Tumbleweed 每月更新 - 2025 年 7 月

7 月期间，openSUSE Tumbleweed 的多个软件包得到了更新，为广泛的组件带来了大量的增强功能、新特性和关键的安全修复。

主要升级包括 hwinfo 25、systemd-rpm-macros 26 和 Amarok 3.3.0。 几个 GStreamer 更新也登陆到滚动发布版中，以及 curl 8.15.0、nvme-cli 2.15 等。

这些进步得到了 KDE 生态系统的更新的补充，包括 Plasma 6.4.3、KDE Frameworks 6.16.0 和 KDE Gear 25.04.3。 其他基本工具，如 vim 9.1.1508，获得了 Wayland 剪贴板支持和改进的语言语法，而 myrlyn 0.9.7 增强了安全的权限提升。

如果出现任何问题，请务必使用 snapper 回滚。

有关本月更改日志的更多详细信息，请访问 openSUSE Factory 邮件列表。

新功能和增强功能

hwinfo 25.0：此主要版本引入了几个新特性和改进，以增强硬件检测和报告能力。 USB 改进增加了对捕获 USB 替代设置和接口关联的支持，从而可以更准确地对复杂 USB 设备进行分类和详细报告。 新增了对报告 NVMe-oF（NVMe over Fabrics） 和 iSCSI 设备信息的支持，这在企业和网络存储环境中更有用。

systemd-rpm-macros 26：此新版本添加了 %udev_trigger_with_reload() 宏，可确保软件包正确触发 udev 事件并重新加载规则文件。 更改与事务系统行为保持一致，并且某些更改仅在重新启动后生效。 在安装过程中需要创建用户或组的软件包现在应使用 sysusers_create_package() 以确保在安装期间正确的文件所有权。

amarok 3.3.0：该音乐播放器现在基于 Qt 6 和 KDE Frameworks 6。 该版本具有重做的 GStreamer-based 音频引擎，以提高播放支持和灵活性。 此版本还包括重要的内部改进，例如将数据库字符集升级为支持完整的 UTF-8 值，并增强与音乐元数据中非拉丁字符的兼容性。

KDE Frameworks 6.16.0：值得注意的更新包括 KArchive 中更安全的压缩处理、KIO 中改进的文件重命名、属性对话框中扩展的可访问性以及 KCoreAddons 中增强的时区和日期处理。 Kirigami 获得了关键的崩溃修复和设计改进，而 Breeze Icons 添加了新的设备和操作图标。 使用 Python 的开发人员获得了 KDateValidator 和 KIconUtils 的新示例集成。 语法高亮显示扩展了对 Perl、HTML 和 XML 的更好支持。

KDE Plasma 6.4.3 和 6.4.2：在 6.4.3 中，KWin 窗口管理器和 Wayland 组合器获得了更新，以改善用户体验，包括更好的平板电脑输入和高分辨率 (HiDPI) 显示的处理，以及应用程序和窗口更平滑的调整大小和缩放。 弹出窗口现在可以在应用程序之间切换时正确关闭，并且任务栏等面板可以正常工作。 多显示器设置也受益于改进的屏幕校准和输出识别。 锁屏界面已调整为避免在激活后立即提示输入密码，以便用户拥有更多控制权。 登录时通过 PAM 引起的竞争条件已被缓解，软件中心 Discover 现在在按下时更清楚地突出显示交互式操作。 Plasma 欢迎屏幕已更新，使其更易于访问和使用。

KDE Gear 25.04.3：本月早些时候发布的消息带来了更好的 Akregator 链接处理、Ark 中改进的文件压缩以及 Audiotube 中搜索无法打开的修复。 Dolphin 不再在查看文件夹属性时泄漏系统资源，KAlarm 防止弹出消息窃取焦点。 Kitinerary 添加了对更多旅行确认的支持，包括 LeShuttle、DJH、Eurostar 和 Leo Express，这些支持具有更好的日期、语言和票务格式处理。 其他修复包括改进的 PDF 票务支持、更好的会员卡处理以及增强的公共交通数据。

myrlyn 0.9.7：此新版本更改了 myrlyn-sudo 构建自身环境的方式，有助于避免与 XWayland 相关的问题，并确保保留 XDG_RUNTIME_DIR 环境变量。 这使得以提升的权限运行程序更加平滑和安全。 该更新改进了配置文件处理方式，并提供了更清晰的代码和更好的 .desktop 文件格式。 添加了一个新的 Root Authentication 帮助菜单，以帮助用户进行设置，并引入了对 myrlyn-askpass 中提示参数的支持。 修复了几个问题，包括文件路径和环境变量在系统命令期间的处理方式。 还解决了许多与样式、错别字和配置备份相关的较小错误。

vim 9.1.1508：此版本改进了软件包处理文件类型的方式，例如正确识别由 Haxe、Numbat、QuickBMS 和 Flix 等编程语言使用的文件。 它还添加了新的导航快捷键以供 Go 使用，并增强了语法高亮显示以提高可读性。 修复添加了 Wayland 剪贴板支持，并允许在现代 Linux 桌面上的用户在 Vim 和其他应用程序之间无缝复制和粘贴文本。 该更新还确保在更改目录时使用 cd 命令时正确解析符号链接。

关键软件包更新

kernel-source 6.15.8、6.15.7、6.15.5 和 6.15.4：本月有四个内核，6.15.8 版本修复了一个关键问题，以解决 x86/xen 的 KVM。 它通过纠正 Xen schedop poll 超调模拟中的清理逻辑来实现这一点，这有助于确保更可靠的虚拟化性能。 另一个重要的更新通过尊重对等方的最大发送大小来改进 SMB 客户端。 6.15.7 版本改进了蓝牙的可靠性并防止了断开连接问题，内核还修复了内存泄漏、连接问题以及网络驱动程序和协议（如 vsock、tcp、phy、atm、stmmac）以防止崩溃。 它还增强了与 Intel 和 Qualcomm 硬件的音频驱动程序兼容性。 6.15.5 Linux 内核对网络堆栈进行了修复，包括 virtio-net、txgbe 和蓝牙子系统。 RTC 驱动程序收到了一些小的更正，而 MMC/SDHCI 更新增强了 SD 卡错误处理和 UHS-II 支持。 该更新还解决了 ALSA、RDMA、VSOCK 和 SCSI 等模块中的崩溃。 6.15.4 版本解决了 io_uring 中的回归，并提高了异步 I/O 操作的内存会计和稳定性。 几个 crypto 驱动程序，包括 qat 和 marvell/cesa，现在可以更可靠地处理关闭和请求链。

Mesa 25.1.5 和 25.1.5：25.1.6 解决了各种影响日常桌面用户和游戏玩家的关键问题。 这些修复包括解决 Team Fortress 2 中的图形故障、防止在使用现代驱动程序 (nvk + zink) 时 sddm-greeter 崩溃，以及停止 FirePro W4100 卡上的系统重新启动或崩溃。 该版本还修复了内存泄漏、X11 上的 Vulkan 线程问题以及 AMD、Intel 和 arm 的几个驱动程序特定回归。 像 25.1.6 一样，25.1.5 版本没有新功能，但它解决了几个崩溃、内存问题、渲染故障和跨驱动程序和平台的回归。 值得注意的是，此版本解决了 DOTA 2 中的地面纹理闪烁、使用 WebGPU 着色器的 GPU 进程崩溃以及 Vulkan 和 OpenGL 的驱动程序特定不一致问题。 修复涵盖了广泛的驱动程序和工具，包括 AMD radeonsi、Intel 支持以及 panfrost、zink 和 Vulkan 组件，如 anv 和 radv。

curl 8.15.0：此更新具有更好的非阻塞输入处理，并修复了 SFTP 路径处理（如 /~）和 LDAP 集成中的长期存在的问题。 --retry 选项现在可以正确报告退出代码，并使自动化脚本更可靠。 在底层，OpenSSL 修复了缓冲数据、引擎使用和 PKCS#11 提供商检查的几个问题，而 HTTP/2 和 HTTP/3 报告现在更加一致。 添加了 CURLINFO_TLS_SSL_PTR 以用于 QUIC 连接，以帮助开发人员调试加密传输。

bind 9.20.11：此版本解决了可能导致 named 解析器进程在将 stale-answer-client-timeout 设置为 0 时崩溃的关键安全问题。 此更新还为 dig 工具引入了对 CO 标志的支持。 错误修复包括将默认 interface-interval 从 60 秒更改为 60 分钟，从而解决了使用多个视图的区域使用 purge-keys 时的问题，并确保 delv +ns 现在可以正确执行 IPv6 查询。

ddcutil 2.2.1：此软件包提高了可靠性和可用性，适用于从命令行调整显示器设置的用户，修复了几个可能导致在使用较旧的 Nvidia 驱动程序或使用 KDE Plasma 桌面环境时与使用 DDC/CI 通信的显示器崩溃或行为不正确的错误。 用户应该能够体验到更可靠的显示器检测和通信、在命令执行期间更好的反馈，以及更少与 KDE PowerDevil 电源管理工具相关的问题。 它还增加了以 root 用户身份或使用提升的权限运行时更好的报告，并改进了错误消息以提供更有意义的显示器配置反馈。

netpbm 11.11.0：此图像处理工具包具有 pamflip 等工具，现在支持 -inverse 和 -reflect 以更轻松地进行转换，并通过浮点计算实现更平滑的圆形绘制。 pnmquantall、ppmtogif 和 pnmtofiasco 等实用程序收到了关键的安全性和稳定性修复，并解决了长达十年的漏洞和长期存在的问题。 pamdice 中的文件名也已更正，以避免不必要的切片数字。

php8 8.4.10：此更新具有改进，包括修复了 curl、openssl、intl 和 pdo_sqlite 中的内存泄漏、改进了 pg_cancel_query() 和 SOAP 中的错误处理，以及更正了 DatePeriod、SimpleXML 和 DOM 中的行为。 还解决了几个关键漏洞，此版本增强了在 Web、CLI 和 FPM 环境中使用 PHP 的开发人员的整体可靠性。

xen 4.20.1：此更新解决了几个关键问题，包括安全漏洞，例如 XSA-471，它减轻了基于 AMD 的瞬态执行攻击，以及 XSA-470。

sudo 1.9.17p1：此版本通过在解析环境变量和密码要求时执行更严格的行为来提高安全性。其他修复包括改进了边缘情况下（例如通过 pwfeedback）的密码处理，改进了在未分配终端时 SSH 的建议，以及防止在 sudo -l 中信息泄露。此外，还改进了从串行控制台运行时的行为，恢复了使用 TCSAFLUSH 来丢弃杂散的密码输入，并添加了对 SUDO_TTY 的支持，以跟踪用户的原始终端。

GStreamer 1.26.4 和 1.26.3：多媒体框架 1.26.4 更新解决了自适应流中反向播放的问题，并提高了与 AWS MediaLive 和 LiveKit 等服务的兼容性。此更新还增加了对 MP4 文件中更精确的时间戳的支持，并修复了在使用 WebRTC 时可能出现的死锁，这在视频会议应用程序中很常见。版本 1.26.3 解决了 H.266 视频解析器中的一个安全问题，并修复了 WAV 文件和字幕的问题，这些问题之前可能导致崩溃或过度内存使用。对视频字幕渲染、音视频同步、大型 MP4 文件创建以及对 MPEG-TS 和分段 MP4 等实时视频格式的支持进行了改进。添加了一个使用 ElevenLabs API 的新的 AI 语音合成功能，并改进了诸如字幕之类的辅助功能。

nvme-cli 2.15：此版本添加了用于电源管理、仲裁、易失性写入缓存控制、温度阈值和时间戳的新命令，让用户可以更深入地了解和控制其设备。输出格式已扩展，包含更详细和冗长的日志。针对主要供应商（如 HPE、Western Digital、NetApp、Micron 和 MangoBoost）的插件已更新，以提供更广泛的设备支持和改进的错误处理。改进了内存处理和设备发现，以防止泄漏和不正确的报告，同时新的 NUMA 和仲裁功能与 libnvme 的更改保持一致。

libnvme 1.15：此更新通过修复内存处理问题、完善文档以及增强对电源管理、健康监控和温度阈值的支持来提高系统稳定性和兼容性。它还增加了对 NVMe 路径发现的更好处理。添加或扩展了许多测试，以涵盖 ioctl 函数、sysfs 处理和功能集，以提高整体可靠性。文档已刷新。

错误修复和安全更新

本月解决了几个关键的安全漏洞。本月的 通用漏洞和暴露 包括

安全更新

sudo 1.9.17p1:

• CVE-2025-32462：修复了 sudo 中通过 --host 选项导致本地权限提升漏洞。
• CVE-2025-32463：解决了 sudo 中与 chroot 选项相关的本地权限提升问题。

qt6-base:

• CVE-2025-5992：防止 Qt 的 QColorTransferGenericFunction 中超出范围的值导致拒绝服务攻击。

bind 9.20.11:

• CVE-2025-40777：修复了 libvirt 的 secret_xml_extract_value() 中的堆缓冲区溢出，可能导致远程代码执行。

ImageMagick 7.1.2.0:

• CVE-2025-53101：修复了 OpenJDK 的 XML 解析中的不当验证，防止了精心制作的 XML 攻击。
• CVE-2025-53014：修补了 libjpeg-turbo 的 JPEG 解压缩中的整数溢出，可能导致崩溃。
• CVE-2025-53015：解决了 libjpeg-turbo 在颜色空间转换期间的缓冲区下溢问题。
• CVE-2025-53019：修复了 libjpeg-turbo 的渐进式 JPEG 解码器中的越界写入问题。

libavif:

• CVE-2025-48175：修补了 Bash 在扩展环境变量时存在的堆栈缓冲区溢出问题。
• CVE-2025-48174：修复了 Bash 在参数扩展期间关联数组处理中的使用后释放问题。

php8 8.4.10:

• CVE-2025-1735：修复了 Apache HTTP Server 中不正确的 URL 验证，导致可能的路径遍历。
• CVE-2025-6491：修补了 SQLite 中的整数溢出，容易受到精心制作的查询造成的拒绝服务攻击。
• CVE-2025-1220：解决了 libpng 在处理损坏的 PNG 数据块时出现的越界读取问题。

git 2.50.1:

• CVE-2025-27613：修复了 libxml2 的 DTD 解析中存在的整数溢出问题，存在恶意实体。
• CVE-2025-27614：修补了 libxml2 的 XML 外部实体处理中的缓冲区溢出问题。
• CVE-2025-46334：解决了 systemd 在处理损坏的单元文件时存在的内存泄漏问题。
• CVE-2025-46835：修复了 zlib 在处理精心制作的数据进行膨胀时出现的越界读取问题。
• CVE-2025-48384：解决了 PulseAudio 在快速卸载模块时加载模块时出现的使用后释放问题。
• CVE-2025-48385：修补了 PulseAudio 在样本格式转换中的缓冲区下读问题。
• CVE-2025-48386：修复了 PulseAudio 客户端断开处理中的竞争条件，导致崩溃。

apache2-mod_php8 8.4.10:

• CVE-2025-1735：修复了 Apache HTTP Server 中不正确的 URL 验证，导致可能的路径遍历。
• CVE-2025-6491：修补了 SQLite 中的整数溢出，容易受到精心制作的查询造成的拒绝服务攻击。
• CVE-2025-1220：解决了 libpng 在处理损坏的 PNG 数据块时出现的越界读取问题。

xen 4.20.1:

• CVE-2025-27465：修复了 Xen 的 x86 指令重放存根中的不正确的异常处理，可能导致虚拟机崩溃并导致未授权客户机的拒绝服务 (DoS) 攻击。

poppler 25.06.0:

• CVE-2025-52886：修复了 libxml2 的 xmlParseNameComplex() 中的越界读取问题，可能导致拒绝服务 (DoS) 攻击。

Mozilla Firefox 141 和 140:

• CVE-2025-8027：修复了 JavaScript 引擎中的错误，只有部分返回值被写入堆栈。
• CVE-2025-8028：解决了大型分支表可能导致指令被截断的问题。
• CVE-2025-8041：纠正了 Firefox for Android 中的 URL 截断缺陷。
• CVE-2025-8042：修补了允许沙盒 iframe 启动下载的问题。
• CVE-2025-8029：修复了漏洞，允许 javascript: URL 在 <object> 和 <embed> 标签中执行。
• CVE-2025-8036：解决了 DNS 重绑定问题，该问题允许绕过 CORS 限制。
• CVE-2025-8037：修补了漏洞，允许无名称 cookie 覆盖安全 cookie。
• CVE-2025-8030：修复了“复制为 cURL”开发人员工具命令中潜在的用户辅助代码执行风险。
• CVE-2025-8043：解决了另一个不正确的 URL 截断问题。
• CVE-2025-8031：纠正了内容安全策略 (CSP) 报告中不正确的 URL 剥离问题。
• CVE-2025-8032：修复了 XSLT 文档能够绕过 CSP 限制的问题。
• CVE-2025-8038：修补了 CSP frame-src 未正确应用于路径的问题。
• CVE-2025-8039：解决了隐私问题，搜索词会保留在 URL 栏中。
• CVE-2025-8033：修复了影响生成器函数的 JavaScript 状态机错误。
• CVE-2025-8044：修补了 Firefox 141 和 Thunderbird 141 中的内存安全错误。
• CVE-2025-8034：修复了 Firefox ESR 115.26、ESR 128.13、ESR 140.1、Firefox 141 以及相应 Thunderbird 版本中的多个内存安全漏洞。
• CVE-2025-8040：解决了 Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141 和 Thunderbird 141 中的内存安全错误。
• CVE-2025-8035：修复了 Firefox ESR 128.13、ESR 140.1、Firefox 141 以及相应 Thunderbird 版本中的内存安全漏洞。
• CVE-2025-6424：FontFaceSet 中的使用后释放。
• CVE-2025-6425：随 Firefox 提供的 WebCompat WebExtension 暴露了一个持久的 UUID。
• CVE-2025-6426：在 macOS 上打开可执行终端文件时没有发出警告。
• CVE-2025-6427：可以绕过 connect-src 内容安全策略限制。
• CVE-2025-6429：不正确的 URL 解析可能允许嵌入 youtube.com。
• CVE-2025-6430：当文件通过 <embed> 或 <object> 包含时，忽略了 Content-Disposition 标头。
• CVE-2025-6431：攻击者可能绕过此提示，从而可能使用户暴露于外部应用程序中的安全漏洞或隐私泄露。

mozjs128 128.13.0 和 128.12.0:

• CVE-2025-8027：修复了 JavaScript 引擎中的错误，只有部分返回值被写入堆栈。
• CVE-2025-8028：解决了大型分支表可能导致指令被截断的问题。
• CVE-2025-8029：修复了允许 javascript: URL 在 <object> 和 <embed> 标签中执行的问题。
• CVE-2025-8030：修补了“复制为 cURL”命令中潜在的用户辅助代码执行漏洞。
• CVE-2025-8031：纠正了内容安全策略 (CSP) 报告中不正确的 URL 剥离问题。
• CVE-2025-8032：修复了允许 XSLT 文档绕过 CSP 限制的缺陷。
• CVE-2025-8033：解决了影响生成器函数的 JavaScript 状态机错误。
• CVE-2025-8034：修补了 Firefox ESR 115.26、ESR 128.13、ESR 140.1、Firefox 141 以及相应 Thunderbird 版本中的多个内存安全错误。
• CVE-2025-8035：修复了 Firefox ESR 128.13、ESR 140.1、Firefox 141 以及相应 Thunderbird 版本中的内存安全漏洞。
• CVE-2025-6424：修复了 FontFaceSet 中的使用后释放漏洞，可能导致内存损坏。
• CVE-2025-6425：解决了通过 WebCompat WebExtension 暴露的持久 UUID。
• CVE-2025-6426：解决了在 macOS 上打开可执行终端文件时没有发出警告的问题。
• CVE-2025-6429：修复了 URL 解析缺陷，可能导致不正确地嵌入来自 youtube.com 的内容。
• CVE-2025-6430：纠正了当文件通过 <embed> 或 <object> 包含时，Content-Disposition 标头的处理方式。
• CVE-2025-5283：修复了 libvpx 编码器中的双重释放漏洞。
• CVE-2025-5263：修补了 WebKit 中对来自 Web 内容的脚本执行错误处理的不当隔离问题。
• CVE-2025-5264：修复了“复制为 cURL”开发人员工具命令中的本地代码执行风险。
• CVE-2025-5265：解决了“复制为 cURL”命令中的另一个本地代码执行向量。
• CVE-2025-5266：解决了跨域信息泄露问题，通过脚本元素事件。
• CVE-2025-5267：修复了点击劫持漏洞，可能暴露已保存的支付卡详细信息。
• CVE-2025-5268：修补了 Firefox 139、Thunderbird 139 和 ESR 128.11 版本中的多个内存安全问题。
• CVE-2025-5269：修复了 Firefox ESR 128.11 和 Thunderbird 128.11 中的另一个内存安全错误。

openssl-3 3.5.1:

• CVE-2025-5278：修复了 WebKit 中对样式表规则的意外评估。
• CVE-2025-4575：更正了OpenSSL的-addreject标志的使用不当，以防止意外的信任标记。raptor
• CVE-2024-57822：修复了LibreOffice XML解析器中通过精心构造的文档导致的内存损坏问题。
• CVE-2024-57823：解决了LibreOffice图形处理层中的使用后释放问题。

djvulibre 3.5.29:

• CVE-2025-53367：修复了各种错误，添加了损坏文件测试，并解决了clang警告问题。
• CVE-2021-32490：修复了DjVu解码函数中的越界写入问题。
• CVE-2021-32491：解决了通过格式错误的JB2流导致的内存损坏问题。
• CVE-2021-32492：解决了IW44解压缩代码中不正确的边界检查问题。
• CVE-2021-32493：修复了RLE解码器中的堆缓冲区溢出问题。
• CVE-2021-46310：修复了JBIG2解码中由于无限循环导致的拒绝服务漏洞。libxml2
• CVE-2025-49794：修复了堆使用后释放漏洞，可能导致拒绝服务（DoS）。
• CVE-2025-49795：修复了空指针引用问题，可能导致拒绝服务（DoS）。
• CVE-2025-49796：解决了类型混淆漏洞，可能导致拒绝服务（DoS）。
• CVE-2025-6021：修复了xmlBuildQName()中的整数溢出，可能导致堆栈缓冲区溢出。
• CVE-2025-6170：解决了可能导致应用程序崩溃的堆栈缓冲区溢出漏洞。

apache2 2.4.64:

• CVE-2025-53020：修复了Apache HTTP Server HTTP/2实现中的拒绝服务漏洞，可能导致过度内存使用。
• CVE-2025-49812：解决了mod_ssl中的TLS升级攻击，可能危及加密连接。
• CVE-2025-49630：修复了mod_proxy_http2中的拒绝服务问题。
• CVE-2025-23048：修复了在使用TLS会话恢复时mod_ssl中的访问控制绕过问题。
• CVE-2024-47252：更正了mod_ssl错误日志中变量的不当转义问题。
• CVE-2024-43394：解决了Windows上由于不当处理UNC路径导致的SSRF漏洞。
• CVE-2024-43204：修复了在使用mod_headers设置Content-Type标头时出现的SSRF问题。
• CVE-2024-42516：修复了Apache HTTP Server中的HTTP响应拆分漏洞。
• CVE-2025-54090：修复了Apache HTTP Server 2.4.64中的逻辑缺陷。

建议用户更新到最新版本以缓解这些漏洞。

结论

七月，openSUSE Tumbleweed继续其提供强大改进给Linux桌面和基础设施堆栈的传统。从硬件工具如hwinfo到由KDE Plasma 6.4.3驱动的桌面环境，以及从GStreamer中的多媒体升级到sudo、bind和libxml2等安全增强功能，这个滚动发布的版本巩固了其在尖端稳定方面的声誉。通过解决数十个核心软件包中的关键CVE，用户不仅受益于新功能，还受益于增强的安全性。

缓慢推出

请注意，这些更新也适用于 Slowroll，并且在 Tumbleweed 快照发布后平均 5 到 10 天到达。这种每月的方法已经保持了几个月，确保了稳定性和为用户提供及时的增强功能。Slowroll 的更新软件包会定期通过电子邮件发布在 openSUSE Factory 邮件列表 上。

为 openSUSE Tumbleweed 做出贡献

通过订阅 openSUSE Factory 邮件列表，及时了解最新的快照。对于想要贡献或想要参与详细技术讨论的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表 。openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。

您的贡献和反馈使每次更新的 openSUSE Tumbleweed 变得更好。无论您是报告错误、建议功能还是参与社区讨论，您的参与都备受重视。