[RAW] 2024-05-01 openSUSE Tumbleweed 每月更新 - 四月


author: Poplar at twilight
date: 2024-05-01 03:40:00 +0800
layout: post
license: CC-BY-SA-4.0
title: openSUSE Tumbleweed 每月更新 - 四月
image: /assets/posts/2024-05/tw.png
categories:

  • 更新通告
    tags:
  • Tumbleweed
  • 翻译作品
  • 官方新闻

欢迎来到 openSUSE Tumbleweed 2024 年 4 月的月度更新。本月的更新是在解决了 上个月针对 xz 压缩库的供应链攻击 后开始的。关于 XZ 后门的解释、如何解决该问题以及所学到的知识,请访问 news.opensuse.orgsuse.org.cn

随着会议旺季的到来,openSUSE Tumbleweed 本月发布了大量更新、增强功能和重要的安全修复。如果读者希望更频繁地获得快照更新信息,我们鼓励读者订阅 openSUSE Factory 邮件列表

新功能和改进

  • Linux 内核:四月份有数次内核更新。Linux 6.8.5 的显著变化包括缓解分支历史注入(Branch History Injection, BHI)漏洞、改进 Spectre 缓解、更新英特尔图形驱动程序、修复 SMB 客户端漏洞和修复 RISC-V 架构。Linux 6.8.7 提供了 AMD 显示驱动程序、英特尔 i915 驱动程序、x86 推测执行漏洞(speculative execution vulnerabilities)、arm 64 位设备树文件、DRM 驱动程序、文件系统处理等的更新和修复。
  • KDE Frameworks 6.1.0numpy 软件包增强了对结构化数组和灵活索引的支持,而 pandas 则改进了对缺失数据的处理,并加入了新的数据处理方法。此外,matplotlib 软件包为情节美学(Plot aesthetics)提供了增强的自定义选项。此次更新还包含了用于 scikit-learn 机器学习任务的新算法。
  • KDE Gear 24.02.2:KDE Gear 24.02.2 更新包含大量修复和增强功能。此次更新解决了 Akonadi 中标签添加功能的问题、Akregator 中翻译快捷方式和图标外观问题;并为 ark 提供了各种改进和修复,如禁用 RAR4 压缩方法。更新还修复了 Elisa 中的多个问题(其中包括音量滑块和曲目播放问题)以及为 Konsole 提供大量增强功能。Korganizer 中的日历选择和待办事项视图更新也得到了修复。
  • PHP8 8.3.6:该更新包含大量错误修复、安全补丁以及对不同组件的改进。除了对 Core、DOM、GD、Opcache 和 Session 的修复外,其他修复包括:
    • FPM:修复了配置测试在守护进程模式下运行两次以及 fpm_shm_free() 中检查不正确的问题。
    • Gettext:修复了在特定配置下调用 dcgettextdcngettext 时出现的问题。
    • MySQLnd:已应用多项修复,包括纠正握手响应和字符集长度检查。
    • Random:针对 8.2 之前的 PHP 版本引入了兼容性改进,并解决了全局 Mt19937 重置的问题。
    • Standard:在 mail() 函数中添加了对特定字符的验证,并应用了各种错误修复,包括解决命令注入和 cookie 旁路漏洞。(CVE-2024-1874CVE-2024-2756 中已注明,并使用 CVE-2024-3096CVE-2024-2757 修复了 mb_encode_mimeheaderpassword_verify 的问题。)
  • Mozilla Firefox 125.0.2。该浏览器带来了以下新功能:
    • 加密媒体扩展(Encrypted Media Extensions, EME)新增对 AV1 编解码器的支持,提高了视频播放质量。
    • 增强的 PDF 查看器功能,可突出显示文本。
    • 引入 URL 粘贴建议功能,允许快速浏览复制到剪贴板的 URL,从而提高可用性。
    • 多个关键安全修复,解决了越界读取和使用后无错误等漏洞,增强了浏览器的安全性。
  • dracut:新增了 tpm2.targetsystemd-tpm2-generator 等改进功能,并修复了若干内存泄漏问题。
  • ffmpeg:ffmpeg-4 和 ffmpeg-6 解决了一些视频处理问题,并修复了内存泄漏,改进了 EOF 处理。更新涉及:
  • sqlite3:从 3.45.2 版本更新到 3.45.3 版本,解决了影响某些 UPSERT 操作中触发器响应准确性的一个长期存在的错误,以确保更可靠的数据库操作。
  • Flatpak:1.15.8 版本更新包含一些防止沙箱逃逸的安全修复,以及其他各种可用性改进。
  • Python3.11:3.11.9 版本包含各种安全补丁和错误修复,如处理 CVE-2023-52425、将捆绑的 libexpat 更新至 2.6.0 版本、修复 collections.deque.index() 中可能出现的崩溃,以及改进 SSLContext 行为。
  • Cppcheck:2.14.0 版中的新检查包括:
    • eraseIteratorOutOfBounds:警告对超出范围的迭代器调用 erase(),从而增强代码的健壮性。
    • returnByReference:当从 getter 函数按值返回大型类成员时发出警告,这可能会影响性能和内存使用。

其他软件包更新

  • SDL2:2.30.2 版本引入了对各种新控制器的支持,包括 6 键 SEGA Mega Drive 控制板和 Hori Fighting Stick EX2。
  • Cryptsetup:2.7.2 版本解决了几个问题,包括 OPAL 设备格式化和激活的修复。
  • SpamAssassin:4.0.1 版本增强了 URL 缩短器链接重定向处理并改进了 TxRep 锁定管理,从而增强了用户的电子邮件安全性。

错误修复

  • XwaylandCVE-2024-31083 这个严重的安全漏洞缓解了 Xorg 服务器因 ProcRenderAddGlyphs() 函数中的释放后使用 (use-after-free) 漏洞而造成的安全风险,该缺陷允许经过身份验证的攻击者执行任意代码。
  • QEMU:针对一个漏洞进行了补丁和修复,该漏洞允许恶意虚拟机崩溃 QEMU,并导致拒绝服务情况,对应 CVE-2024-3567CVE-2024-3446 可能会影响任意代码执行,同时也进行了补丁。
  • Freerdp2:2.11.5 版本修复了 CVE-2023-40574CVE-2023-40575,前者在 writePixelBGRX 函数中出现越界(Out-Of-Bounds)写入,这可能是由于变量计算不正确造成的,后者则会导致崩溃。

结论

2024 年 4 月份的更新涵盖了功能增强和关键安全修复。从使用 SDL2 改善游戏支持到加强 Cryptsetup 的加密实践,用户受益于一系列旨在增强功能、稳定性和安全性的更新。在该月份,Tumbleweed 还更新了 MesaGTK4transactional-update 等其他软件包。

对于那些想要贡献的 Tumbleweed 用户,请订阅 openSUSE Factory 邮件列表。openSUSE 团队鼓励用户通过 BUG 报告、功能建议和讨论继续参与。

为 openSUSE Tumbleweed 做贡献

您的贡献和反馈使 openSUSE Tumbleweed 的每次更新都更加完善。无论是报告错误、建议功能还是参与社区讨论,我们都非常重视您的参与。


原文:openSUSE Tumbleweed Monthly Update - April,作者:Douglas DeMaio