Tumbleweed 每月更新 - 2025 年 10 月

在 10 月份，openSUSE Tumbleweed 的软件包更新速度持续加快，快照几乎每天都到达，以提供桌面环境、开发工具和核心系统组件的关键软件升级。

KDE Gear 25.08.2 和 Plasma 6.5 改进了 KDE 桌面，提高了性能、可访问性和稳定性，而 GNOME 49.1 则通过更好的会话处理和输入可靠性来完善用户体验。 Kernel Source 6.17.5、Mesa 25.2.5 和 PipeWire 1.5.81 也进行了重大更新，以及更多更新。 其他值得注意的软件包更新包括 PHP 8.4.14、curl 8.16.0、ClamAV 1.5.1 和 GStreamer 1.26.7。

如果出现任何问题，请务必使用 snapper 回滚。

有关本月更改日志的更多详细信息，请访问 openSUSE Factory 邮件列表。

新功能和增强功能

KDE Gear 25.08.2：此版本修复了 Dolphin 和 Kdenlive 中的视频预览崩溃问题，并解决了效果、滤镜作业和序列片段中的崩溃问题。 Itinerary 和 Kitinerary 通过新的脚本和更具弹性的解析来扩展交通和预订支持。 其他亮点包括 Okular 在保存受密码保护的文件时崩溃的修复，KClock 和 KWeather 的行为改进，以及 Keysmith 中的 QR 权限修复。 NeoChat 改进了推送通知，Tokodon 增强了交互布局，后端库（如 K3b、Akonadi 和 KMime）获得了兼容性和性能更新。

GNOME 49.1：此版本使用错误修复、可访问性改进和翻译更新更新了几个 GNOME 应用程序。 亮点包括计算器中修正的汇率、控制中心中改进的 UI 和输入处理，以及 GNOME Software 中改进的更新通知。 Sudoku 解决了 RTL 输入错误，而系统监视器修复了内存泄漏和元数据。 以前称为 gnome-tour-minimal 的软件包已重命名为 opensuse-welcome，并添加了一个新的捐赠页面，其中包含指向 GNOME 基金会和 Geeko 基金会的链接。 GDM 修复了 shell 锁死错误，并对删除 / 和 /home 进行了安全检查，这些检查现在在生产构建中运行，并且 Wayland 可用性检测已得到修正。 GNOME Characters 改进了语言处理，支持别名，并修复了 IBus 检查、Flatpak 语言列表和活动窗口跟踪。 GNOME Session 通过修复僵尸进程泄漏，解决 gnome-session-inhibit 中的选项解析回归，并改进了 DBUS_SESSION_BUS_ADDRESS 的检测方式，以更好地在 systemd 之外运行，从而提高了会话可靠性。

File Roller 44.6：此更新改进了归档处理并修复了多种特定格式的问题。 它正确解析 LHA 列表，解决了大型 RAR 文件中的错误，并恢复了 7zip 归档的正确跟踪链接行为。 此更新还允许通过 Unarchiver 打开 StuffIt 文件，修复了“新建归档”和“提取”对话框中的敏感性问题，并纠正了压缩期间的目录检测。 还更新了翻译。

Plasma 6.5：此版本提供更流畅、更直观的体验。 亮点包括自动亮/暗主题切换，匹配壁纸，固定剪贴板项目和圆角窗口。 易用性通过更好的 Wi-Fi 共享（包括密码）、更智能的音频静音和从登录屏幕休眠得到改善。 可访问性获得了灰度滤镜、屏幕阅读器的 Caps Lock 播报以及修复了光敏闪烁。 KRunner 引入了模糊搜索，便签变得更加灵活，Wayland 桌面可以重新排序。 Discover 使用 Flathub 一键安装更快，Spectacle 录制弹出窗口，Emoji 选择器提高了可用性。 性能通过更快的启动、HDR 调整和高效全屏播放的叠加平面支持得到提升。 Plasma 6.5 感觉就像 KDE 已经完善了 29 年的桌面。 本月还发布了 Plasma 6.5.1 错误修复更新。 此更新修复了 Discover 中的崩溃问题，纠正了 Breeze-GTK 中的窗口角渲染问题，并对 KWin 进行了多项稳定性改进。 错误修复更新还解决了 KRDp 用户管理、Spectacle 屏幕截图时间戳中的问题，并确保 Plasma Firewall 中的防火墙 UI 行为正确。

Mesa 25.2.4：3D 图形包修复了 AMD 和 Intel GPU 的问题，解决了《FINAL FANTASY XVI》、《Elite Dangerous》和《Call of the Wild: The Angler》等游戏中的崩溃问题。 Intel Xe2 硬件受益于更正的显示缓冲区处理，AMD 用户在统一块中的着色器编译方面看到了可靠性的提高。 Vulkan 视频解码和 SPIR-V 着色器处理得到了改进，并且屏幕关闭期间的内存管理更好。

curl 8.16.0：此版本修复了两个安全问题；CVE-2025-9086 和 CVE-2025-10148。 新功能包括 --follow、--out-null 和 --parallel-max-host，重试选项的十进制值，以及缓存负 DNS 解析。 TLS 1.2 现在是默认最小值，WebSocket 支持 CURLOPT_READFUNCTION。 许多修复程序改进了 cookie 处理、OpenSSL 集成、QUIC/HTTP3 支持和 WebSocket 稳定性。 总体而言，这些更改增强了 HTTP、SMTP 和 TLS 用例中的安全性、性能和开发人员的灵活性。

QEMU 10.1.1：模拟器修复了 RISC-V 的向量扩展处理和压缩指令 IOMMU 表限制，同时 SPARC 获得了更灵活的指令解码。 迁移稳定性通过更好的错误处理得到改善。 内存管理通过更清晰的地址空间销毁得到加强。 构建和测试基础设施也得到了改进，以确保更流畅的编译和 CI 运行。

ClamAV 1.5.1：恶意软件检测包修复了 PE 和 TNEF 文件的处理，对 ZIP、RAR、OOXML 和 OLE2 文档的处理更加准确，并改进了图像的模糊哈希。 该更新还提高了嵌入文件检测的限制，并完善了 VBA 签名匹配。 该软件包添加了 HTML/PDF 的 URI 元数据提取、访问排除的正则表达式支持、使用 .sign 文件的 CVD 签名，以及对弱哈希的类似 FIPS 的限制，以及 ClamD 中的新管理控制。

PHP 8.4.14：此更新修复了属性处理绕过、闭包中的崩溃和数组标志不一致。 关键模块（如 curl、GD、MySQLnd、Soap、SimpleXML 和 Zip）获得了稳定性改进，同时解决了 Opcache 和 JIT 相关的竞争条件。

关键软件包更新

Kernel Source 6.17.0 至 6.17.5：Linux 内核 6.17.5 改进了 Btrfs、Ext4 和 F2FS 的稳定性，修复了 CIFS/SMB 和 NFS 处理中的问题，以及 Realtek 和 Intel 硬件的多个声音驱动程序问题。 图形更新解决了 AMDGPU 和 Xe 驱动程序中的问题。 6.17.3 更新改进了广播模式中的绑定网络，USB 传输溢出以及多个 Wi-Fi 驱动程序问题。 该版本还修复了 AMDGPU、ext4、KVM、ksmbd 和 LoongArch BPF 中的崩溃和内存处理问题，以及 USB、PCI、RPC 和输入等驱动程序中的多个空指针引用。 6.17.2 版本添加了对新 USB 串口（SIMCom 8230C）和蓝牙（D-Link AX9U）设备的支持，同时调整了 Wi-Fi 驱动程序以避免 RTL8192/8188 适配器上的冲突。 Rust 子系统文档和驱动程序引用已得到更正，配置更新完善了控制台默认值和 FIPS 处理。 结果是提高了可靠性、硬件支持和安全性。 6.17.0 版本更新了配置，包括启用 DEBUG_WX 以进行更严格的内存保护，并完善了特定平台的 HID 和调试选项。 文档工具已进行了调整，以处理已弃用的 Python 接口，并且 hvc_console 中的串行控制台处理得到了改进，具有更可靠的写入行为。

iproute2 6.17：高级网络包的更新引入了对新网络属性的支持，包括 netns-immutable、mcast_reprobes 和邻居的 extern_valid 标志。 它为 devlink-rate 添加了 tc-bw，并为桥接工具添加了 mdb_offload_fail_notification。 颜色处理得到了改进，以更好地适应深色背景。

python311 3.11.14：此安全更新加强了解析和归档处理。 html.parser.HTMLParser 与 HTML5 标准对齐，修复了多个标签、属性和注释解析问题，并关闭了与复杂性相关的漏洞。 捆绑的 Expat 库修复了内存安全问题，tarfile 现在验证非负偏移量以防止精心制作的归档利用。

gpg2 2.5.13：此版本修复了合规性和安全问题，包括使用密码的 OCB 处理、重复密钥检测、cv25519 加密前缀以及第三方签名中的潜在 SHA1 降级。 它通过在输出未验证时报错来改进签名验证，将 gpgsm 加密/解密切换到 KEM 接口，并修复了密钥箱处理中的锁定故障。 密钥处理得到了改进，以提高锁定和压缩安全性。 其他更新包括 LDAP 密钥服务器上传支持、PIN 更改修复以及重试私钥删除以处理共享违规行为。

Mesa 25.2.5：此更新解决了 Age of Wonders 4 在 Intel Arc GPU 上渲染损坏的问题，修复了 AMD RADV Vulkan 驱动程序中的损坏的管道缓存，并解决了旧版 Intel 硬件上的测试失败问题。此版本还纠正了 Qualcomm Adreno GPU 上的遮挡查询问题，改进了 Vulkan 渲染通道中 3D 图像视图的处理，并修复了内存泄漏。

Mutter 49.1 & 49.1.1：此更新改进了 Wayland 稳定性、输入处理和窗口管理。Wayland 修复包括更好地处理无效或空几何体，在弹出窗口重新定位后始终发送配置事件，以及在允许扭曲之前需要指针交互。49.1.1 版本修复了某些 Xwayland 客户端中的损坏菜单。输入可靠性通过正确的修饰符状态检查得到了增强。渲染和性能得到了改进，并且帧时钟调度也得到了改进。其他修复涵盖 udev 内存泄漏、回退光标调整大小和手势处理崩溃。

AppStream 1.1.1：此软件包引入了一个禁用 man 页面创建的选项，并改进了 YAML 处理，具有显式字符串引用和 UTF-8 测试覆盖。已完全放弃对 Qt5 的支持；构建系统和 spec 文件已相应清理。

SDL3 3.2.24：此版本修复了多个输入和渲染问题，包括修复了 Steam 控制器崩溃以及网络摄像头被错误地检测为操纵杆的问题。在 VMware 中的鼠标捕获和分离线程内存处理已得到纠正。渲染支持最多 8 个颜色目标绑定，并且信箱现在使用清晰的着色，从而提高了连贯性。

SELinux Policy 20251006：此更新增强了 SSH 策略，支持 /usr/libexec/ssh、wtmpdb 日志记录和新的默认上下文，同时 guest 和 xguest 域获得了更好的会话处理。策略现在允许 valkey-server、blueman、geoclue、apcupsd 和 nfs-generator 等服务使用额外的套接字或文件系统属性。 Kdump 和 EFI 访问得到了改进，并且 virt 客户机可以有条件地读取主目录中的证书。

webkit2gtk3 2.50.1：此更新改进了 webkit2gtk3 和 webkit2gtk4。它修复了 Instagram 上损坏的音频播放，并纠正了分数变换的渲染问题。它还解决了 s390x 上的构建问题以及禁用视频的情况，以及多个崩溃和渲染修复。包含针对 CVE-2025-43343 的关键安全补丁，这使得本次升级对于 GTK 4.1 和 6.0 后端来说都是推荐的稳定性和安全性升级。

WirePlumber 0.5.12:
此版本引入了单声道音频配置支持、在删除节点时自动静音 ALSA 设备、新的通知 API 模块以及扩展的 wpctl man 页面。它修复了权限门户中的关机竞争条件，防止在异步操作期间从无效设备崩溃，这修复了 device-info-cache 中的日志错误，并改进了设备挂钩处理。添加了一个补丁来抑制在重新注册或删除挂钩时调度程序错误。

GStreamer 1.26.7：此更新改进了 cea608overlay 中的处理。RTP 处理通过新的线性音频有效载荷/去有效载荷和 RTSP 交错模式中的保持活动修复得到了扩展。其他修复解决了 MPEG-TS 中的 Opus、编辑服务中的内存泄漏、改进的 threadshare 延迟、复用器 EOS 处理和内省注释。

PipeWire 1.5.81：这是即将发布的 1.6 分支的第一个发布候选版本；它仍然与早期 1.0.x 到 1.4.x 版本的 API 和 ABI 兼容。此版本带来了重构的链路协商系统，以获得更好的默认匹配，改进的循环锁定，具有实时性能和更安全的控制流解析的优先级反转处理。它引入了 MIDI 2.0 剪辑支持、助听器蓝牙 ASHA 支持以及降低延迟的 ALSA 调整等新功能。

Binutils 2.45：此更新引入了一个新的版本化的 libsframe.so.2，扩展了 RISC-V 和 ARM 架构支持，并添加了新的指令和预定义的汇编器符号。在 x86 上，已添加对 Intel Diamond Rapids AMX、AVX10.2 和新的 Zhaoxin 指令的支持，而 s390 工具现在支持 SFrame v2 和“z17”CPU。此版本修复了多个安全问题。

安全更新

Binutils 2.45:

• CVE-2025-1149：此修复了在处理某些输入时发生的内存泄漏。
• CVE-2025-1150：此修复了在某些条件下可能导致资源耗尽的损坏的管道缓存。
• CVE-2025-1151：内存处理问题可能导致泄漏或不稳定。
• CVE-2025-1152：另一个泄漏类型问题会影响链接行为并可能削弱系统稳健性。
• CVE-2025-1153：精心制作的输入可能导致内存损坏。
• CVE-2025-1176：在精心制作的条件下可能导致内存损坏或崩溃的关键问题。
• CVE-2025-1178：内存安全问题可能由格式错误的链接操作触发。
• CVE-2025-1179：另一个内存安全漏洞，在特定构建/链接工作流程下可能可利用。
• CVE-2025-1180：修复了一个被归类为有问题的漏洞，该漏洞可能会影响链接行为和系统稳定性。
• CVE-2025-1181：一种漏洞可能允许错误的链接或使工具崩溃。
• CVE-2025-1182：修复了一个可能影响工具链并可能在被利用时产生广泛影响的问题。
• CVE-2025-3198：一个被归类为有问题的漏洞，可能导致错误链接或工具故障。
• CVE-2025-5244：修复了一个安全漏洞，该漏洞可能会影响链接和构建完整性；建议更新。
• CVE-2025-5245：修复了一个影响核心链接功能中的错误，该错误可能允许崩溃或意外行为。
• CVE-2025-7545：修复了一个有问题的内存安全问题，导致链接失败。
• CVE-2025-7546：另一个修复了内存安全/泄漏漏洞，该漏洞可能损害构建可靠性和系统完整性。
• CVE-2025-8224：修复了一个漏洞，该漏洞可能在构建/链接过程中被利用。
• CVE-2025-8225：修复了另一个可能导致不稳定链接或工具链故障的漏洞。
• CVE-2025-11083：修复了一个影响链接组件的漏洞，该漏洞可能会影响系统构建和完整性。
• CVE-2025-11495：一个与链接逻辑相关的漏洞，可能导致崩溃或意外行为。

Unbound 1.24.0:

• CVE-2025-11411：此漏洞允许攻击者注入虚假的 DNS 名称服务器记录，这可能会欺骗 DNS 解析器更新委派信息并导致域劫持。

java-21-openjdk 21.0.9.0:

• CVE-2025-53066：一个漏洞修复，可能允许未经身份验证的攻击者通过网络获得对关键数据的未经授权访问。
• CVE-2025-61748：一个漏洞可能允许未经身份验证的攻击者通过网络 API 访问执行未经授权的更新、插入或删除操作。
• CVE-2025-53057：一种弱点可能允许未经身份验证的攻击者远程创建、删除或修改关键数据。

gimp:

• CVE-2025-10925：修复了一个基于堆栈的缓冲区溢出，攻击者可以制作恶意图像，在打开图像时执行代码。
• CVE-2025-10922：修复了一个堆缓冲区溢出，有可能允许通过恶意文件进行远程代码执行。
• CVE-2025-10920：修复了一个越界写入错误，专门制作的图像可能导致崩溃或允许攻击者运行任意代码。

curl 8.16.0:

• CVE-2025-9086：修复了一个漏洞，该漏洞可能导致 curl 崩溃或允许恶意站点意外覆盖“安全”cookie。
• CVE-2025-10148：修复了一个可预测的模式，恶意服务器可能会利用该模式来欺骗代理将恶意内容视为合法内容并污染其缓存。

Bind 9.20.15:

• CVE-2025-8677：修复了一个漏洞，该漏洞可能导致拒绝 DNS 解析器的服务。
• CVE-2025-40778：攻击者可以注入伪造的 DNS 记录到解析器的缓存中，将未来的查询重定向到恶意目的地。
• CVE-2025-40780：伪随机数生成器中的一个弱点允许攻击者预测 DNS 请求的源端口和查询 ID，从而使 缓存中毒更容易。

qt6-svg 6.10.0:

• CVE-2025-10728：图形模块中的一个漏洞，该漏洞渲染 SVG 文件会导致递归渲染，从而导致堆栈溢出和崩溃。
• CVE-2025-10729：图形模块中的使用后释放错误可能导致崩溃或其他内存损坏。

python-ldap 3.4.5:

• CVE-2025-61911：当使用 escape_mode=1 时，传递精心制作的 list 或 dict 作为 assertion_value 参数可能会跳过特殊字符的转义，这可能会让攻击者操纵 LDAP 过滤器。
• CVE-2025-61912：客户端在向 LDAP 服务器发送请求之前可能会失败（客户端拒绝服务）。

webkit2gtk3/4 2.50.1:

• CVE-2025-43343：内存处理缺陷允许精心制作的网页导致意外的进程崩溃，可能允许攻击者破坏软件或获得更深入的访问权限。

**libsoup **

• CVE-2025-11021：一个漏洞可能允许攻击者制作具有特殊格式的过期日期的 cookie，从而触发越界内存读取并可能暴露敏感信息。

libxslt:

• CVE-2025-11731：一个漏洞可能错误地将文档节点视为元素节点，这可能导致类型混淆和意外的内存读取以及可能的崩溃（拒绝服务）。

python311 3.11.14:

• CVE-2025-8194：CPython tarfile 模块中的一个缺陷，处理具有负偏移量的专门制作的 tar 归档文件可能导致无限循环或死锁并导致拒绝服务。
• CVE-2025-6069：一种漏洞可能触发二次复杂度并放大拒绝服务，消耗过多的 CPU/时间。

open-vm-tools 13.0.5:

• CVE-2025-41244：VM 内修复了一个漏洞，该漏洞可能利用漏洞在同一 VM 上获得 root（管理员）权限。

Ruby 3.4.7:

• CVE-2025-61594：修复了一个漏洞，该漏洞可能允许通过精心制作的 URI 泄露身份验证详细信息。

poppler:

• CVE-2025-52885：该漏洞可能导致在调整向量大小时出现悬空指针，并可能允许内存损坏或崩溃。

ImageMagick 7.1.2.7:

• CVE-2025-62171：32 位系统上的 BMP 图像解码器中的一个漏洞可能触发整数溢出并导致潜在的崩溃或拒绝服务。

** samba**

• CVE-2025-10230：一个命令注入漏洞可能允许未经身份验证的远程攻击者运行任意命令。
• CVE-2025-9640：一个错误可能允许用户读取残留内存内容并可能泄露敏感数据。

Mozilla Firefox 143.0.3, 144.0:

• CVE-2025-11152：一个允许远程代码执行的内存损坏漏洞。
• CVE-2025-11153：一个错误编译可能使攻击者执行任意代码。
• CVE-2025-11708：浏览器媒体子系统中的使用后释放错误，可能让攻击者使应用程序崩溃或运行代码。
• CVE-2025-11709：一个漏洞，其中网页可能会触发特权进程中的越界读取或写入，并危及数据泄露或代码执行。
• CVE-2025-11710：一个受损的网页可以使用恶意进程间消息使特权浏览器进程泄露其内存的一部分。
• CVE-2025-11711：一个浏览器错误允许修改 JavaScript 对象属性，而这些属性本应为不可写的。
• CVE-2025-11712：网页可以使用 OBJECT 标签的 type 属性（当未提供 content-type 标头时）来覆盖浏览器行为并可能启用 XSS。
• CVE-2025-11714：一组内存安全错误，由于它们可能导致崩溃或代码执行，因此已在最近的浏览器版本中得到修复。
• CVE-2025-11715：更多内存安全修复，涵盖浏览器/ Thunderbird 堆栈中的多个组件，以降低利用风险。

建议用户更新到最新版本以缓解这些漏洞。

结论

Tumbleweed 10 月底发布了近乎每日的快照，将桌面优化与深度堆栈强化相结合。Plasma 6.5、KDE Gear 25.08.2 和 GNOME 49.1 发布，同时内核 6.17、Mesa 25.2.x 和 PipeWire 1.5.81 也发布，而开发人员和平台工具（如 PHP、curl、QEMU、GStreamer 和 Binutils）提供了经过测试的安全修复程序。

缓慢推出

请注意，这些更新也适用于 Slowroll，并且在 Tumbleweed 快照发布后平均 5 到 10 天到达。这种每月的方法已经保持了几个月，确保了稳定性和为用户提供及时的增强功能。Slowroll 的更新软件包会定期通过电子邮件发布在 openSUSE Factory 邮件列表 上。

为 openSUSE Tumbleweed 做出贡献

通过订阅 openSUSE Factory 邮件列表，及时了解最新的快照。对于想要贡献或想要参与详细技术讨论的 Tumbleweed 用户，请订阅 openSUSE Factory 邮件列表 。openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。

您的贡献和反馈使每次更新的 openSUSE Tumbleweed 变得更好。无论您是报告错误、建议功能还是参与社区讨论，您的参与都备受重视。