Tumbleweed 每月更新 - 2025 年 2 月

本月发布了多个快照和各种更新，以及一个在二月中旬重点强调的重大默认更改，以及 Mesa 3D 图形库的主要版本更新。 GIMP 3.0.0~RC3 似乎已经接近最终版本，集成了 GTK 3.24.48。 KDE Plasma 6.3 增强了分数缩放，引入了改进的缩放效果，并彻底修改了绘图板设置。与此同时，KDE Gear 24.12.2 改进了可用性，gdb 15.2 提高了调试效率，fwupd 增强了固件更新处理。其他值得注意的更新包括 postgresql 17.3、Ruby 3.4.2 以及 OpenSSL 3.4.1 中的关键安全修复。

如果出现任何问题，请务必使用 snapper 回滚。

祝您更新愉快，一路顺风！

有关本月更改日志的更多详细信息，请访问 openSUSE Factory 邮件列表。

新功能和增强功能

Mesa 25.0：此版本在 radv/gfx8+ 上引入了 Vulkan 1.4 支持，以及多个新的 Vulkan 扩展，适用于 panvk，包括 VK_KHR_dedicated_allocation、VK_KHR_global_priority、VK_KHR_multiview、VK_KHR_shader_float16_int8、VK_EXT_image_robustness 等。还为 radv 添加了对 GFX12 (RDNA4) 的初步支持。对 radv、anv 和 panvk 进行了性能优化，提高了不同应用程序的稳定性。额外的修复改进了 Wayland 和 X11 兼容性，纠正了视频解码问题，并解决了影响各种游戏和工作负载的 内存泄漏。

GIMP 3.0.0~RC3：最新 RC 完成了 GTK 3.24.48 集成，解决了 Wayland 中的崩溃问题，并改进了从右到左的文本渲染。图像图增强功能可防止不必要的位深度转换，从而保留非破坏性编辑中的细节。线程安全的投影修复消除了来自 多线程 冲突引起的崩溃。Script-Fu 应用程序编程接口 引入了新的命名参数语法，使脚本更灵活和可读。官方 AppImage 分发确保为 Linux 用户提供干净、上游支持的软件包。GEGL 优化改进了过滤器和浮点运算。

KDE Plasma 6.3：KDE Plasma 6.3 改进了窗口管理器和 Wayland Compositor KWin 中的分数缩放，以提供更清晰的视觉效果并将元素对齐到像素网格。缩放效果提供了一个像素完美的放大，并带有可对设计师有用的网格叠加层。绘图板设置得到了重大改进，具有手写笔压力曲线调整和更好的校准。系统监视器改进了 CPU 跟踪，同时减少了资源使用；其信息中心现在显示 GPU 详细信息和电池循环计数。应用程序商店 Discover 通过突出显示沙盒应用程序中的权限更改来增强安全性，并且天气小部件添加了 Deutscher Wetterdienst 作为数据源。可用性调整包括触摸板自动禁用以供鼠标用户使用、重新组织的启动器菜单以及改进的 Kickoff 行为，仅在单击时切换类别。自定义选项扩展了面板克隆、可编写脚本的不透明度调整和灵活的启动器图标。

gdb 15.2：此主要版本更新改进了启动性能，具有后台 DWARF 读取，并完善了调试功能，包括用于缺少调试处理程序和线程管理的新命令。GDB 现在生成稀疏核心文件，提供更好的错误消息，并支持对劣函数调用的可配置超时。 GDBserver 中的更改简化了调试选项，新的 Python API 函数增强了脚本编写能力。该更新还弃用了与 MPX 相关的命令，并完善了现有命令以提高清晰度和一致性。

fwupd：此更新引入了新功能，例如 fwupdtool efiboot-hive 用于设置 nmbl cmdline，改进了 fwupdmgr 中的抑制原因处理，以及通过 USB 提供的 hidraw 支持 DS-20 描述符。错误修复包括在 MSI 硬件上正确部署 dbx，Lenovo 版本解析更正，改进的 Logitech HID++ 检测以及性能优化。此外，已添加了对使用 Redfish 的 HPE Gen10/Gen10+ 设备的​​支持，以及对未来 Huddly 设备的更好处理和更可靠的 Logitech Rallybar 更新。

KDE Frameworks 6.11.0：KDE Frameworks 6.11.0 改进了 Baloo 的数据库处理，通过传播失败原因并减少对 m_env 的手动管理。 Breeze 图标引入了开放链接图标的 12x12 版本，并将关闭图标更新为黑色 X 符号。KConfig 现在从 Windows 注册表中读取默认值，并改进了嵌套组值处理。 Kirigami 完善了 SwipeListItem 的键盘导航，并修复了 ActionsMenu 中的深度嵌套。 KIO 解决了文件属性中 symlink 路径解析问题，并增强了文件对话框撤消行为。 KTextEditor 改进了书签循环，并完善了主题配置边距。KSVG 增强了渲染缓存线程安全性，KWallet 删除了未使用的函数以获得更精简的代码库。

KDE Gear 24.12.2：KDE 的 Dolphin 改进了图标缩放和叠加处理，而 Kdenlive 修复了崩溃，增强了效果堆叠并改进了渲染进度可见性。 KMail 和 Kontact 简化了帐户管理，防止在删除帐户时重复条目。 KTrip 和 KWeather 清理了未使用的字符串，以获得更流畅的移动体验。 Kate 确保了正确的选择处理并修复了搜索匹配导出。 Okular 防止包含大量选择字段的表单挂起，并正确响应调色板更改。

postgresql 17.3：此更新解决了各种安全修复和性能改进。一项关键的安全修复加强了 PQescapeString 和相关函数中的编码验证，以防止潜在的 SQL 注入风险。连接权限检查和限制现在正确地应用于并行工作进程。 几个错误修复提高了数据库稳定性，包括防止在 vacuum 操作期间发生目录损坏，修复并行查询中的竞争条件，并解决意外的事务错误。 其他增强功能包括改进的 SQL/JSON 反解析处理，UNION 查询中更好的排序一致性，以及对 VACUUM 和索引的优化。

Ruby 3.4.2：此包的关键修复解决了 ripper 中的分段错误，-ne 中的堆栈一致性错误，以及 Array#sum 和 Numeric 子类中的意外行为。已解决 prism 和 parse.y 中的解析问题，包括递归深度不一致以及处理未命名转发变量。 其他修复包括改进了与 GNU Compiler Collection 15 的兼容性，Module#autoload? 性能的更正，TCPSocket 错误处理，以及确保 ENV.inspect 中的编码一致性。 此外，已将 ARM64 的 TLS 修复移植，并解决了各种语法不一致问题。

wireplumber 0.5.8：此更新引入了对处理 Advanced Linux Sound Architecture 监视器中 UCM SplitPCM 节点的支持，并改进了通过环回的 PipeWire 通道重映射。 新功能允许将 WpSpaDevice 子对象标记为挂起，从而增强了异步创建环回节点处理。 改进了 ALSA 节点名称去重，从而防止不必要的 .2、.3 后缀。 修复包括解决 UI 中重复的蓝牙 SCO (HSP/HFP) 源，纠正设备环回节点的流恢复行为，以及解决 wp_lua_log_topic_copy() 中的问题。 此外，测试脚本已更新以提高对象识别一致性。

python-cryptography 44.0.0：此主要 pypi 更新停止支持 LibreSSL < 3.9，并弃用了 Python 3.7，该版本将在未来的版本中删除。 Linux wheels 现在使用 OpenSSL 3.4.0 进行编译。 该更新强制执行 RFC 5280 规则，防止空扩展密钥用法扩展，允许提取 MultiFernet 的时间戳，并放宽根 CA 证书上的权限密钥标识符要求。 添加了对使用 OpenSSL 3.2.0+ 的 Argon2id KDF 的支持，以及对 Admissions 证书扩展的支持。 此外，现在支持通过新的解密函数进行 PKCS7 解密，包括 S/MIME 3.2。

python-pyOpenSSL 25.0.0：此主要 pypi 更新删除了已弃用的 API，包括 CRL、Revoked、dump_crl 和 load_crl，并引导用户使用 cryptography.x509 进行 CRL 功能。 sign 和 verify 函数已被删除，以支持 cryptography.hazmat.primitives.asymmetric 签名 API。 弃用的功能包括 OpenSSL.rand（请使用 os.urandom() 代替）、X509Extension 和椭圆曲线函数。 计划弃用 X509 和 PKey 对象，并鼓励用户迁移到 cryptography.x509.Certificate 和 cryptography 私钥。 该更新还为 get_certificate 和相关函数添加了一个 as_cryptography 参数，允许返回 cryptography.x509.Certificate 对象。

关键软件包更新

内核源码 6.13.4, 6.13.3, 6.13.2：这些更新包括对多个子系统中的各种修复和改进。它解决了 Btrfs 中的问题，包括一个 lockdep splat 修复以及更好的事务中止处理。安全改进解决了 x86 SRSO 缓解措施，针对 VM-Exit 上缺失的 IBPB，以及 HID 设备处理修复，针对 winwing 和 thrustmaster，以及多个 pinctrl 漏洞修复。更新还改进了 DRM 和 AMD 显示组件，提高了 HDMI、DSC 直通和背光特性。其他修复改进了调度器、IRQ 处理、日志记录和文件系统稳定性。各种 DRM 桥接、面板和连接器更新增强了 ELD 处理和同步。其他增强功能改进了 safesetid 策略检查、WiFi 驱动程序以及特定于设备的优化。

curl 8.12.1：此更新包括各种安全修复，例如解决主机之间的密码泄露、HSTS 缓存条目覆盖以及 eventfd 双重关闭漏洞。增强功能包括对 PKCS#11 密钥的支持、使用 GnuTLS 的 QUIC 0RTT、改进的 HTTP 身份验证跟踪以及连接重用扩展的错误处理。值得注意的漏洞修复解决了 TLS 升级问题、DNS 解析改进、HTTP 重试处理以及多个协议的性能优化。

selinux-policy 20250211：此更新将 SELinux 设置为所有新安装的默认 Linux 安全模块 (LSM)。虽然 AppArmor 仍然可用，但 SELinux 将在全新安装中默认以强制模式运行，包括 minimalVM 变体。SELinux 更新将在未来几周内继续完善实现。

sdbootutil：此更新引入了 PCR 15 测量的改进，包括验证器服务以及 crypttab 更改的预测能力。更新还改进了在使用 FIDO2 密钥时加密设备排序，并删除了 .conf 后缀，从 grubenv 中移除。其他修复确保了在缺少 /etc/crypttab 时正确的生成器行为，并改进了 PCR 验证的日志输出。

GStreamer 1.24.12：此更新解决了 d3d12 中的着色器编译失败，并纠正了 decklinkvideosink 中的帧速率处理。 gst-libav 模块现在避免了输入数据不足时音频编码器中的崩溃，并恢复了与 FFmpeg 4.2 的兼容性。其他修复包括改进了 oggdemux 中的搜索和持续时间处理，tsdemux 中的 PTS 环绕检测，以及 macOS 上 vtdec 中的竞争条件修复。对 qtdemux 进行了改进，以提供更好的矩阵变换和翻转支持，而 webrtc 现在可以防止在使用 RTX 和多个视频编解码器时重复的有效载荷类型。还对 wpe、x264enc 和 win32-pluginoader 进行了改进，以及各种内存泄漏和稳定性修复。

XFSProgs 6.13.0：此更新引入了重大改进，包括增强的实时卷支持、配额处理和元数据目录。 mkfs 工具现在允许递归子卷删除和改进的 protofile 解析。 xfs_repair 添加了对元数据目录中配额 inode 的支持，而 xfs_scrub 使用直方图加速第 8 阶段处理。其他修复解决了错误报告、设备编码和实时分配组的并发改进。各种构建、文档和工具增强功能进一步完善了 XFS 生态系统。

kdump 2.0.16：此更新提高了可靠性，修复了 KDUMP_AUTO_RESIZE 的问题，解决了崩溃转储调整大小的问题。更新还解决了 dracut 中的关键绑定配置错误，该错误之前导致 kdump initrd 中的网络故障。该问题源于对绑定设备参数的不正确解析，其中 MAC 地址中的冒号导致错误。该修复确保 kdump 正确过滤掉有问题绑定密钥，从而防止解析失败。

错误修复和安全更新

本月解决了几个关键的安全漏洞。本月的 通用漏洞和暴露 包括

qemu:

• CVE-2023-2861：修复了 9p 直通文件系统 (9pfs) 实现中的一个漏洞，该漏洞可能允许恶意客户端通过在共享文件夹中创建和打开设备文件来逃脱导出的 9p 树。

curl:

• CVE-2024-11053：修复了在使用 .netrc 文件与 HTTP 重定向结合时泄露凭据的问题。
• CVE-2024-9681：解决了一个问题，即 HSTS 子域名条目可能会覆盖父域名缓存条目，从而可能导致 HTTPS 强制执行不正确。
• CVE-2025-0665：解决了 eventfd 上的双重关闭漏洞，这可能导致未定义行为或应用程序崩溃。

emacs:

• CVE-2025-1244：有关此 CVE 的详细信息目前不可用。有关最新信息，请参阅官方 Emacs 新闻页面。

OpenSSL 3.4.1:

• CVE-2024-12797：修复了一个问题，即使用 RFC7250 Raw Public Keys (RPKs) 的客户端可能无法检测到服务器身份验证失败，从而可能使 TLS/DTLS 连接暴露于中间人攻击中。
• CVE-2024-13176：在 ECDSA 签名计算中发现了一个时序侧信道漏洞，攻击者可能利用该漏洞恢复私钥。这主要影响 NIST P-521 曲线，并且需要本地访问或高速低延迟网络连接才能利用。
• CVE-2024-9143：修复了低级 GF(2^m) 椭圆曲线 API 中的越界内存访问问题，这可能导致内存损坏或崩溃。

postgresql 17.3:

• CVE-2025-1094：修复了 psql 交互式工具中的 SQL 注入漏洞，该漏洞是由某些函数中不正确的中和引用语法引起的。

ffmpeg:

• CVE-2025-22921：解决了 jpeg2000dec.c 中的分段故障，防止潜在的崩溃。
• CVE-2025-22919：修复了处理制作的 AAC 文件时断言可达的问题，从而减轻了拒绝服务风险。
• CVE-2025-0518：解决了一个堆栈缓冲区溢出问题，允许远程经过身份验证的攻击者执行任意代码。
• CVE-2025-25473：修复了多个漏洞，允许经过身份验证的远程攻击者执行任意命令。
• CVE-2024-12361：解决了证书数据处理中的一个缺陷，该缺陷可能导致拒绝服务条件。

grub2:

• CVE-2024-45781：修复了 UFS 文件系统中的 strcpy 溢出。
• CVE-2024-56737：解决了 HFS 文件系统中的堆栈缓冲区溢出。
• CVE-2024-45782：解决了 HFS 文件系统中的 strcpy 溢出。
• CVE-2024-45780：修复了 TAR/CPIO 处理中的溢出问题。
• CVE-2024-45783：纠正了 HFS+ 文件系统中的引用计数溢出。
• CVE-2025-0624：修复了网络启动过程中的越界写入。
• CVE-2024-45774：解决了 JPEG 解析器中的堆溢出。
• CVE-2024-45775：解决了 extcmd 解析器中缺失的 NULL 检查问题。
• CVE-2025-0622：修复了在卸载模块期间处理挂钩时发生的 use-after-free 问题，command/gpg 中。
• CVE-2024-45776：纠正了 .MO 文件处理中的溢出。
• CVE-2024-45777：修复了 gettext 函数中的整数溢出。
• CVE-2025-0690：解决了一个整数溢出，可能导致通过 read 命令进行越界写入。
• CVE-2025-1118：确保在锁定模式下，dump 命令被阻止。
• CVE-2024-45778：从支持锁定的模块中删除了 BFS 文件系统。
• CVE-2024-45779：修复了 BFS 文件系统中的堆溢出。
• CVE-2025-0677：解决了导致在处理 UFS 中的符号链接时发生越界写入的整数溢出。
• CVE-2025-0684：解决了导致在处理 ReiserFS 中的符号链接时发生越界写入的整数溢出。
• CVE-2025-0685：修复了导致在处理 JFS 中的符号链接时发生越界写入的整数溢出。
• CVE-2025-0686：纠正了在处理 ROMFS 中的符号链接时发生的越界写入的整数溢出。
• CVE-2025-0689：修复了 UDF 中的基于堆的缓冲区溢出，可能导致任意代码执行。
• CVE-2025-1125：解决了 HFS 文件系统中的整数溢出，导致越界写入。
• CVE-2025-0678：解决了 SquashFS 中的整数溢出，导致越界写入。

libtasn1 4.20.0:

• CVE-2024-12133：修复了对特定证书数据处理效率低的问题，攻击者可能通过发送特制的证书来利用该问题，从而导致拒绝服务攻击。

libxml2 2.13.6:

• CVE-2025-24928：修复了 xmlSnprintfElements 函数中的基于堆的缓冲区溢出，该漏洞可能在验证不受信任的文档的 DTD 时被利用，从而导致拒绝服务或代码执行。
• CVE-2024-56171：解决了 xmlSchemaIDCFillNodeTables 和 xmlSchemaBubbleIDCNodeTables 函数中的 use-after-free 漏洞，在处理制作的 XML 文档或模式时可能导致任意代码执行。
• CVE-2025-27113：解决了 xmlPatMatch 函数中的 NULL 指针取消引用，这可能导致在处理某些输入时应用程序崩溃。

gnutls 3.8.9:

• CVE-2024-12243：解决了解码某些 DER 编码证书时可能导致过度资源消耗的缺陷，从而导致拒绝服务条件。

mozjs128 128.7.0:

• CVE-2025-1009：修复了 XSLT 中的 use-after-free 漏洞，可能导致可利用的崩溃。
• CVE-2025-1010：解决了自定义高亮 API 中的 use-after-free 问题，可能导致崩溃。
• CVE-2025-1011：解决了 WebAssembly 代码生成中的一个错误，可能导致崩溃和潜在的代码执行。
• CVE-2025-1012：修复了在并发去延迟化期间发生的 use-after-free 问题，可能导致崩溃。
• CVE-2024-11704：纠正了 PKCS#7 解密处理中的潜在双重释放漏洞。
• CVE-2025-1013：解决了隐私泄露问题，即私密浏览选项卡可能在普通浏览窗口中打开。
• CVE-2025-1014：修复了向证书存储区添加证书时证书长度检查不正确的问题。
• CVE-2025-1016：解决了多个内存安全漏洞，这些漏洞可能被利用来运行任意代码。
• CVE-2025-1017：解决了浏览器引擎中存在的其他内存安全漏洞。

webkit2gtk3:

• CVE-2025-24143：修复了一个漏洞，处理恶意制作的 Web 内容时可能导致任意代码执行。
• CVE-2025-24150：解决了访问恶意网站可能导致地址栏欺骗的问题。
• CVE-2025-24158：解决了堆栈缓冲区溢出问题，允许攻击者执行任意代码。
• CVE-2024-24162：修复了一个漏洞，处理恶意制作的 Web 内容可能导致任意代码执行。

Python311:

• CVE-2025-0938：修复了 urllib.parse 函数中不正确的 URL 解析，该函数接受带有方括号的无效域名，可能导致安全问题。

PAM-PKCS 0.6.13:

• CVE-2025-24032：修复了一个问题，攻击者可以创建一个带有用户公钥和已知 PIN 的令牌，从而允许在不需要私钥的情况下进行未经授权的登录。
• CVE-2025-24531：解决了在使用智能卡登录时的错误情况下可能存在的身份验证绕过问题。

krb5:

• CVE-2025-24528：解决了 kadmind 写入映射区域末尾之外的问题，这可能导致潜在的安全风险。

建议用户更新到最新版本以缓解这些漏洞。

结论

KDE 用户将体验到更完善、更高效的体验，最新的 KDE Gear、Frameworks 和 Plasma 更新带来了这些改进。除了可见的改进之外，Tumbleweed 还在不断加强其基础，通过对 curl、mozjs128、grub2 和 PostgreSQL 的基本安全补丁，以及通过 libxml2 进行的优化，来实现这一目标。这些持续的增强功能确保 Tumbleweed 仍然是一个可靠、高性能的开源平台，适用于开发人员和用户。

缓慢推出

请注意，这些更新也适用于 Slowroll，并且在 Tumbleweed 快照发布后平均 5 到 10 天到达。这种每月的方法已经保持了许多个月，确保了稳定性和对用户的及时增强。

为 openSUSE Tumbleweed 做出贡献

通过订阅 openSUSE Factory 邮件列表，及时了解最新的快照。对于想要贡献或想要参与详细技术讨论的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表 。openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。

您的贡献和反馈使每次更新的 openSUSE Tumbleweed 变得更好。无论您是报告错误、建议功能还是参与社区讨论，您的参与都备受重视。