author: Poplar at twilight
date: 2024-03-29 03:40:00 +0800
layout: post
license: CC-BY-SA-4.0
title: openSUSE Tumbleweed 每月更新 - 三月
image: /assets/posts/2024-03/bug.png
categories:
- 更新通告
tags: - Tumbleweed
- 翻译作品
- 官方新闻
欢迎阅读 openSUSE Tumbleweed 2024 年 3 月的月度更新。本月为 Tumbleweed 提供了几个预期更新。
在了解软件包更新之前,请了解本博客旨在为读者提供 openSUSE 全月滚动发布中主要更改、改进和问题的概览。如果读者希望获得更频繁的快照更新信息,我们鼓励读者订阅 openSUSE Factory 邮件列表。
新功能和增强功能
-
Linux 内核:快照 20240319 将内核从 6.7.9 更新至 6.8.1,增强了系统稳定性、安全性和硬件兼容性。主要的变更操作如下:
- 补丁解决了 寄存器文件数据采样 (Register File Data Sampling, RFDS) 微架构漏洞 CVE-2023-28746。该补丁包括缓解措施,例如导出到 KVM/x86 环境中的虚拟机,并添加新文档。有一个补丁可以在设置
X86_FEATURE_CLEAR_CPU_BUF
时禁用 KVM 缓解。 - 一个值得注意的还原是,在出现 问题 后,删除了 Btrfs 中
inode_cache
和recovery
挂载选项的代码。修复了与 Btrfs 相关的问题,例如解决了在 fiemap 过程中检测 延迟分配(Delayed Allocation)范围时的竞争条件。 - 这些更新涉及到针对 arm 架构(armv6hl、armv7hl 和 arm64)的重大配置更改。这些更新反映了不同架构的选项值,并包括用于硬件支持的新配置,如各种 PINCTRL(引脚控制)、GPIO(通用输入/输出)、VIDEO、DRM(直接渲染管理器)和 SND_SOC(片上音效系统)设置。
- 补丁解决了 寄存器文件数据采样 (Register File Data Sampling, RFDS) 微架构漏洞 CVE-2023-28746。该补丁包括缓解措施,例如导出到 KVM/x86 环境中的虚拟机,并添加新文档。有一个补丁可以在设置
- Plasma 6:详见:openSUSE 正式搭载 Plasma 6
- GNOME 46:详见:GNOME 46 登录 openSUSE
-
systemd:从 254.9 版本更新到 255.4 版本,更新提供了以下内容:
- 如果特定问题已成为核心版本 255 更新的一部分,则会被重置或移除。这表明,在确保 openSUSE 中 systemd 功能的稳定性和可靠性的同时,为与上游开发保持一致迈出了重要一步。
- 为确保引导加载程序安装过程在测试阶段的可靠性,systemd 软件包内的测试框架明显得到了加强。更多有关信息请阅读 systemd-bootl 集成。
-
libzypp 17.32.0
- 为 dup 升级过程引入新的解析器选项
removeOrphaned
,以加强软件包管理。 - 对
vsftpd.conf
进行了修复,以解决 SUSE 和 Fedora 使用不同默认值的问题。 - 安全更新:修改以避免在摘要部分使用过时的
OPENSSL_config
,从而加强安全实践。 - 引入
ProblemSolution::skipsPatchesOnly
重载,以改进补丁管理流程。 - 删除了 https://download.opensuse.org 的 HTTPS->HTTP 重定向异常,加强了下载过程的安全性和完整性。
- 为 dup 升级过程引入新的解析器选项
-
zypper 1.14.70
- 集成了一个新选项
--remove-orphaned
,用于在系统升级时移除所有孤儿软件包(orphaned packages)。 - 改进了用户界面,在提交提示符下显示激活的试运行/仅下载(dry-run/download-only)选项,增强了用户体验和清晰度。
- 在
Ctrl+C
时设置 libzypp 关闭请求信号,以提高响应速度和控制能力。
- 集成了一个新选项
-
LLVM 18
- 为了与新版本保持一致,我们对
llvm-do-not-install-static-libraries.patch
和llvm-normally-versioned-libllvm.patch
补丁进行了 rebase,以解决特定的发行和库问题。 - 修改为优先使用
ld.bfd
,而不是其他链接器,以实现与 THP(Transparent Huge Pages)兼容的分区布局,优化内存管理和性能。
- 为了与新版本保持一致,我们对
-
shadow:更新至 4.15.1 版本
- 解决了导致有关未知
login.defs
配置选项的不必要错误信息的问题,并实现了文件描述符遗漏检查以提高安全性和可靠性。 - 更新了
shadow-4.15.0-fix-definition.patch
,以解决有关配置选项的错误信息。 - 改进了与 libdl 的链接,以更好地处理动态链接库。
- 修订了
shadow-login_defs-unused-by-pam.patch
以确保持续的兼容性和有效性。
- 修订了
- 解决了导致有关未知
错误修复
- Mozilla Firefox 124.0.1:修复了多个 CVE。其中包括 CVE-2024-29943(攻击者可通过欺骗基于范围的边界检查消除,对 JavaScript 对象执行越界读取或写入)和相关的 CVE-2024-29944。快照 20240326 的更新还解决了另外 12 个 CVE 问题
- redis 7.2.3:该更新修复了 CVE-2023-41056 导致的内存问题和安全风险。
- python311:由于对自动工具脚本的还原使用,CVE-2024-0450 已添加到更新日志中。
- Linux 内核 6.8.1:CVE-2023-28746 与上述微架构漏洞相关。
- Expat 2.6.2:修复了 CVE-2024-28757 漏洞,可防止使用 xml 实体对其进行过载攻击,尤其是在使用以特定方式创建的外部解析器时。
- opensc 0.25.0:修复了 CVE-2023-5992,在该问题中,PKCS#1 加密填充移除未作为抗侧信道实现;修复了 CVE-2024-1454,该问题需要物理访问和与 AuthentIC 驱动程序相关的特殊设备,在设置新卡时会发生。
- libvirt 10.1.0:此更新修复了 CVE-2024-1441,该错误存在一个偏差错误,可能允许通过精心设计的数据拒绝服务导致守护进程崩溃。
- Unbound 1.19.2:修复了 CVE-2024-1931,该修复可能导致扩展 DNS 错误(Extended DNS Error)记录修剪中的无限循环导致拒绝服务。
- graphviz:CVE-2023-46045 的可利用性可能并不常见,因为该文件通常由 root 拥有,但与通过伪造的 config6a 文件进行越界读取有关。已提供一个受欢迎的修复。
- openjpeg2 2.5.2:攻击者可以利用 CVE-2021-3575 漏洞,以针对 openjpeg 编译的应用程序的权限执行任意代码。
结论
openSUSE Tumbleweed 在 2024 年 3 月进行了大量的系统更新。除了 Plasma 和 GNOME 桌面环境之外,systemd、libzypp、LLVM 等也有改进。本月的其他重大升级包括对 Bind、CMake、KDE Gear 24.02.1、Mesa、qemu 等的更新。对于那些想要贡献的 Tumbleweed 用户,请订阅 openSUSE Factory 邮件列表。 openSUSE 团队鼓励用户通过错误报告、功能建议和讨论继续参与。
为 openSUSE Tumbleweed 做出贡献
您的贡献和反馈使 openSUSE Tumbleweed 每次更新都变得更好。无论是报告错误、建议功能还是参与社区讨论,您的参与都非常有价值。
原文:openSUSE Tumbleweed Monthly Update - March,作者:Douglas DeMaio