Tumbleweed 每月更新 - 2025 年 5 月

5月以 openSUSE 的滚动发布版的一次大型更新结束。openSUSE 的 Tumbleweed。虽然该快照解决了几个 通用漏洞和暴露 (CVE)，但在整个月度中引入了更多的安全修复。

5月引入了改进虚拟化性能的 qemu 10.0，经过润色的可用性修复的 KDE Plasma 6.3.5，以及跨桌面和嵌入式设备提供更流畅媒体播放的 GStreamer 1.26.1。安全性成为重点，OpenSSL 3.5.0 的后量子密码学支持和内核更新解决了投机执行漏洞。无论您是开发人员、系统管理员还是日常桌面用户，5月的快照都为值得信赖的 Tumbleweed 体验提供了有意义的改进。

如果出现任何问题，请务必使用 snapper 回滚。

有关本月更改日志的更多详细信息，请访问 openSUSE Factory 邮件列表。

新功能和增强功能

qemu 10.0：这是 openSUSE Tumbleweed 虚拟化方面的一个重大飞跃，将使桌面用户、开发人员和服务器管理员受益。此更新允许通过将工作负载分散到多个线程，通过添加 virtio-scsi 的多队列支持来提高虚拟机的 I/O 性能。Intel GPU 直通 (VFIO) 得到更好的支持，有助于用户构建具有硬件加速功能的更强大的桌面虚拟机或开发环境。开发人员和嵌入式爱好者会很高兴地知道该更新现在支持新的 arm、LoongArch、RISC-V、HPPA 板和 CPU 功能。值得注意的改进包括 ARM 的 EL2 定时器仿真以及对新的 RISC-V 扩展（如 smrnmi 和 supm）的支持。QEMU 机器协议 (QMP) 文档已进行了修订，以便于自动化和脚本编写。此版本还修复了使用 GCC 15 时的构建问题，并提高了 openSUSE 软件包的测试可靠性。请务必查看 已弃用的功能，尤其是对于运行 32 位主机的用户。

KDE Plasma 6.3.5：Plasma 的 KWin 窗口管理器具有针对崩溃、渲染问题、HDR 亮度控制、平板电脑输入可靠性和更流畅的屏幕调暗行为的错误修复。 Discover 改进了更新信息的显示方式。“仍在查找”指示器错误已得到解决，从而获得更流畅的软件包搜索体验。通知气泡现在填充和定位更好。天气小部件现在尊重默认单位，笔记小部件不会在布局大小方面出现问题，任务管理器分组视觉效果更可预测。 Dolphin 不会意外地将界面元素放置在错误的位置，Plasma Vaults 避免了构建错误，并且应用程序和应用程序小部件中的颜色方案集成使用了正确的样式，从而获得更统一的外观。

GStreamer 1.26.1：此版本提高了媒体播放的可靠性，尤其是在流式传输、字幕和摄像头输入方面。如果您使用 GNOME Videos、OBS 或基于 PipeWire 的系统等应用程序，那么此更新意味着更少的崩溃和更流畅的性能。值得注意的修复改进了 H.264/H.265 中的字幕处理，V4L2 解码的 A/V 同步，WebRTC 调用中的稳定性，更好的 Matroska 和 MP4 支持，以及更准确的帧速率检测。开发人员还可以获得更好的 Windows 上的插件加载以及与较新 Python 和 GObject 版本的兼容性。此更新提高了桌面、浏览器和嵌入式设备上的多媒体体验。

gimp 3.0.4：此更新解决了导致粘贴内容出现填充的问题的剪贴板错误，并确保在断开或更改监视器时更流畅的行为；这加快了具有大型字体库的用户启动速度。非破坏性滤镜工作流程通过更好的撤销跟踪和更少的视觉伪像得到改进。KDE Wayland 用户受益于更正的图标渲染，并且 .ICO 文件支持通过修补 ZDI-CAN-26752 错误得到修复。删除了两个现在已上游的补丁，使软件包保持清洁和最新。

gnome-music 48.0：此更新通过删除遗留特定解决方法并改进 GLib 集成，提高了与现代 Python 环境的兼容性。虽然这不是一个功能丰富的更新，但它修复了与内省相关的后端问题，并确保了当前 openSUSE Tumbleweed 系统上的更流畅的启动和稳定性。

OpenSSL 3.5.0：此主要更新加强了加密安全性并使 openSUSE Tumbleweed 用户的 TLS 支持现代化。工具（如 req、cms 和 smime）的默认加密现在使用更强大的 aes-256-cbc 密码，而不是过时的 3DES。TLS 配置得到了改进，支持 后量子密码学 (PQC) 密钥交换方法，如 ML-KEM，为用户提供了一种更安全的选项，并且比旧方法更快。该版本引入了 QUIC 服务器支持（用于 HTTP/3），这对于构建低延迟或流式应用程序的开发人员来说很重要。从日常使用来看，这提高了系统范围的加密性能，增强了与现代 Web 协议的兼容性，并加强了加密默认设置。使用 cURL、Git 或任何使用 OpenSSL 支持的 TLS 的安全工具的用户将受益于更好的安全性和较新硬件上的 CPU 负载降低。

KDE Gear 25.04.1：此更新带来了一波重点的润色和稳定性，从而使 Dolphin、Kdenlive 和 KDE Connect 等关键应用程序的工作流程更加顺畅。文件管理通过改进的主题和 Dolphin 中的上下文菜单变得更清晰，而 Kdenlive 受益于大量的崩溃修复、布局改进和不太激进的自动保存。KDE Connect 还修复了媒体崩溃并改进了导航。

KDE Frameworks 6.14.0：此版本改进了系统集成、可访问性和 KDE 堆栈中的应用程序行为。开发人员受益于 KArchive 中更安全的文件处理，KIO 中的拖放增强功能，KColorScheme 中改进的高对比度主题支持，以及 KGuiAddons 中更流畅的 Wayland 剪贴板操作。 Kirigami 接收到布局修复和滚动改进，而 KWallet 引入了对 KeePassXC 密码管理器作为后端的支持。语法高亮显示获得了新的语言定义，包括 ACPI 和 RISC-V 更新。

关键软件包更新

GTK4 4.18.5：此版本提高了 Tumbleweed 用户的整体桌面稳定性和响应速度。它解决了可能影响文件选择器对话框、辅助工具和输入法（如 XCompose）的几个崩溃和错误，为使用多语言输入或屏幕阅读器的人提供了重要的修复。与 Cairo 模糊渲染相关的重大性能问题已得到解决，这使使用阴影、过渡或透明度的应用程序受益。此更新还使 Epiphany 和使用 gtkmm 构建的应用程序的行为更加顺畅。这些变化减少了意外情况，并为 GNOME 应用程序和自定义 GTK 基于的工具提供了更流畅的体验。

kernel-source 6.14.6 和 6.14.5：6.14.6 更新包括针对 CVE-2024-28956 的保护，这是一种影响现代 Intel CPU 的新发现的投机执行漏洞。它引入了 ITS（间接目标选择）缓解机制，并确保在上下文切换期间更安全地处理返回和分支指令。添加了几个分支预测器强化改进，这对于使用 ARM64 硬件的嵌入式设备和容器非常重要。还解决了某些 HP 笔记本电脑静音 LED 长期存在的错误。6.14.5 版本带来了另一轮错误修复和驱动程序更新，从而提高了滚动发布版上的系统稳定性和兼容性。此更新解决了边缘情况下的崩溃、内存泄漏和设备兼容性问题，涵盖了关键子系统，如网络（MLX5、ENETC）、蓝牙和 CPU 频率缩放。图形用户受益于 Intel Xe 驱动程序调整和 DRM 修复，从而提高了性能和功耗管理，而媒体硬件支持随着对较新摄像头传感器的更新而不断扩展。文件系统完整性也通过 Btrfs 和 ceph 修复得到改进，这有助于防止低级边缘场景中的数据损坏。

curl 8.14.0：此版本修复了影响使用 wolfSSL 进行 QUIC 证书验证的两个漏洞，确保了正确的验证和固定 (CVE-2025-4947, CVE-2025-5025)。该版本还添加了对 OpenSSL + ngtcp2 QUIC 组合的支持，并引入了新的 TLS 选项，如 CURLOPT_SSL_SIGNATURE_ALGORITHMS。MQTT 连接现在以保持间隔发送 ping，并且用户可以禁用 WebSocket 的自动 pong 响应。此更新增强了 curl 的稳定性和不断发展的网络协议支持。

AppStream 1.0.5：此版本带来了改进，有助于软件中心和包管理器（如 GNOME Software 或 Discover）向用户显示更丰富、更准确的元数据。此更新增强了如何验证和解释屏幕截图、图标和描述，帮助应用程序开发人员确保其软件列表看起来美观并遵循一致的标准。Tumbleweed 用户应该在软件列表中看到更好的视觉一致性，在应用商店中减少故障，并提高存储库中的元数据质量。

fwupd 2.0.9：此库改进了固件更新的可靠性并扩展了硬件兼容性，对于依赖于 openSUSE 滚动发布版中安全无缝固件管理的用户的来说，这是一个有意义的升级。关键改进包括更好的 UEFI 密钥交换密钥 (KEK) 和签名数据库 (db) 更新支持，现在允许一次安装多个证书，这对于维护安全启动完整性至关重要。对于开发人员或高级用户，fwupdtool 现在包含更详细的 JSON 输出和更好的 Redfish 处理，而隐藏或备份设备被正确排除在更新之外。这些变化提高了系统稳定性，扩展了设备覆盖范围，并使管理固件更新在桌面和服务器上更加可靠。

gpg2 2.5.6：此版本修复了先前版本中引入的一个回归问题，该问题将已撤销或已过期的密钥的签名错误地归类为“缺失”，这让审查已签名文件或电子邮件的用户感到困惑。另一个重要的修复防止了在不使用签名缓存模式运行时可能发生的崩溃（双重释放）。一些新功能包括对左锚定子字符串过滤器的支持（在编写密钥列表脚本时很有帮助）、用于高效创建信任签名的 --quick-tsign-key 命令，以及在密钥生成期间用于简化自定义工作流程的新 User-Id 选项。此外，智能卡支持更好，改进了证书选择和卡片检测，尤其是在 P15 卡方面。

sqlite 3.49.2：此软件包解决了版本 3.40.0 中引入的 NOT NULL 优化触发的罕见内存错误，从而确保更安全的查询执行。还应用了修复程序，用于处理使用视图的 DISTINCT 查询以及涉及带有 IN 运算符的 UNIQUE 约束的边缘情况，这些问题可能导致复杂模式下查询结果不正确。依赖 generate_series() 函数的用户将看到更好的稳定性，并且小的构建改进提高了可移植性。

thunar 4.20.3：文件管理器现在在永久删除文件之前会发出警告，增加了一层重要的保护。文件管理器更可靠地处理用户定义的自定义操作 (UCA)，尤其是在涉及子菜单时，这得益于对多个内存泄漏和子菜单错误的修复。在 Wayland 上，弹出菜单现在行为正确，不再意外保持打开状态。此更新还修复了与列表视图和属性对话框相关的崩溃，改进了对 exFAT 文件系统上的文件处理，并增强了搜索期间状态栏的更新。

PipeWire 1.4.4：此更新恢复了与旧的 1.2 风格 MIDI 的兼容性，并解决了影响 mpv 等工具的回归问题。此更新还增强了与 libcamera 的集成，确保 GStreamer 中更流畅的视频和多媒体处理。使用 MIDI 设备的用戶将受益于改进的 UMP 和 ALSA 序列器支持，包括更好的 SysEx 和程序更改处理。NetJACK2 网络现在更可靠，具有改进的驱动程序/管理器角色和错误管理。

错误修复和安全更新

本月解决了几个关键的安全漏洞。本月的 通用漏洞和暴露 包括

安全更新

libsoup

• CVE-2025-32914：越界读取漏洞允许恶意 HTTP 客户端触发内存访问错误，可能导致崩溃。
• CVE-2025-32907：修复了重复 HTTP Range 请求导致的过度内存使用，从而导致部分资源耗尽。
• CVE-2025-46421：修复了 HTTP 重定向中 Authorization 标头的泄露问题，防止凭据暴露给第三方主机。
• CVE-2025-4969：curl 的 dynbuf API 中的缓冲区溢出可能导致数据损坏或崩溃。
• CVE-2025-4476：在 curl 中，setopt 中处理不当的凭据可能导致跨请求泄露。
• CVE-2025-4948：在 curl 中，当使用 wolfSSL 重用连接时，CURLOPT_SSL_VERIFYPEER 绕过是可能的。

cyrus-imapd

• CVE-2025-23394：由于在调用子 shell 命令时 shell 转义不当，cyradm 中存在潜在的权限提升漏洞。

Mozilla Firefox 138.0:

• CVE-2025-2817：修复了 Firefox Updater 中的权限提升问题，允许 SYSTEM 级别操作。
• CVE-2025-4082：macOS 上 WebGL 着色器属性中的内存损坏已修复。
• CVE-2025-4083：通过跨域框架中的 javascript: 链接绕过进程隔离已修复。
• CVE-2025-4085：通过 UITour actor 解决了潜在的信息泄露和权限提升问题。
• CVE-2025-4086：通过精心设计的的文件名在下载提示中模糊了文件扩展名。
• CVE-2025-4087：修复了 XPath 解析期间不安全的属性访问。
• CVE-2025-4088：防止通过 Storage Access API 重定向进行 CSRF。
• CVE-2025-4089：修复了“复制为 cURL”开发者工具中的本地代码执行风险。
• CVE-2025-4090：修复了 Firefox for Android 通过日志输出泄露库路径的问题。
• CVE-2025-4091：修复了 Firefox 138、Thunderbird 138 和 ESR 版本中的内存安全漏洞。
• CVE-2025-4092：Firefox 138 和 Thunderbird 138 中增加了额外的内存安全修复。针对版本 138.0.1 和 138.0.4 进行了更多修复。

curl 8.14.0:

• CVE-2025-4947：修复了 libcurl (QUIC 与 IP 地址) 中不正确的证书验证。
• CVE-2025-5025：解决了 libcurl (QUIC 与 wolfSSL) 中缺失的证书固定问题。

389-ds:

• CVE-2025-3416：OpenSSL 处理某些函数中 properties 参数的 use-after-free 漏洞可能导致未定义行为或不正确的属性解析，从而可能导致 OpenSSL 将输入视为一个空字符串。

gpg2 2.5.6:

• CVE-2025-30258：修复了 GnuPG 2.5.5 之前的版本中存在的验证拒绝服务 (DoS) 漏洞。

kernel-source 6.14.6:

• CVE-2024-28956：解决了 x86 上的间接目标选择 (ITS) 相关的多个漏洞，包括不正确的分支预测行为以及 RSB 填充的缺失缓解措施。

**iputils

• CVE-2025-47268：修复了 ping 中的整数溢出，当处理精心制作的 ICMP Echo Reply 数据包时可能导致拒绝服务。

open-vm-tools 12.5.2:

• CVE-2025-22247：解决了不安全的文件处理缺陷，允许在来宾 VM 上的本地攻击者篡改文件，可能导致权限提升。

nbdkit 1.42.3:

• CVE-2025-47712：解决了允许低权限用户通过资源耗尽导致部分拒绝服务的问题。
• CVE-2025-47711：修复了不正确的输入处理，可能导致通过资源耗尽或不稳定导致拒绝服务。
• CVE-2024-7383：修复了一个问题，TLS 连接未能正确验证 NBD 服务器证书，从而允许潜在的中间人攻击。

webkit2gtk3 2.48.2:

• CVE-2025-24223：修复了 WebKit 在处理恶意制作的 Web 内容时发生的内存损坏问题。
• CVE-2025-31204：解决了 WebKit 在处理恶意 Web 内容时触发的内存损坏漏洞。
• CVE-2025-31205：解决了由于不正确的安全检查导致的 WebKit 中的跨域数据泄露漏洞。
• CVE-2025-31215：解决了 WebKit 中处理恶意 Web 内容可能导致意外进程崩溃的漏洞。

grub2:

• CVE-2025-4382：修复了 GRUB 的基于 TPM 的自动解密在文件系统故障后可能在内存中留下 LUKS 磁盘已解密的问题。具有物理访问权限的攻击者可以通过将 GRUB 强制进入救援模式来利用这一点访问未加密的数据。

mozjs128 128.10.1:

• CVE-2025-4920：修复了 Firefox 中解析 Promise 对象时发生的越界访问。
• CVE-2025-4921：修复了 Firefox 中线性和优化期间发生的越界访问。

OpenSSL:

• CVE-2025-4575：修复了 OpenSSL 3.5 中 openssl x509 中 -addreject 选项错误地将证书标记为受信任而不是拒绝的问题。

postgresql17 17.5:

• CVE-2025-4207：修复了 PostgreSQL 的 GB18030 编码检查中的缓冲区读取漏洞，可能导致拒绝服务。

python313:

• CVE-2025-4516：修复了 CPython 中可能导致内存损坏的 use-after-free 漏洞。

建议用户更新到最新版本以缓解这些漏洞。

结论

Tumbleweed 的五月更新突出了 Tumbleweed 结合性能改进、UI 优化和关键安全更新的优势。QEMU 10 扩展了硬件支持并加速了虚拟机，而 OpenSSL 3.5 则使加密默认值现代化，从而为日常 Linux 使用带来明显的改进。本月 OpenSSL 3.5 中引入的后量子密码学 (PQC) 是一项重大进展。KDE Gear 25.04.1 为 Dolphin 和 Kdenlive 等基本应用程序带来了稳定性，确保工作流程保持流畅和直观。Thunar 也得到了有意义的改进，包括更安全的文件删除和更好的 Wayland 行为。多媒体用户受益于 GStreamer 和 GTK 的增强。AppStream 1.0.5 增强了包管理器和软件中心显示应用程序元数据的方式，从而呈现更清晰、更翔实的列表。SQLite 3.49.2 和 gpg2 2.5.6 的更新解决了可能影响脚本、密钥管理或数据库可靠性的边缘情况错误。这些滚动发布更新很重要，并表明 Tumbleweed 继续为开发人员和高级用户提供每月一致的新软件更新。

缓慢推出

请注意，这些更新也适用于 Slowroll，并且在 Tumbleweed 快照发布后平均 5 到 10 天到达。这种每月的方法已经保持了几个月，确保了稳定性和为用户提供及时的增强功能。Slowroll 的更新软件包会定期通过电子邮件发布在 openSUSE Factory 邮件列表 上。

为 openSUSE Tumbleweed 做出贡献

通过订阅 openSUSE Factory 邮件列表，及时了解最新的快照。对于想要贡献或想要参与详细技术讨论的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表 。openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。

您的贡献和反馈使每次更新的 openSUSE Tumbleweed 变得更好。无论您是报告错误、建议功能还是参与社区讨论，您的参与都备受重视。