author: Poplar at twilight
date: 2024-05-01 03:40:00 +0800
layout: post
license: CC-BY-SA-4.0
title: openSUSE Tumbleweed 每月更新 - 四月
image: /assets/posts/2024-05/tw.png
categories:
- 更新通告
tags: - Tumbleweed
- 翻译作品
- 官方新闻
欢迎来到 openSUSE Tumbleweed 2024 年 4 月的月度更新。本月的更新是在解决了 上个月针对 xz 压缩库的供应链攻击 后开始的。关于 XZ 后门的解释、如何解决该问题以及所学到的知识,请访问 news.opensuse.org 或 suse.org.cn。
随着会议旺季的到来,openSUSE Tumbleweed 本月发布了大量更新、增强功能和重要的安全修复。如果读者希望更频繁地获得快照更新信息,我们鼓励读者订阅 openSUSE Factory 邮件列表。
新功能和改进
- Linux 内核:四月份有数次内核更新。Linux 6.8.5 的显著变化包括缓解分支历史注入(Branch History Injection, BHI)漏洞、改进 Spectre 缓解、更新英特尔图形驱动程序、修复 SMB 客户端漏洞和修复 RISC-V 架构。Linux 6.8.7 提供了 AMD 显示驱动程序、英特尔 i915 驱动程序、x86 推测执行漏洞(speculative execution vulnerabilities)、arm 64 位设备树文件、DRM 驱动程序、文件系统处理等的更新和修复。
- KDE Frameworks 6.1.0:
numpy
软件包增强了对结构化数组和灵活索引的支持,而pandas
则改进了对缺失数据的处理,并加入了新的数据处理方法。此外,matplotlib
软件包为情节美学(Plot aesthetics)提供了增强的自定义选项。此次更新还包含了用于scikit-learn
机器学习任务的新算法。
- KDE Gear 24.02.2:KDE Gear 24.02.2 更新包含大量修复和增强功能。此次更新解决了 Akonadi 中标签添加功能的问题、Akregator 中翻译快捷方式和图标外观问题;并为 ark 提供了各种改进和修复,如禁用 RAR4 压缩方法。更新还修复了 Elisa 中的多个问题(其中包括音量滑块和曲目播放问题)以及为 Konsole 提供大量增强功能。Korganizer 中的日历选择和待办事项视图更新也得到了修复。
- PHP8 8.3.6:该更新包含大量错误修复、安全补丁以及对不同组件的改进。除了对 Core、DOM、GD、Opcache 和 Session 的修复外,其他修复包括:
- FPM:修复了配置测试在守护进程模式下运行两次以及
fpm_shm_free()
中检查不正确的问题。 - Gettext:修复了在特定配置下调用
dcgettext
和dcngettext
时出现的问题。 - MySQLnd:已应用多项修复,包括纠正握手响应和字符集长度检查。
- Random:针对 8.2 之前的 PHP 版本引入了兼容性改进,并解决了全局
Mt19937
重置的问题。 - Standard:在
mail()
函数中添加了对特定字符的验证,并应用了各种错误修复,包括解决命令注入和 cookie 旁路漏洞。(CVE-2024-1874、CVE-2024-2756 中已注明,并使用 CVE-2024-3096 和 CVE-2024-2757 修复了mb_encode_mimeheader
和password_verify
的问题。)
- FPM:修复了配置测试在守护进程模式下运行两次以及
- Mozilla Firefox 125.0.2。该浏览器带来了以下新功能:
- 加密媒体扩展(Encrypted Media Extensions, EME)新增对 AV1 编解码器的支持,提高了视频播放质量。
- 增强的 PDF 查看器功能,可突出显示文本。
- 引入 URL 粘贴建议功能,允许快速浏览复制到剪贴板的 URL,从而提高可用性。
- 多个关键安全修复,解决了越界读取和使用后无错误等漏洞,增强了浏览器的安全性。
- dracut:新增了
tpm2.target
和systemd-tpm2-generator
等改进功能,并修复了若干内存泄漏问题。 - ffmpeg:ffmpeg-4 和 ffmpeg-6 解决了一些视频处理问题,并修复了内存泄漏,改进了 EOF 处理。更新涉及:
- Flatpak:1.15.8 版本更新包含一些防止沙箱逃逸的安全修复,以及其他各种可用性改进。
- Python3.11:3.11.9 版本包含各种安全补丁和错误修复,如处理 CVE-2023-52425、将捆绑的 libexpat 更新至 2.6.0 版本、修复
collections.deque.index()
中可能出现的崩溃,以及改进 SSLContext 行为。
- Cppcheck:2.14.0 版中的新检查包括:
eraseIteratorOutOfBounds
:警告对超出范围的迭代器调用erase()
,从而增强代码的健壮性。returnByReference
:当从getter
函数按值返回大型类成员时发出警告,这可能会影响性能和内存使用。
其他软件包更新
- SDL2:2.30.2 版本引入了对各种新控制器的支持,包括 6 键 SEGA Mega Drive 控制板和 Hori Fighting Stick EX2。
- Cryptsetup:2.7.2 版本解决了几个问题,包括 OPAL 设备格式化和激活的修复。
- SpamAssassin:4.0.1 版本增强了 URL 缩短器链接重定向处理并改进了 TxRep 锁定管理,从而增强了用户的电子邮件安全性。
错误修复
- Xwayland:CVE-2024-31083 这个严重的安全漏洞缓解了 Xorg 服务器因
ProcRenderAddGlyphs()
函数中的释放后使用 (use-after-free) 漏洞而造成的安全风险,该缺陷允许经过身份验证的攻击者执行任意代码。
- PHP8:CVE-2023-51793、CVE-2023-49502、CVE-2023-50008 和 CVE-2023-50007
- glibc:[CVE-2024-2961] 允许在转换为 ISO-2022-CN-EXT 时发生缓冲区溢出,导致崩溃或变量覆盖。libxml2:CVE-2024-25062 是一个通过精心设计的 xml 文档释放后使用的漏洞。
- QEMU:针对一个漏洞进行了补丁和修复,该漏洞允许恶意虚拟机崩溃 QEMU,并导致拒绝服务情况,对应 CVE-2024-3567。CVE-2024-3446 可能会影响任意代码执行,同时也进行了补丁。
- Freerdp2:2.11.5 版本修复了 CVE-2023-40574 和 CVE-2023-40575,前者在
writePixelBGRX
函数中出现越界(Out-Of-Bounds)写入,这可能是由于变量计算不正确造成的,后者则会导致崩溃。
结论
2024 年 4 月份的更新涵盖了功能增强和关键安全修复。从使用 SDL2 改善游戏支持到加强 Cryptsetup 的加密实践,用户受益于一系列旨在增强功能、稳定性和安全性的更新。在该月份,Tumbleweed 还更新了 Mesa、GTK4 和 transactional-update 等其他软件包。
对于那些想要贡献的 Tumbleweed 用户,请订阅 openSUSE Factory 邮件列表。openSUSE 团队鼓励用户通过 BUG 报告、功能建议和讨论继续参与。
为 openSUSE Tumbleweed 做贡献
您的贡献和反馈使 openSUSE Tumbleweed 的每次更新都更加完善。无论是报告错误、建议功能还是参与社区讨论,我们都非常重视您的参与。
原文:openSUSE Tumbleweed Monthly Update - April,作者:Douglas DeMaio