Tumbleweed 每月更新 - 2025 年 9 月

在 9 月份，openSUSE Tumbleweed 的软件更新以稳定的节奏进行，快照几乎每天发布。这些更新为滚动发布用户提供了新功能、性能改进和重要的安全修复。

GnuPG 2.5.12、文件归档工具 7-Zip 25.01、文本编辑器 Vim 9.1.1706 和 Kernel Source 6.16.5 只是本月快照中更新的几个软件包。

随着 GNOME 49 和 Plasma 6.4.5 的到来，桌面体验得到了显著增强。KDE Gear 25.08.1 为核心应用程序带来了广泛的修复。本月更新的其他软件包包括 QEMU 10.1.0、libvirt 11.6.0、tuned 2.26.0、GStreamer 1.26.6、Mesa 25.2.2 等。

如果出现任何问题，请务必使用 snapper 回滚。

有关本月更改日志的更多详细信息，请访问 openSUSE Factory 邮件列表。

新功能和增强功能

GNOME 49：几个 GNOME 49 软件包已在 Tumbleweed 中更新。一些变化包括将 Totem 替换为 Showtime 作为新的默认视频播放器，以及将 Evince 替换为 Papers 以实现现代、功能丰富的文档查看。 Calendar 应用程序现在完全可以通过键盘访问，并允许用户导出事件。 Web 获得了更好的广告拦截、OpenSearch 集成和特定站点的菜单。远程桌面现在支持多点触控和虚拟显示器。新的 HDR 壁纸增强了视觉保真度，而锁屏媒体控制、快速设置中的“请勿打扰”以及重启/关机选项则提高了可用性。两款新应用程序加入了 GNOME Circle；Mahjongg 和 Wordbook，一个由 WordNet 提供支持的词典。

KDE Gear 25.08.1：Dolphin 现在滚动速度更快，并且在切换选择模式或创建文件夹时避免崩溃，同时仅在成功时播放垃圾清空声音。KMail、Akregator、KAddressBook、KOrganizer 和 PIM 工具不再在启动时显示过时的“有新内容”屏幕。Ark 和 KTorrent 已被修复，以停止不必要的通知和过多的文件写入。文本编辑器 Kate 具有多个崩溃修复，尤其是在会话处理和外部工具集成方面，并且现在在 Flatpak 环境中工作得更好。Kdenlive 具有显著的稳定性改进，包括修复了在删除剪辑、应用效果或打开项目时发生的崩溃。

Plasma 6.4.5：Discover 软件中心现在可以在重新打开消息时正确地重新启用“删除设置”按钮。面板自定义更加流畅，在编辑期间更好地处理 Esc 键，并且桌面上的文件夹视图在重新排列时不会将图标放置错误。系统设置 (KCM) 具有各种修复，包括正确的字体更改通知、改进的通知配置页面以及时区选择器中更好的焦点行为。KWin 窗口管理器通过使用 UUID 更好地识别输出，从而改进了显示处理，并在 Wayland 上提供了更可靠的色彩管理。

KDE Frameworks 6.18.0：此 KDE 更新可确保 Dolphin、KMail 和 Ark 等 KDE 应用程序的更流畅性能。Breeze Icons 主题已得到清理，删除了过时和非标准图标大小以及第三方应用程序图标，以提高一致性。核心库，如 KIO 和 KArchive，可以更好地处理文件操作，改进后台线程中的缩略图加载，并增强处理格式错误的文件时的安全性。Kirigami，用于 Itinerary 和 Plasma Mobile 等应用程序中自适应用户界面的框架，修复了导航组件中的布局问题，并提高了可访问性，具有更好的焦点处理。其他更新包括跨多个框架改进的代码质量检查，以及 KTextEditor 中的错误修复。

OVMF edk2-stable202508：此更新将依赖项升级到 OpenSSL 3.5.1 和 Oniguruma 6.9.10，引入了独立 MM 支持，并添加了带有 UUID-GUID 转换的 FF-A 内存管理。硬件和架构支持扩展到 ARM GICv5、RISC-V PEI 启动以及改进的异常处理。已删除遗留 UGA 支持，并增强了 QEMU TLS 和 TPM2 处理以提高稳定性。该版本还带来了许多 USB、SMM 和 CPU 热插拔修复，更好的构建系统集成（包括 mingw-w64），并为 x64 OVMF 默认启用 iSCSI 启动。

tuned 2.26.0：此更新添加了对 MMC 设备的​​支持，改进了热插拔处理，并增强了核心计算、变量继承和不支持的插件的日志记录。此 Daemon 用于监控和自适应调谐的电源管理配置文件现在使用 med_power_with_dipm 代替 min_power，以防止潜在的数据丢失，同时保持节能。其他改进涵盖网络延迟调谐、调度器性能检测和 sysfs 监控。

7-Zip 25.01：此文件归档工具更新通过更改处理提取存档中的符号链接的方式来提高安全性。通过 bzip2 压缩速度提高 15–40%，deflate（zip/gz）压缩速度略快 1–3%，从而提高了性能。增强了存档兼容性，对 ZIP、CPIO 和 FAT 格式的支持更好。解决了安全问题，包括修复了对格式错误 RAR 存档的处理不当以及与某些格式错误 Compound File 存档相关的崩溃。

libvirt 11.6.0：此版本引入了几个新功能，包括一个标志，用于独立于主机计算基线 CPU，对 QEMU TLS 优先级字符串的更精细控制，以及 s390 域的默认禁用已弃用的 CPU 功能和 QEMU 的 RBD 命名空间支持。 arm 和 RISC-V 的默认设置现在使用 virtio-scsi 代替 lsilogic。其他改进包括 discard granularity 设置、更好的 NSS 调试以及放宽 TLS 证书要求。

udisks2 2.10.91：此版本改进了存储管理，包括 LUKS 标头备份、在创建加密设备时设置标签以及支持额外的 PBKDF 选项。用户现在可以使用密钥文件处理 BitLocker 卷，指定 MD RAID 的元数据版本，并利用新的 Btrfs 方法来获取和设置默认子卷 ID。扩展了挂载选项，为 ISO9660、f2fs 和 ext3/ext4 文件系统添加了新的标志。

polkit 126：在此版本中，可以从 /etc/、/run/ 和 /usr/local/share 读取操作，并且新的 LogControl1 协议允许动态更改日志级别。 Duktape 简化了依赖项并取代了 mozjs。扩展了翻译，包括斯洛文尼亚语和印地语。

关键软件包更新

GnuPG 2.5.12：此更新为 GnuPG 增加了新的灵活性和修复。发送到 LDAP 服务器的密钥现在会在禁用之前刷新，并且新的 --[no-]auto-key-upload 设置控制自动上传。通过禁用 7z 输入的默认压缩来改进压缩处理。添加了对 --edit-key:addkey 中 Kyber 变体的支持，并修复了复合 PQC 和 ECC 算法中的回归。

Vim 9.1.1706：此更新解决了缓冲区溢出、空指针解引用和不正确的弹出窗口行为问题。教程已扩展，增加了关于文本对象和特殊寄存器的部分，同时刷新了过时的翻译和文档以提高清晰度。完善了完成逻辑、命令处理和测试覆盖率。

Mesa 25.2.2：此版本带来了图形堆栈的关键更新和清理。删除了遗留组件以及相关的软件包，例如 Mesa-gallium、Mesa-libd3d、Mesa-libOpenCL 和 libxatracker，反映了向现代 API 和驱动程序的转变。该更新包括刷新了 NVK 的 Rust crate、改进了构建要求以及修复了 crate 校验和不匹配问题。

sudo 1.9.17p2：此更新修复了一个罕见的问题，该问题可能导致 sudo 在伪终端中运行命令时向所有系统进程发送 SIGHUP。另一个修复解决了在支持 ptrace_readv_string() 的 Linux 系统上使用 intercept 和 intercept_verify 选项且参数或环境变量非常大时发生的崩溃。配置脚本现在可以正确支持没有 mandoc 的系统上的 mdoc man 页面。此外，已更正 /usr/etc/sudoers 的权限默认值。

Postfix 3.10.4：此版本修复了 postscreen 中长期存在的问题，包括进程重新启动后的套接字错误和可能阻止新进程的缓存锁问题。TLS 处理更加健壮，纠正了遗留参数支持并防止 tlsproxy 中的空指针崩溃。该更新减少了数据库文件更改时不必要的进程重新启动，删除了过时的 OpenSSL 引擎依赖项，并清理了 TLS 报告，忽略了明确标记为不需要加密的消息。

GStreamer 1.26.6：此更新提供了更健壮的闭式字幕处理、decodebin3 标签处理、HLS 指令解析和 fallbacksrc 关闭行为。硬件和格式支持扩展到 V4L2 对 WVC1/WMV3 的支持、Vulkan 解码器修复以及通过 [librespot[(https://docs.rs/crate/librespot/latest) 0.7 更新的 Spotify 集成。新的 threadshare 元素改进了同步和性能，而 videorate 在仅丢弃模式下提高了效率。

fwupd 2.0.14、2.0.15 和 2.0.16：2.0.15 更新现在支持 Foxconn SDX61 调制解调器、Jabra Evolve2 子设备和 NVIDIA ConnectX-6/7/8 网卡。子设备还可以继承父级命名前缀，以便更清晰地识别。修复了几个错误，包括在没有 --force 的情况下报告固件、Firehose 调制解调器擦除、Goodix 设备枚举以及处理 BnR MTD 硬件的版本控制。2.0.14 更新通过允许固件更新忽略网络连接要求、UEFI 胶囊设备选择退出 Capsule-on-Disk 以及插件在更新期间访问固件版本，从而提高了灵活性。许多修复提高了可靠性，包括更好的调制解调器设备处理、Lexar NVMe 版本控制、Synaptics RMI 初始化、UF2 解析和 ThunderBolt 热插拔检测。较新的硬件支持扩展了 fwupd 对现代系统和外围设备的支持。

内核源码 6.16.5, 6.16.6, 6.16.7, 6.16.8：6.16.8 更新提供了文件系统、网络和驱动程序方面的广泛稳定性和安全修复。Btrfs 解决了配额统计信息泄漏和子卷删除竞争条件，而 NFS 和 NFSv4.2 改进了 O_DIRECT 操作和能力处理的序列化。6.16.7 更新添加了对新记录的漏洞 (CVE-2025-40300) 的缓解措施，将保护扩展到旧版 Intel CPU，启用条件 IBPB，并在禁用 STIBP 且启用 SMT 时发出警告。tar-up 工具已通过切换到标准 tar 命令进行现代化改造，确保所有权一致、排序一致以及与 Tumbleweed 的兼容性。6.16.6 更新修复了 Btrfs 中的多个竞争条件，以提高 inode 日志记录的可靠性，同时通过编解码器修复和更好的 Focusrite 设备处理来完善音频和 USB 支持。网络和无线驱动程序收到了针对 cfg80211、iwlwifi、brcmfmac 和 mt76 芯片组的大量补丁，解决了使用后释放错误、竞争条件和扫描稳定性问题。6.16.5 更新解决了设备树、网络、跟踪和 I/O 处理中的内存泄漏、竞争条件和使用后释放错误。增强功能包括更好的并发访问下的 SMB 客户端可靠性、改进的音频编解码器控制、HID 和 Intel quicki2c 驱动程序的修复以及改进的 io_uring 工作器管理。MSM 和 Mediatek 的图形驱动程序获得了稳定性更新，而蓝牙处理断开连接和数据包跟踪变得更加健壮。

SELinux 策略 20250909：此更新完善了 SELinux 规则，以提高与常见服务和系统组件的兼容性。GDM 现在可以创建密码锁定文件并在 systemd userdbd 目录中绑定套接字，而 nsswitch 域允许通过 Unix 套接字连接到 XDM。其他更新允许 gnome-remote-desktop 与 tabrmd 通信，nm-dispatcher 插件读取 pidfs 属性，以及 chronyc 使用 setgid/setuid。

SETools 4.6.0：seinfo 工具现在可以显示给定类型允许的角色，并且一个新的 sechecker 模块确保内核模块保持只读。还引入了对 nlmsg 扩展权限的支持。在幕后，代码库已通过改进的质量检查、扩展的单元测试和删除已弃用的方法进行现代化改造。已更新打包以使用 pyproject.toml，并改进了依赖项处理和构建期间的自动化测试执行。

QEMU 10.1.0：VFIO 现在支持 SEV-SNP 和 TDX 客户机的直通，而迁移获得了多 fd 后复制加速、优化的预复制和 IPv6 RDMA 支持。QEMU 来宾代理可以使用新命令查询 Windows VM 的负载。架构更新包括新的 ARM CPU 功能和板卡、ARM virt 板上的嵌套虚拟化和 CXL、LoongArch 内核 irqchip、RISC-V ISA 扩展和昆明湖 CPU 支持，以及 Microblaze 的字节序选择。包含许多修复和弃用。

CUPS 2.4.14：此打印更新修复了两个漏洞：使用 AuthType Negotiate 的身份验证绕过 (CVE-2025-58060) 和导致远程 DoS 的空指针引用 (CVE-2025-58364)。它还引入了一个新的 print-as-raster 属性，允许强制作业转换为栅格格式，以解决打印机固件 PDF 问题。其他改进解决了重启后的作业清理、订阅处理、IPP/PPD 选项解析、内存泄漏和调度程序事件报告。版本 2.4.14 随附一个热修复，确保正确安装本地化模板和 CUPS Web UI 页面，从而提高整体可靠性。

安全更新

内核源码 6.16.7:

CVE-2025-40300：Linux 内核虚拟化层中的一个漏洞可能允许受限制内存中的数据泄漏到用户进程中，从而可能暴露敏感信息。

Python:

CVE-2025-8194：Python tarfile 模块中的一个 HIGH 严重性 DoS，其中包含负偏移量的制作 tar 归档文件可能导致无限循环或死锁。

Mesa 25.2.2:

CVE-2023-45913：图形驱动程序中的一个缺陷可能导致显示系统在处理窗口时发送意外信号而导致崩溃，从而导致应用程序不稳定或拒绝服务。

CUPS 2.4.14:

CVE-2025-58060：在 CUPS（打印系统）中，当配置的身份验证方式为“Basic”以外的其他方式时，系统可能会忽略“Basic”身份验证标头并跳过密码验证——允许任何人绕过身份验证。

CVE-2025-58364：在 CUPS 中，对打印机配置数据的不安全处理和验证可能导致空指针错误，从而导致本地网络上的打印服务崩溃（拒绝服务）。

Xen 4.20.1_04:

CVE-2025-27466：更新计时器引用区域时可能发生 NULL 指针引用错误，可能导致超visor 或客户机环境崩溃。

CVE-2025-58142：假设合成计时器页面始终映射的上述问题的变体可能导致在传递计时器消息时发生 NULL 指针引用错误，从而导致不稳定。

CVE-2025-58143：竞争条件可能允许客户机触发释放仍在使用的内存，从而导致信息泄漏或内存损坏。

ImageMagick:

CVE-2025-57807：64 位系统上的软件包中的一个缺陷可能导致程序将数据写入不安全的内存区域，从而导致崩溃或攻击者可能执行代码。

libssh 0.11.3:

CVE-2025-8114：一个 NULL 指针引用错误允许攻击者使客户端或服务器崩溃。

CVE-2025-8277：一个未正确释放的内存缺陷，导致逐渐耗尽内存并可能导致崩溃。

7zip 25.01:

CVE-2025-53816：7-Zip 的 RAR5 处理程序中的堆缓冲区溢出，由于在分配的堆缓冲区外部写入零而导致，从而导致内存损坏和 DoS。

CVE-2025-53817：7-Zip（与 CVE-2025-53816 相同的软件包）中解决的另一个安全问题。

libqt5-qtwebengine 5.15.19:

CVE-2024-10229：SUSE 更新中解决的 **libQt5Pdf** 中的安全问题。

CVE-2024-10827：SUSE 维护版本中修复的 **libQt5Pdf** 中的另一个漏洞。

CVE-2024-12694：包含在 SUSE 的 libQt5Pdf 安全更新中的另一个 libQt5Pdf 漏洞。

CVE-2025-0436：也列在 SUSE 的 libQt5Pdf 安全咨询中的问题。

CVE-2024-11477：包含在 SUSE 的 libQt5Pdf 安全修复中。

CVE-2025-0996：Android 版 Chrome 的浏览器 UI（全能型地址栏）中的欺骗漏洞允许制作的 HTML 页面操纵 URL 栏。

CVE-2025-1426：SUSE 的 libQt5Pdf 安全咨询中包含的 GPU 中的堆缓冲区溢出（根据您的摘要）。

tiff:

CVE-2025-8961：该工具中的一个缺陷可能导致本地用户损坏内存，从而可能导致崩溃或不稳定。

Expat 2.7.2:

CVE-2025-59375：一个漏洞，其中一个小的特制文档可能迫使解析器分配大量的内存——可能导致崩溃或拒绝服务。

Mozilla Firefox 143.0:

CVE-2025-10527：Firefox 的 Canvas2D 图形组件中的一个使用后释放错误，可能允许沙盒内的代码突破并运行恶意操作。

CVE-2025-10528：与 Canvas2D 相同的图形区域中的无效指针/未定义行为问题，也可能导致沙盒逃逸。

CVE-2025-10529：浏览器布局代码中的一个弱点，在特定条件下允许页面违反同源限制（即读取或影响来自另一个源的数据）。

CVE-2025-10530：Android 版 Firefox 的 WebAuthn（Web 身份验证）组件中的欺骗问题；攻击者可以欺骗 UI 或凭据行为。

CVE-2025-10531：Web 兼容性/工具侧面的缓解控制绕过，可能允许跳过某些保护措施。

CVE-2025-10532：JavaScript 垃圾收集边界中的一个错误，可能导致越界内存访问或损坏。

CVE-2025-10533：SVG 组件中的整数溢出错误，在特定输入下可能导致内存损坏。

CVE-2025-10534：站点权限 UI 中的欺骗问题，可能欺骗 UI 显示误导性的权限状态。

CVE-2025-10535：Android 版 Firefox 的隐私组件中的信息泄露/缓解绕过，可能泄露数据。

CVE-2025-10536：缓存/网络逻辑中的一个缺陷，可能导致意外的数据泄露。

CVE-2025-10537：一组内存安全错误（跨各种组件），可能导致内存损坏或任意代码执行。

建议用户更新到最新版本以缓解这些漏洞。

结论

2025 年 9 月是 openSUSE Tumbleweed 稳定的一月。从 GNOME 49 和 KDE Gear 25.08.1 的主要桌面改进到 Linux 内核、QEMU 等方面的关键底层升级。本月的更新强调了 Tumbleweed 致力于提供可靠、经过良好测试的滚动发布的承诺。鼓励用户及时更新以充分利用这些改进。

缓慢推出

请注意，这些更新也适用于 Slowroll，并且在 Tumbleweed 快照发布后平均 5 到 10 天到达。这种每月的方法已经保持了几个月，确保了稳定性和为用户提供及时的增强功能。Slowroll 的更新软件包会定期通过电子邮件发布在 openSUSE Factory 邮件列表 上。

为 openSUSE Tumbleweed 做出贡献

通过订阅 openSUSE Factory 邮件列表，及时了解最新的快照。对于想要贡献或想要参与详细技术讨论的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表 。openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。

您的贡献和反馈使每次更新的 openSUSE Tumbleweed 变得更好。无论您是报告错误、建议功能还是参与社区讨论，您的参与都备受重视。