Tumbleweed 每月更新 - 2024 年 11 月

本月，滚动发布的版本继续保持着高效运转的良好状态。11 月带来了 Mesa、gtk4、php8、postgresql17 等关键更新。除了这些关键更新外，mozjs128、postgresql、Firefox 和 OpenSC 还收到了重要的安全修复，解决了多个 CVE，以帮助增强系统的安全性。上个月推出的新设计，包括重新设计的徽标和日/夜主题壁纸，继续提升 Tumbleweed 的美观性，而本月的更新则改进了功能和安全性。

与往常一样，请记住，如果出现任何问题，请使用 snapper 回滚。

祝您更新愉快，一路顺风！

有关本月更改日志的更多详细信息，请访问 openSUSE Factory 邮件列表。

新功能和增强功能

• GTK4 4.16.6 和 4.16.7：最新版本减少了文本渲染中错误下划线的尺寸，以提高视觉清晰度。4.16.6 版本提供了修复，以提供更流畅的用户体验。Wayland 颜色管理现在是可选的，有助于防止与 KWin 的兼容性问题。用户可以通过设置 GDK_DEBUG=color-mgmt 来试验此功能。改进包括防止在 GtkText 中插入时选择表情符号，在 GtkApplication 中从应用程序 ID 设置默认窗口图标，以及增强 GtkFontChooser 以使其对话框更具适应性。该版本还包括更新的翻译。
• postgresql 17.2：本月该软件包收到了两次更新，解决了影响与 ResultRelInfo 交互的扩展的 ABI 中断，并恢复了 ALTER {ROLE|DATABASE} SET 角色的功能。逻辑复制槽现在正确处理 restart_lsn，以避免向后移动。该更新防止在 pg_rewind 期间删除所需的 WAL 文件，并修复了共享统计条目中的竞争条件。 contrib/bloom 中的索引统计信息现在被正确计数。该更新修复了正则表达式解析中的断言失败，该断言失败是由断开的 NFA 子图引起的。
• gnutls 3.8.8：此软件包的改进在于后量子密码学和在线证书状态协议处理。添加了与 ML-KEM 标准 对齐的 TLS 1.3 中 X25519MLKEM768 和 SecP256r1MLKEM768 密钥交换算法的实验性支持。此更新需要 liboqs 0.11.0 或更高版本。此外，该库现在验证 OCSP 响应中的所有记录，确保服务器证书针对所有可用记录进行检查，而不仅仅是第一个记录。改进了对格式错误的 compress_certificate 扩展的处理，从而带来了更严格的 RFC 8879 合规性，用 illegal_parameter 替换不正确的警报，并拒绝过长的扩展数据。
• KDE Plasma 6.2.3:
  Bluedevil 改进了 PIN 条目行为，而 Breeze 解决了潜在的空指针问题。Discover 更新了其后端，以与 fwupd 2.0.0 兼容，并纠正了应用程序页面中评论的可见性。KWin 接收了大量的更新，包括修复了崩溃、颜色表泄漏、文件描述符处理和 Intel 和 AMD 图形驱动程序中的 HDR 亮度管理问题。Plasma Desktop 修复了应用程序工具提示、任务管理器图标对齐、表情符号搜索，并优化了活动管理。其他组件，如 KPipeWire、KSystemStats 和 Powerdevil，分别改进了流处理、传感器稳健性和亮度调整。Plasma Mobile 简化并清理了操作抽屉，并增强了应用程序列表导航和搜索功能。Plasma Audio Volume Control 确保准确的设备名称更新，而 Plasma Workspace 调整了注销屏幕行为、主题默认值和移动用户界面修复。
• KDE Gear 24.08.3：Elisa 修复了某些平台上的缺失图标。K3b 纠正了撕裂文件的文件模式解析，并删除了过时的 MusicBrainz 代码。KAccounts-Integration 改进了日志记录，修复了悬空引用，并优雅地处理了缺失的文件。Kate 解决了会话组保存、SQL 导出以及使用更新的依赖项在 openSUSE 上构建的问题。Kdenlive 解决了多个崩溃问题，并改进了项目处理、代理生成和时间线管理。KIO-Extras 添加了 WebP 缩略图支持。Kitinerary 扩展了对多个运输服务的机票提取支持，并改进了对 Renfe 和 Agoda 格式的处理。Konsole 修复了 OSC 颜色命令的问题。
• KDE Frameworks 6.8.0：Baloo 现在从索引中排除 model/obj 和 text/rust。Breeze Icons 添加了对 text/x-typst mimetype 图标的支持，并统一了索引主题，以提高一致性。Extra CMake Modules 获得了 Python 绑定和改进的静态 Qt6 支持。KIO 改进了 http 处理、KFilePlacesView 中的调整大小以及整体 UX 增强。Kirigami 解决了与图标、主题和叠加层相关的各种问题，从而提高了可用性。KTextEditor 增强了会话恢复、模板处理，并引入了全面的交换文件测试。Solid 恢复了音频 CD 的媒体更改处理，并在 Linux 上采用 libmount 以获得更好的功能。此版本还包括大量的错误修复、静态构建的 CI 改进、增强的 Qt 6 兼容性以及更新的翻译。
• gnome-control-center 47.2：GNOME 用户通过删除过多的“屏幕”标签来提高可访问性。外观设置修复了口音颜色的意外重置。内存泄漏 在应用程序部分得到解决，而颜色则确保在连接配置文件之前使用。打印机 修复了“添加打印机”按钮中的不正确的工具提示。包括更新的翻译。
• ruby3.3 3.3.6：此更新包括合并 JSON 2.7.2 和 reline 0.5.10，以及升级到 REXML 3.3.9。该版本解决了重大错误，例如在使用 Data_Make_Struct 时不正确的对象释放、Fiber 调度下中断的 IO#close 功能以及 Windows 上多字节路径名错误。其他修复解决了 Float 处理 ASCII 不兼容字符串、IO::Buffer 操作中的内存管理以及 Ruby 版本之间 instance_method 行为差异的问题。此版本还纠正了在使用特定标志时损坏的 RUBY_DESCRIPTION 元数据，并改进了 Process.warmup 后的哈希键检索。

关键软件包更新

• Mesa 24.3.0：该软件包引入了一个新的稳定版本，其中包含增强图形功能的更新，并解决了安全性和构建问题。该更新刷新了各种漏洞的补丁，包括 CVE-2023-45913、CVE-2023-45919 和 CVE-2023-45922，同时合并了对 Python 3.6 构建兼容性的修复和其他调整。已删除过时的选项，如 -Ddri3=enabled 和 -Ddri-search-path，以简化构建配置。通过 v3dv，Raspberry Pi 4 和 5 现在支持 Vulkan 1.3，而 NVK 驱动程序添加了对 VK_EXT_descriptor_buffer、VK_KHR_dynamic_rendering_local_read 和 VK_KHR_pipeline_binary 等重要扩展的支持。RADV 具有新功能，着色器支持得到显着增强。可以在 发行说明 中访问完整详细信息。
• kernel-source 6.11.8：Linux Kernel 的关键更新解决了虚拟套接字和 hyper-v 套接字初始化中的悬空指针、改进了对某些笔记本电脑上 AMD 音频的支持，以及修复了 Intel 和 AMD 图形驱动程序中的显示渲染和超时处理问题。该更新解决了多个内存管理、文件系统和 USB 相关错误，包括 USB Type-C 和串行设备处理。对 Thunderbolt 连接、媒体设备解析以及 AMD 处理器的系统时钟和平台功能管理进行了修复。对 Btrfs 文件系统的更新增强了子卷标志管理和配额处理。
• GStreamer 1.24.9：修复包括改进了 flvmux 中的时间戳处理、RTPManager 关键帧管理以及增强了对 SRT 和 V4L2 的支持。更新优化了 aggregator、playbin3 和 qtdemux，具有更广泛的格式和库兼容性。
• gpgme 1.24.0：此软件包带来了一些重要的增强和修复，包括扩展的解密和验证命令，现在支持直接文件输出。加密和签名命令也允许从文件读取输入数据。其他功能包括改进的指定撤销密钥处理、用于高级操作（如导入选项和处理所有签名）的新上下文标志，以及更改所有者信任和启用或禁用密钥的更简单方法。Qt 库现在支持同时为 Qt 5 和 Qt 6 构建，从而实现基于文件的加密和签名操作，同时提供更好的导入选项和附加分离签名集成。
• gtk4 4.16.3：此更新增强了默认光标主题的处理方式，通过在 XDG 目录中搜索来确保与 Wayland 环境的更好兼容性。默认光标大小现在与 gsettings 模式匹配，并提供更一致的用户体验。在切换到没有门户设置的备用方案时，门户设置的后备过程得到了改进。此版本还包括更新的翻译。
• php8 8.3.14：修复包括解决 DOM、GD 和 FFI 中的段错误、内存泄漏 在 Reflection 和 OpenSSL 中，以及 SPL 和套接字中的使用后释放漏洞。此更新还解决了多个模块中的溢出，例如 mbstring、streams 和 GMP，以更稳定和安全地处理边缘情况。值得注意的安全改进包括针对 LDAP CVE-2024-8932 中越界写入的补丁、MySQLnd CVE-2024-8929 中堆缓冲区读取的补丁以及 streams CVE-2024-11234 中的 CRLF 注入漏洞。
• ibus 1.5.31：这包括对通用设置和 Wayland 环境的增强 CI 支持，以及基于最新的 Xorg 和 GTK 标准更新的组合键。该版本过渡到在 Wayland 中使用 localectl 来检索 XKB 配置，从而增强集成。安全改进包括更改 IBus 唯一名称，同时更新 XKB 引擎和 Unicode 类别以确保更广泛的兼容性。此版本解决了各种问题，包括与 X11 应用程序和游戏、Emoji 处理、Flatpak 集成以及特定输入法（如 m17n:sa:itrans）中的预编辑行为相关的问题。

错误修复和安全更新

本月解决了几个关键的安全漏洞

• Firefox 132:
• CVE-2024-10458：通过 embed 或 object 元素泄露权限。
  • CVE-2024-10459：具有可访问性的布局中的使用后释放，可能导致可利用的崩溃。
  • CVE-2024-10460：外部协议处理程序提示的来源显示混乱。
  • CVE-2024-10461：由于在 multipart/x-mixed-replace 响应中忽略了 Content-Disposition，导致 XSS。
  • CVE-2024-10462：权限提示的来源可能被长 URL 欺骗。
  • CVE-2024-10463：在某些情况下，跨源视频帧泄露。
  • CVE-2024-10468：IndexedDB 中的竞争条件可能导致内存损坏和潜在的可利用崩溃。
  • CVE-2024-10464：历史记录界面可能导致拒绝服务条件。
  • CVE-2024-10465：剪贴板“粘贴”按钮在选项卡之间保留，允许潜在的欺骗攻击。
  • CVE-2024-10466：DOM 推送订阅消息可能导致 Firefox 挂起，使其无响应。
  • CVE-2024-10467：修复了内存安全漏洞，可能可用于运行任意代码。
• php8 8.3.14:
  • CVE-2024-8932：LDAP 扩展的 ldap_escape 函数中的越界访问。
  • CVE-2024-8929：MySQLnd 中的堆缓冲区读取，可能泄露部分堆内容。
  • CVE-2024-11233：Streams 组件中的一个问题，允许通过代理配置进行潜在的 CRLF 注入。
  • CVE-2024-11234：Streams 组件中与 CRLF 注入相关的漏洞。
  • CVE-2024-11236：PDO DBLIB 和 PDO Firebird 引用符中的整数溢出，导致越界写入。
• opensc 0.26.0:
  • CVE-2024-45615：libopensc 和 pkcs15init 中的未初始化值可能导致未定义行为。
  • CVE-2024-45616：libopensc 中 APDU 响应值的检查或使用不正确，可能导致未初始化值。
  • CVE-2024-45617：libopensc 中缺少或不正确的返回值检查可能导致未初始化值。
  • CVE-2024-45618：由于不正确的返回值处理，pkcs15init 中存在类似的问题。
  • CVE-2024-45619：libopensc 中缓冲区或文件长度的处理不当。
  • CVE-2024-45620：pkcs15init 中类似的缓冲区或文件长度处理问题。
  • CVE-2024-8443：OpenPGP 驱动程序在密钥生成期间的堆缓冲区溢出。
• libsoup:
  • CVE-2024-52531：在 libsoup 版本 3.6.1 之前的版本中，解析 HTTP cookie 的算法有时具有二次复杂度，导致在解析恶意构造的 cookie 标头时消耗过多的 CPU。此解析发生在事件循环线程中，可能会阻止其他请求的处理。版本 6.4.2 修复了此问题
  • CVE-2024-52532：在 libsoup 版本 3.6.1 之前，读取来自客户端的某些模式的 WebSocket 数据时，可能会出现无限循环和过多的内存消耗。
• mozjs128 128.4.0:
  • CVE-2024-10458：通过 embed 或 object 元素泄露权限。
  • CVE-2024-10459：具有可访问性的布局中的使用后释放。
  • CVE-2024-10460：外部协议处理程序提示的来源显示混乱。
  • CVE-2024-10461：由于在 multipart/x-mixed-replace 响应中忽略了 Content-Disposition，导致 XSS。
  • CVE-2024-10462：权限提示的来源可能被长 URL 欺骗。
  • CVE-2024-10463：跨源视频帧泄露。
  • CVE-2024-10464：历史记录界面可能导致拒绝服务条件。
  • CVE-2024-10465：剪贴板“粘贴”按钮在选项卡之间保留。
  • CVE-2024-10466：DOM 推送订阅消息可能导致 Firefox 挂起。
  • CVE-2024-10467：Firefox 132、Thunderbird 132、Firefox ESR 128.4 和 Thunderbird 128.4 中修复了内存安全漏洞
• postgresql17 17.1:
  • CVE-2024-10976：对具有行级安全性的表的不完全跟踪可能允许重用的查询访问意想不到的行。
  • CVE-2024-10977：SSL 或 GSS 协议协商期间的错误消息可能被中间人欺骗。
  • CVE-2024-10978：不正确的权限分配可能允许权限较低的用户查看或修改意想不到的行。
  • CVE-2024-10979：在 PL/Perl 中，非特权数据库用户可以更改敏感的进程环境变量，可能导致任意代码执行。
• libssh2_org 1.11.1:
  • CVE-2023-48795：可能导致握手和序列号处理不当，允许攻击者绕过完整性检查并在某些 OpenSSH 扩展中降低安全功能的漏洞。
• Xen 4.19.0_06:
  • CVE-2024-45818：修复了 x86 HVM 标准 VGA 处理中的死锁。
  • CVE-2024-45819：仅受运行 PVH 客体的 x86 系统影响；HVM 和 PV 客体不受影响。 libxl 工具堆栈可能会通过 ACPI 表将数据泄露给 PVH 客体。
• python-tornado6 6.4.2:
  • CVE-2024-52804：Tornado 版本 6.4.2 之前的版本中用于解析 HTTP cookie 的算法有时具有二次复杂度，导致在解析恶意构造的 cookie 标头时消耗过多的 CPU。此解析发生在事件循环线程中，可能会阻止其他请求的处理。版本 6.4.2 修复了此问题

结论

2024 年 11 月对于 Tumbleweed 来说又是辉煌的一个月，它展示了其提供最新软件的承诺，并带来了令人印象深刻的更新。对 Mesa、GTK4、KDE Plasma、PostgreSQL 等的显著更新为滚动发布用户提供了最新的开源技术，以实现安全可靠的系统。继续向前滚动，不要忘记查看 openSUSE Factory 邮件列表中的详细更改日志和讨论。祝您拥有另一个月无缝更新——快乐滚动！

缓慢推出

请注意，这些更新也适用于 Slowroll，并且在 Tumbleweed 快照发布后平均 5 到 10 天到达。这种每月的方法已经保持了许多个月，确保了稳定性和对用户的及时增强。

为 openSUSE Tumbleweed 做出贡献

通过订阅 openSUSE Factory 邮件列表，及时了解最新的快照。对于想要贡献或想要参与详细技术讨论的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表 。openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。

您的贡献和反馈使每次更新的 openSUSE Tumbleweed 变得更好。无论您是报告错误、建议功能还是参与社区讨论，您的参与都备受重视。