数返回值时大型类成员，这可能会影响性能和内存使用情况。

其他软件包更新

• SDL2：版本 2.30.2 引入了对各种新控制器（包括 6 按钮 SEGA Mega Drive 控制板和 Hori Fighting Stick EX2）的支持。
• Cryptsetup：版本 2.7.2 解决了几个问题，包括修复了 OPAL 设备格式化和激活的问题。
• SpamAssassin：一个拥有很棒名字的软件包，版本 4.0.1 增强了 URL 缩短器链接重定向处理和改进的 TxRep 锁定管理，从而提高了用户的电子邮件安全性。

错误修复

• Xwayland：CVE-2024-31083 此关键安全漏洞缓解了 Xorg 服务器由于 ProcRenderAddGlyphs() 中的使用后释放错误而易受攻击，允许经过身份验证的攻击者执行任意代码。
• [PHP8]((https://php.ac.cn/):CVE-2023-51793、CVE-2023-49502、CVE-2023-50008 和 CVE-2023-50007
• glibc：CVE-2024-2961 允许在转换为 ISO-2022-CN-EXT 时发生缓冲区溢出，导致崩溃或变量覆盖。libxml2：CVE-2024-25062 是通过精心制作的 XML 文档导致使用后释放的漏洞。
• Python3.11：CVE-2023-52425、CVE-2023-6597
• QEMU：进行了回溯和错误修复，以解决恶意客户机可能导致 QEMU 崩溃并导致拒绝服务条件的问题，CVE-2024-3567。还回溯了 CVE-2024-3446，该漏洞可能会影响任意代码执行，以及 CVE-2024-3447。
• Freerdp2：版本 2.11.5 提供了修复程序，以解决 CVE-2023-40574，该漏洞由于不正确的变量计算，导致 writePixelBGRX 函数中的越界写入，以及 CVE-2023-40575，该漏洞会导致崩溃。

结论

2024 年 4 月份包含功能增强和关键安全修复。从 SDL2 提供的改进游戏支持到 Cryptsetup 增强的加密实践，用户受益于旨在增强功能、稳定性和安全性的众多更新。本月 Tumbleweed 中更新的其他软件包包括 Mesa、GTK4、transactional-update 等。

对于希望做出贡献的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表。openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。

为 openSUSE Tumbleweed 做出贡献

您的贡献和反馈使每次更新的 openSUSE Tumbleweed 变得更好。无论您是报告错误、建议功能还是参与社区讨论，您的参与都备受重视。

_{^{(图片使用 DALL-E 制作)}}