Tumbleweed 每月更新 - 2025 年 6 月

六月带来了openSUSE 滚动发布的一波新更新。其中包含主要功能增强、性能改进以及若干关键的安全修复。

KDE Plasma 6.4 与 KDE Frameworks 6.15.0 和 KDE Gear 25.04.2 一同成为这些更新的前沿。Linux 内核也进行了一些更新，软件包如 GNU 编译器集合 15、Mesa 25.1.3 和 PipeWire 1.4.6 增强了对现代硬件的使用、改进了渲染能力并增强了音频处理。本月最重要的更新是解决安全漏洞的更新。

本月有大量软件包收到了重要的安全补丁。从 libsoup、Mozilla Firefox、Python、libssh、Salt、ClamAV、gdm 等，解决了多个常见漏洞和暴露 (CVE)，让用户和开发者都感到满意。

如果出现任何问题，请务必使用 snapper 回滚。

有关本月更改日志的更多详细信息，请访问 openSUSE Factory 邮件列表。

新功能和增强功能

KDE Plasma 6.4：此版本带来更流畅、更可定制的桌面体验。主要更新包括为每个虚拟桌面提供灵活的平铺布局、增强的窗口管理以及重新设计的 Spectacle，以获得更好的截图和注释功能。辅助功能方面，键盘导航和 Wayland 得到了增强。UI 更改提高了对比度和可读性，尤其是在深色模式下。通知现在支持直接更新安装、全屏“请勿打扰”模式和麦克风静音提醒。小部件突出显示了新应用程序、媒体播放控件和磁盘修复工具。数字艺术家可以受益于改进的触控笔配置和相对模式支持。该系统还更好地管理现代硬件的屏幕颜色和性能。KRunner 现在可视化颜色代码，而系统监视器添加了 GPU 跟踪和传感器数据。其他调整改进了文件拖动、浏览器集成和 Wayland 协议支持。

KDE Frameworks 6.15.0：此版本的一项重大改进是切换到 QDoc，这是一种现代文档工具，更清晰、更易于为使用 KArchive、Baloo 和 Bluez Qt 等组件的开发者使用。对 KArchive 和 KTextEditor 等模块的错误修复提高了稳定性和性能。用户界面框架，如 KWidgetsAddons 和 Kirigami，收到了视觉和功能改进。辅助功能也得到了增强。如果您使用 KDE 文本编辑器，如 Kate 和 KWrite，您将看到对 Cap’n Proto 和 FreeFem 等不同编程语言的更好支持。

KDE Gear 25.04.2：此更新使 Kdenlive 修复了几个崩溃问题，包括修复了渐变、直方图和渲染问题。该更新增强了 NeoChat 的移动支持，具有更好的空间切换和房间管理。Calligra 改进了公式处理以防止崩溃，并且 Akonadi 现在可以正确处理标签编辑和删除。KDE Connect 获得了与 Qt 6.9 的更好兼容性，并且 Konsole 终端应用程序也得到了修复。

ceph 18.2.7：此主要更新包含许多架构更改、性能改进和新功能。最显著的更改之一是弃用 FileStore，这标志着完全过渡到 BlueStore 用于所有新部署。对 RADOS 的增强包括引入读取均衡器以及弃用缓存分层，转而采用更现代的存储策略。 perf dump 和 perf schema 命令也已替换为 counter dump 和 counter schema，以改善计数器管理。其他更新包括 IPv6 修复、编排器稳定性改进以及 mgr 模块的 Python 绑定补丁。此版本还禁用了 ceph-mgr-cephadm，并包含各种构建和兼容性补丁，以确保与现代工具链和 Python 版本的平滑集成。

python-psutil 7.0.0：此主要更新有一些重大变化。已正式停止对 Python 2.7 的支持，并与更广泛的生态系统转变保持一致。与 Process.memory_maps() 中极高内存使用相关的崩溃已得到解决，并提高了处理数百 GB 的进程的稳定性。

python-rich 14.0.0：此主要版本更新引入了新的功能和行为变化，这些变化会影响终端输出和错误处理。一个值得注意的补充是 TTY_COMPATIBLE 环境变量，它允许用户手动控制 TTY 支持检测。这在无头或非常规终端环境中特别有用，因为自动检测可能会失败。值得注意的变化包括 Rich 如何解释颜色控制变量，现在它会显示通过 Exception.add_note() 添加的异常注释，从而增强了调试清晰度。

关键软件包更新

webkit2gtk3 2.48.3：此更新为基于 GTK 的 Web 应用程序和浏览器（如 Epiphany）带来稳定性和性能增强。一个主要的崩溃修复解决了由使用 Skia 图形 应用程序编程接口 的新线程渲染系统引入的问题；经历过最近渲染更新不稳定问题的用户将看到改进。渲染性能也通过优化工作线程处理脏区域的方式得到了改进，从而带来更流畅的视觉效果和更低的 CPU 使用率。脏区域是屏幕或用户界面中已更改并需要在渲染期间重新绘制的部分。此更新增强了基于 GNOME 和其他 GTK 环境中 WebKit 的应用程序的可用性和可靠性。

python313 3.13.5：此更新提供了安全修复和稳定性改进。值得注意的变化包括修补与 tarfile 提取漏洞相关的 CVE，修复了 unicode-escape 解码器中的 use-after-free，并恢复了整数型对象 random.getrandbits() 的正确行为。库更新改进了 IPv6 地址、电子邮件解析和 zipfile 操作的处理。一些从 3.13.4 传来的生成器相关更改已被回滚，以保持向后兼容性。建议所有用户升级以确保安全性和稳定性。

iproute2 6.15：此版本中的一个补充是 tc_util 中对 64 位硬件数据包计数器的支持，这使得能够更精确地监控超过 32 位限制的高吞吐量接口。 iprule 实用程序现在允许用户以十六进制表示法指定端口，从而在使用低级网络协议或掩码时提高兼容性和可读性。所有从先前版本回溯的补丁已被删除，以支持上游干净的代码。

kernel-source 6.15.0 和 6.15.3：6.15.3 解决了 PCIe 热插拔问题，其中延迟到达的设备检测信号（Presence Detect Changed）导致不必要的错误。它还改进了 I/O 调度中后台任务的处理方式，并解决了 WiFi 驱动程序兼容性方面的回归。该更新修复了目标电源管理、加密操作和文件系统处理（包括 btrfs 和 gfs2），以提高数据完整性和性能。6.15.0 内核恢复了“x86/smp: Eliminate mwait_play_dead_cpuid_hint()”提交，以解决稳定性问题，并支持广泛用于 ARM64 平台（如 Rockchip SoC）的 Haoyu Microelectronics HYM8563 RTC 模块。集成了多个补丁来改进 ACPI 构建处理，并携带了 6.14.8 更新中的许多关键错误修复，尤其是在内存管理、DMA 引擎处理和 I/O 子系统中，从而提高了复杂工作负载下的可靠性并减少了错误路径中的内存泄漏。

gcc 15：此更新引入了新的语言支持，并为 Modula-2 和 Cobol 添加了软件包，从而扩展了其已经广泛支持的编程语言范围。主工具链现在默认为 GCC 15，-build 风味仍然是版本 13，以确保与需要经过验证的编译器后端的环境的兼容性和稳定性。该版本还包括性能提升、更好的诊断和扩展的卸载支持，这使其成为开发人员的推荐升级。

fwupd 2.0.12：此更新增加了对 HP 便携式 USB-C 集线器、更多 Foxconn 5G 调制解调器和 Intel Arc Battlemage GPU 的支持。一些新功能包括 Thunderbolt 主机控制器模拟、强制执行不可变设备枚举以及改进了 UEFI 安全启动变量的处理。

Mesa 25.1.3：此版本中的值得注意的更改包括修复了 DOOM: The Dark Ages 等游戏中渲染问题，以及改进了 Vulkan 和 OpenGL 实现中的驱动程序行为。已删除对 osmesa 的支持，因为它现在被认为与 EGL 无表面上下文重复了。已更新或删除了几个补丁，包括构建修复、SPIR-V 转换和 Clover OpenCL 处理的调整。

gpg2 2.5.8：此版本在显示撤销原因方面有了关键改进，可以直接在标准密钥列表中（-k）显示，从而更容易跟踪密钥被撤销的原因，而无需额外的查询。此更新还通过在“pub”记录中将撤销原因作为注释发出，并提高与解析 GnuPG 密钥输出的系统的兼容性，从而确保与外部工具的更好互操作性。解决了两个关键的回归问题；一个影响解密，另一个影响从智能卡导出 SSH 密钥。此外，gpg --fetch-key不再需要配置密钥服务器，允许直接从 URL 或本地文件检索密钥，从而简化了密钥管理工作流程。

cryptsetup 2.8.0：此版本的主要新增功能是通过使用具有额外元数据空间的硬件扇区来提高性能。它使所有密钥槽类型都自包含，并改进了使用诸如--key-description、--new-key-description等选项的重新加密工作流程，并支持使用令牌或卷密钥恢复重新加密。此更新还增强了 Argon2 KDF（用于 LUKS2）的内存处理，并改进了低内存场景下的错误报告。它还优化了 LUKS2 中的元数据写入，并使用诸如--error-as-corruption之类的选项扩展了 veritysetup 功能。

pipewire 1.4.6：此更新修复了滤波器链和高级 Linux 音频架构插件中的崩溃错误。在module-combine-stream中改进了延迟报告，并且module-filter-chain现在更好地处理激活和停用，以避免崩溃。一个新的选项允许用户通过上下文属性禁用 RAOP（远程音频输出协议），从而可以更好地控制音频路由。

错误修复和安全更新

本月解决了几个关键的安全漏洞。本月的 通用漏洞和暴露 包括

安全更新

libsoup:

• CVE-2025-32911：修复了 libsoup 分块传输解析器中的缓冲区读取越界问题。
• CVE-2025-32910：解决了 libsoup 标头解析中的越界访问问题。
• CVE-2025-32906：修补了 libsoup 饼干处理中的验证不足问题。
• CVE-2025-32912：修复了 libsoup 中的 HTTP/2 会话劫持漏洞。
• CVE-2025-32909：解决了 libsoup 多部分解析器中的内存泄漏问题。
• CVE-2025-4948：修复了 libcurl 中 wolfSSL QUIC SSL 对等验证绕过问题。
• CVE-2025-4969：修补了 libcurl 的 dynbuf API 中的缓冲区溢出问题。
• CVE-2025-4945：修复了 Linux 内核 USB 子系统中的越界读取问题，可能导致潜在的信息泄露。

Mozilla Firefox 139:

• CVE-2025-5263：防止了 Firefox 中跨域脚本执行漏洞的泄露。
• CVE-2025-5264：修复了“复制为 cURL”功能中的换行符转义缺陷，该缺陷允许代码执行。
• CVE-2025-5265：修补了 Firefox 中类似的“复制为 cURL”代码执行漏洞。
• CVE-2025-5266：修复了脚本元素跨域的事件泄漏问题。
• CVE-2025-5267：修复了点击劫持漏洞，该漏洞暴露了已保存的支付卡详细信息。
• CVE-2025-5268：解决了 Firefox/Thunderbird 中的多个内存安全问题。
• CVE-2025-5270：[保留：详情待公开披露。]
• CVE-2025-5271：[保留：详情待公开披露。]
• CVE-2025-5272：[保留：详情待公开披露。]
• CVE-2025-49709：修补了画布表面的内存损坏问题。
• CVE-2025-49710：修复了 Firefox 139.0.4 中的未指定内存安全问题。

python313 3.13.5:

• CVE-2024-12718：修补了 Python 3.12+ tarfile 过滤器错误，允许在提取目录之外更改元数据或权限。
• CVE-2025-4138：修复了 libarchive ZIP 过滤器处理中的缓冲区溢出问题，可能导致内存损坏。
• CVE-2025-4330：修补了 SQLite JSON 扩展在解析无效 JSON 输入时发生的越界读取问题。
• CVE-2025-4517：解决了 OpenSSL 会话缓存中的竞争条件，导致潜在的 use-after-free 场景。
• CVE-2025-4516：修复了 CPython 的 bytes.decode("unicode_escape", errors="ignore|replace") 中的 use-after-free 问题，防止了内存损坏。

python311:

• CVE-2025-4516：修复了 CPython 的 bytes.decode("unicode_escape", errors="ignore|replace") 中的 use-after-free 问题，可能导致内存损坏。

libssh

• CVE-2025-4877：二进制到 base64 转换函数中超出边界写入。
• CVE-2025-4878：privatekey_from_file() 中未初始化变量的使用。
• CVE-2025-5318：sftp 服务器处理管理中的可能超出边界读取。
• CVE-2025-5351：导出密钥的函数中的双重释放。
• CVE-2025-5372：ssh_kdf() 在某些失败情况下返回成功代码。
• CVE-2025-5449：sftp 服务器消息解码中的可能超出边界读取。
• CVE-2025-5987：使用 OpenSSL 后端的 chacha20 poly1305 的无效返回代码。

Salt:

• CVE-2024-38822：修复了 Salt 文件客户端功能中的不当访问控制。
• CVE-2024-38823：解决了来自不受信任的 pillar 数据的命令注入风险。
• CVE-2024-38824：修补了 Salt 事件系统中不安全的序列化问题。
• CVE-2024-38825：解决了通过未经正确清理的路径导致的目录遍历问题。
• CVE-2025-22240：修复了通过精心设计的 Salt minion 返回执行远程命令的问题。
• CVE-2025-22236：在特定条件下，Salt minion 可能会覆盖意外的文件。
• CVE-2025-22241：解决了由格式错误的 Salt 返回有效负载引起的拒绝服务问题。
• CVE-2025-22237：解决了 Salt master 记录敏感返回数据的漏洞。
• CVE-2025-22238：修补了调试日志中 minion 密钥的暴露问题。
• CVE-2025-22239：解决了配置不当的 ACL 导致权限升级的问题。
• CVE-2025-22242：修复了 Salt ssh 模块中的输入验证问题。

xorg-x11-server:

• CVE-2025-49176：修复了绕过大小检查的整数溢出漏洞。

libtpms 0.10.1:

• CVE-2025-49133：修复了 libtpms 的 CryptHmacSign 函数中的越界读取漏洞，该漏洞可能由恶意命令触发到 TPM 2.0/vTPM，导致服务中断。

ClamAV:

• CVE-2025-20260：PDF 解析器缓冲区溢出，允许 DoS 或使用大型扫描限制进行远程代码执行。
• CVE-2025-20234：UDF 解析器缓冲区溢出，可能导致数据泄露或拒绝服务。

gdm:

• CVE-2025-6018：身份验证堆栈中使用 pam_env 带来的安全风险。

pam_pkcs11:

• CVE-2025-6018：与 gdm 中的问题相同——身份验证堆栈中使用 pam_env。

jq 1.8.0:

• CVE-2024-23337：jvp_array_write 和 jvp_object_rehash 中的有符号整数溢出。
• CVE-2024-53427：解析 JSON 时拒绝 NaN 并带有有效负载。
• CVE-2025-48060：jv_string_vfmt 中的堆缓冲区溢出。

pam 1.7.1:

• CVE-2024-10963：pam_access 不正确地将显示令牌解析为主机名。
• CVE-2025-6020：pam_namespace 中的权限提升。

xwayland 24.1.7:

• CVE-2025-49175：修复了与动画光标相关的 X 渲染扩展中的越界访问问题。
• CVE-2025-49176：防止了大请求扩展中的整数溢出。
• CVE-2025-49177：防止了 XFIXES 扩展中的数据泄露。
• CVE-2025-49178：确保正确处理输入缓冲区字节以忽略它们。
• CVE-2025-49179：解决了 X 记录扩展中的整数溢出问题。
• CVE-2025-49180：修复了 RandR 扩展中的整数溢出问题，防止了潜在的崩溃或内存损坏。

yelp 42.3:

• CVE-2025-3155：修补了 Yelp 帮助查看器中的 JavaScript 执行漏洞，允许通过精心设计的帮助文档读取任意文件。

perl-CryptX 0.87.0:

• CVE-2025-40914：修复了 CryptX，它嵌入了易受整数溢出的 libtommath 库的版本。

glib2 2.84.3:

• CVE-2025-6052：修补了 GLib 的 GString 扩展中的整数溢出 (g_string_maybe_expand)，防止了潜在的缓冲区溢出。

建议用户更新到最新版本以缓解这些漏洞。

结论

六月有多个漏洞修复，还有多个固件包更新到 20250613 版本。这包括对 Qualcomm、联发科、瑞昱和 Cirrus 音频芯片的改进，以及蓝牙固件升级和更好的符号链接处理。此外，还有多个 Xfce 面板插件更新（mailwatch、mount、mpc、netload、notes、places 和 sensors）到新版本。这些软件包更新是为了过渡到 Meson 构建，替换过时的依赖项（如 Exo），替换为 libxfce4ui 4.21.0，自动化版权管理，改进代码结构，修复构建警告并更新翻译。安全是本月的一个主要主题，Firefox、Python、Salt、ClamAV、libssh 等中的关键漏洞已得到修补。祝您更新愉快！

缓慢推出

请注意，这些更新也适用于 Slowroll，并且在 Tumbleweed 快照发布后平均 5 到 10 天到达。这种每月的方法已经保持了几个月，确保了稳定性和为用户提供及时的增强功能。Slowroll 的更新软件包会定期通过电子邮件发布在 openSUSE Factory 邮件列表 上。

为 openSUSE Tumbleweed 做出贡献

通过订阅 openSUSE Factory 邮件列表，及时了解最新的快照。对于想要贡献或想要参与详细技术讨论的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表 。openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。

您的贡献和反馈使每次更新的 openSUSE Tumbleweed 变得更好。无论您是报告错误、建议功能还是参与社区讨论，您的参与都备受重视。