Tumbleweed 每月更新 - 2025 年 8 月

在 8 月期间，openSUSE Tumbleweed 滚动发布版用户收到了多个软件更新，带来了新功能、性能改进和一些重要的安全修复。

主要更新包括支持新的 C 标准的 glibc 2.42、VirtualBox 7.2.0 和改进脚本处理并添加了新内置函数的 Bash 5.3.3。KDE Gear 25.08.0 也已发布，以增强旅行、文件管理和加密通信应用程序。

这些更新与 xfce4-session 4.20.3 和 xfce4-settings 4.20.2 的改进、GStreamer 1.26.5、HarfBuzz 11.4.1 的多媒体改进以及通过 Mesa 25.1.7 更新实现的图形稳定性增强相辅相成。Kernel 6.16.0 通过显著集成 Raspberry Pi 5 RP1 芯片组扩展了硬件支持。

其他基本工具也取得了进展。请阅读下文，并始终使用 snapper 回滚，以防出现任何问题。

有关本月更改日志的更多详细信息，请访问 openSUSE Factory 邮件列表。

新功能和增强功能

KDE Gear 25.08.0：这是针对 KDE Plasma 用户，专注于旅行、生产力和可用性的应用程序更新浪潮。Itinerary 获得了重大升级，允许用户手动添加行程、查看实时地图、检查延误，甚至查找渡轮和航班替代方案。Dolphin 添加了更快的的文件搜索、Filelight 的直接集成以可视化磁盘使用情况，以及更多的排序和视图选项。Akonadi 将内存使用量减少了高达 75%，从而使电子邮件、联系人和日历同步更加顺畅，而 Kleopatra 现在支持多个加密记事本。Neochat 引入了投票，Angelfish 改进了浏览快捷方式。这是一个全面的版本，使 KDE 应用程序更快、更智能、更适合旅行。

xfce4-session 4.20.3：此更新改进了 Xfce 用户，尤其是在 Wayland 上的启动速度和稳定性。自动启动超时已减少，使会话启动更快，从而解决了启动缓慢的问题。 多个增强功能改进了 Wayland 集成，包括更好的键盘布局检测、避免重复的 D-Bus 会话以及删除不必要的设置，例如 SDL 视频驱动程序变量。 屏幕投射支持已通过更新的门户配置得到改进，并添加了 Labwc（一种与 Wayland 兼容的窗口管理器）的默认设置。 这些更新使 Xfce 会话更具响应性并得到更好的优化。

xfce4-settings 4.20.2：Xfce 设置更新修复了内存泄漏，并增强了读取硬件标识数据时的安全性。 该更新改进了 X11 和 Wayland 上的显示处理，并确保正确处理屏幕模式和标志，以减少与显示服务器的不必要的通信。 调试日志已得到改进，以便于故障排除，并且次要的构建系统更新可确保在运行时正确包含资源。

glibc 2.42：此版本添加了对最新的 ISO C23 和即将到来的 C2Y 标准的支持，其中包括新的数学函数，如 pown、rsqrt 和 compoundn。 性能得到了改进，内存分配器得到了增强，新的轻量级堆栈保护功能有助于防止堆栈溢出攻击。

VirtualBox 7.2.0：此版本重新设计了界面，使工具更易于访问。 在基于 ARM 的系统上，VirtualBox 现在支持运行 Windows 11 ARM 虚拟机，从而扩展了开发人员和测试人员的兼容性。 Linux 用户通过启用 3D 支持时的硬件加速视频解码获得了改进的视频播放性能。 此外，NVMe 存储控制器模拟已移动到开源基础包中，并默认向所有用户提供高级存储功能。

Bash 5.3.3：Bash 修复了 wait 命令在 POSIX 模式下处理进程 ID 的方式，并改进了脚本检测，方法是检查前两行。 shell 现在更好地保留了命令完成期间的引号，并报告了脚本中更准确的错误位置。 新功能包括用于控制文件名排序的 GLOBSORT 变量、用于更快命令替换而不进行分叉的 ${ command; } 语法以及新的内置函数，如 strptime 和 kv。 通过删除对 shm_open 的过时依赖并改进完成期间的信号处理来增强安全性和稳定性。 这些更改使开发人员和系统管理员的日常终端使用更加顺畅和可预测。

GStreamer 1.26.5：此版本修复了音频转换中的回归，防止在没有可用解码器的 URI 添加时发生崩溃，并解决了视频分辨率更改期间的内存泄漏。 现在，JPEG XS 等现代格式可在 videorate 和 imagefreeze 中使用，并且通过 Mesa 25.1.7 更新实现了图形稳定性增强。 这些修复带来了更流畅的媒体播放、更少的故障和更好的性能。

HarfBuzz 11.4.1, 11.4.3, 11.4.4：文本塑形引擎引入了对塑形和字体子集化的通用加速，使显示复杂文本的应用程序更快、更具响应性。 准确性得到了提高，通过修复影响某些字体中标记字形的回归，并纠正子集化期间标记过滤集的修剪，这之前会导致意想不到的塑形更改。 Graphite 后端现在可以正确处理字形间距可能变为负数的情况，从而提高文本布局质量。 子集化通过删除未使用的标记附件查找来进一步优化，以减小字体大小，并提供了一个新的实验性塑形后端，以实现灵活性，用于测试和性能评估。

ModemManager 1.24.2：此更新修复了 CDMA/EVDO 检测、NB-IoT 报告和手动注册刷新方面的问题。 它通过确保承载器在暂停之前断开连接，并在快速暂停/恢复周期期间禁用不需要的 3GPP 事件来增强系统稳定性。

关键软件包更新

Kernel Source 6.16.0：Linux 内核的最大新增功能之一是扩展了对 Raspberry Pi 5 的支持，通过集成 RP1 芯片组，以便人们可以看到它与 openSUSE arm 开发一起使用。 添加了新的驱动程序和配置以启用 RP1 时钟、GPIO、引脚控制和各种设备功能，确保与 Raspberry Pi 最新硬件的完全兼容性。 包含多个安全性和稳定性修复，例如解决 Btrfs 日志树恢复、SPI 属性处理以及 FIPS 模式中的 HKDF 加密操作方面的问题。 刷新了 ARM 和 x86 平台的配置文件。 此版本还改进了设备树绑定和时钟管理，同时解决了多个驱动程序和体系结构特定问题。

Mesa 25.1.7：此 3D 图形包更新解决了 Zink 中的高 GPU 使用率、Chromium 加速视频解码中的崩溃、X11 图像获取段错误以及一些视频颜色转换错误等问题。 修复还解决了性能回归、时间线信号量上的竞争条件、Lavapipe 中 Vulkan 设备创建问题以及一些 RadeonSI 和 RADV 驱动程序问题。 虽然没有引入新功能，但此版本提高了 OpenGL 和 Vulkan 实现的可靠性。

btrfsprogs 6.16：此更新改进了 Btrfs 文件系统处理数据和存储的方式。 它修复了分区不正确的尺寸报告，防止意外覆盖现有文件系统，并添加了更好的存储设备功能检测。 还有一个新的选项可以在碎片整理期间禁用文件压缩，以及改进的 Android 构建支持和更新的文档。

NetworkManager-openvpn 1.12.2：此更新提高了 OpenVPN 连接在 NetworkManager 中的稳定性和安全性。 它修复了一个无效或过期的身份验证挑战被重用的错误，以确保更安全的连接处理。 添加了对 data-ciphers 选项及其回退设置的支持，以及一个图形界面来更轻松地管理这些设置。 身份验证对话框已更新为 GTK4，外观更现代，并且改进了证书处理，方法是将它们导入到用户的数据目录中。 其他修复改进了密码导出处理、翻译更新和整体可靠性。

git 2.51.0：此更新引入了一种更好的方法来保存和移动某些更改在仓库之间，提高了推送和获取更新时的性能，并添加了对 OAuth2 等现代身份验证的支持。 Git 也在为版本 3.0 做准备，它将包括更快的存储格式和默认情况下更强的 SHA‑256 安全性。

QEMU 10.0.3：此版本修复了 PCIe SR-IOV 配置中的关键问题，这些问题可能导致状态不同步（CVE-2025-54566、CVE-2025-54567），解决了网络后端中的缓冲区溢出，并纠正了寄存器处理和 CPUID 模拟中的错误。 此版本还改进了 HVF 上的 ARM 虚拟化，修复了 VNC 性能，并增强了具有 RSS 支持的 virtio-net 迁移。

hplip 3.25.6：HP Linux 打印软件现在支持更多打印机，包括 HP LaserJet Enterprise Flow MFP 8601z、HP Envy Photo 7900 系列和 HP OfficeJet Pro 9130 系列。它还修复了设置打印机时的崩溃问题，并提高了与某些配置文件之间的兼容性。

opensuse-welcome 0.1.10：安装 openSUSE 后出现的欢迎应用程序已得到简化。它现在在 GNOME 桌面自动隐藏自身，移除未使用选项，并添加了多种语言的新翻译，以提供更流畅的体验。

wireless-regdb 20250710：此更新改进了全球 Wi-Fi 兼容性。它添加了对多个国家/地区（包括英国、巴西、埃及、印度尼西亚和越南）使用 6 GHz 频段的更新法规，从而实现更快、更可靠的无线连接。

GTK3 3.24.50：主题已使用更新的 CSS、更好的符号图标支持和新的进度工作图标进行刷新，同时删除了对硬编码 Cantarell 字体的依赖。 GtkShortcutsWindow 现在在视觉上区分所有数字键盘符号，以提高可访问性。通过允许未沙盒化的应用程序向桌面门户注册，从而增强了集成，以提高在现代环境中的兼容性。重要的修复包括解决 Wayland 上的崩溃问题，改进 X11 上的窗口几何处理，并使组合序列视觉效果可配置，以获得更好的输入控制。打印支持已通过与 libcups 3 的兼容性得到改进。

libvirt 11.6.0：此版本具有一个新标志，允许在任何主机上计算基线 CPU 模型，这使得跨主机兼容性更容易。QEMU TLS 设置现在可以通过 qemu.conf 进行控制，有助于避免在实时迁移期间发生潜在的崩溃。对于 s390 域，已弃用的 CPU 模型功能现在默认禁用，以确保在将工作负载迁移到较新系统时的更好兼容性。 几个增强功能提高了可用性和兼容性，包括在 ARM 和 RISC-V 上将默认 SCSI 控制器模型切换为 virtio-scsi，以获得更好的操作系统支持。用户现在可以为块设备设置零丢弃粒度，帮助像 Windows 这样的系统避免不必要的磁盘修剪。已添加 bhyveload 的超时处理，以及对 NSS 模块的改进调试和放宽 TLS 证书要求，以更好地支持 TLS 1.3。

Qt 6.9.2：此更新包含更准确的 URL 处理、更严格的 QByteArray::toDouble() 解析、更好的字体系列支持以及窗口焦点和方向报告的修复。多媒体方面修复了崩溃问题，FFmpeg 集成更可靠。WebEngine 和 Wayland 的稳定性得到提高，而 QML 和 Qt Quick 解决了崩溃、渲染问题和输入故障。捆绑的库（如 SQLite、libpng、libjpeg-turbo 和 Harfbuzz）已更新，确保更安全可靠的开发基础。

PHP 8 8.4.12：此版本解决了属性处理、迭代器、生成器和编译器崩溃问题。LDAP、LibXML 和 MbString 获得了稳定性更新，以防止段错误和关机崩溃。Opcache 改进可防止使用已释放内存的错误以及与钩子和 JIT 重启相关的崩溃。OpenSSL 修复解决了不正确的返回值检查和密钥派生中的段错误。

错误修复和安全更新

tpm2-0-tss 4.1.3：此更新改进了 TPM2 软件堆栈的稳定性和 POSIX 合规性。版本 4.1.3 修复了在某些链接器上进行 dlopen() 时发生的名称冲突。版本 4.1.2 纠正了 configure.ac 中的 POSIX 合规性问题，并将对 which 的弃用替换为 command -v。版本 4.1.1 修复了在发布 tarball 中包含 .map 和 .def 文件的问题，确保正确打包。总而言之，此版本侧重于兼容性、更清晰的构建和跨受支持环境的增强可靠性。

本月解决了几个关键的安全漏洞。本月的 通用漏洞和暴露 包括

安全更新

postgresql 17.6:

• CVE-2025-8713：修复了 PostgreSQL 优化器统计信息可能在视图、分区或子表中暴露采样数据的问题。

• CVE-2025-8714：修补了 pg_dump 中的漏洞，允许源服务器上的超级用户在 psql 客户端中执行任意代码。 CVE-2025-8715：解决了 pg_dump 缺陷，对象名称中的换行符可能在 psql 客户端和还原目标服务器中触发任意代码执行。

QEMU 10.0.3:

• CVE-2025-54566：修复了迁移状态不一致问题，可能导致意外行为并可能导致拒绝服务。

• CVE-2025-54567：解决了 QEMU 的 SR-IOV 代码 (hw/pci/pcie_sriov.c) 中处理 VF 使能位写入掩码的逻辑缺陷，可能导致虚拟功能配置不当。

python-pycares 4.10:

• CVE-2025-48945：修复了 Python 模块 pycares 中的使用后释放漏洞，其中 Channel 对象可能在 DNS 查询仍在挂起时被垃圾回收，导致解释器崩溃。

**unbound **

• CVE-2025-5994：一种影响支持 EDNS 客户端子网 (ECS) 的缓存 DNS 解析器的多厂商缓存中毒漏洞——被称为“重生攻击”。这种隔离使攻击者能够利用生日悖论，使用非 ECS 毒害响应来猜测 DNS 事务 ID，从而污染缓存。

glibc:

• CVE-2025-7039：修复了一个可能导致内存损坏或不稳定性的缓冲区下溢漏洞。

Python:

• CVE‑2025‑8194：解决了 CPython 的 tarfile 模块中的高危无限循环和死锁缺陷。在解析包含负偏移量的恶意 .tar 归档文件时，易受攻击的代码无法正确验证这些偏移量，这可能导致无限循环和解析器死锁。该问题在 Python 3.14.0 中得到解决，并已回溯补丁。

GnuTLS 3.8.10:

• CVE-2025-6395：修复了 GnuTLS 的 _gnutls_figure_common_ciphersuite() 中的空指针引用，当第二个客户端 Hello 省略预共享密钥 (PSK) 时，可能导致内存损坏或拒绝服务 (DoS)。

• CVE-2025-32989：修补了 GnuTLS 在解析 X.509 证书时处理证书透明度 (CT) 签名证书时间戳 (SCT) 扩展时存在的堆缓冲区溢出漏洞。精心制作的 SCT 扩展可能会暴露敏感数据。

• CVE-2025-32988：解决了 GnuTLS 中 Subject Alternative Name (SAN) 导出逻辑中由于不正确的所有权处理而导致的两次释放漏洞。格式错误 OID 数据可能会触发两次释放内存，从而可能导致内存损坏或 DoS。

• CVE-2025-32990：修复了 GnuTLS 的 certtool 模板解析逻辑中的堆缓冲区溢出。在读取某些模板文件设置时，这可能会触发意图范围之外的空指针写入，从而导致内存损坏和 DoS。

建议用户更新到最新版本以缓解这些漏洞。

结论

八月的更新强化了为什么 openSUSE Tumbleweed 是一个卓越的滚动发布版，它始终带来现代标准、完善的桌面环境和快速的安全修复。从添加最先进的硬件支持到增强开发人员工具，该发行版继续以快速的步伐发展。用户可以可靠地享受稳定性、安全性和与开发步伐保持一致。

缓慢推出

请注意，这些更新也适用于 Slowroll，并且在 Tumbleweed 快照发布后平均 5 到 10 天到达。这种每月的方法已经保持了几个月，确保了稳定性和为用户提供及时的增强功能。Slowroll 的更新软件包会定期通过电子邮件发布在 openSUSE Factory 邮件列表 上。

为 openSUSE Tumbleweed 做出贡献

通过订阅 openSUSE Factory 邮件列表，及时了解最新的快照。对于想要贡献或想要参与详细技术讨论的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表 。openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。

您的贡献和反馈使每次更新的 openSUSE Tumbleweed 变得更好。无论您是报告错误、建议功能还是参与社区讨论，您的参与都备受重视。