Upstream update available: audit 4.0.5 → 4.1.4 #2

New issue

Open

opened 2026-04-28 00:47:31 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 00:47:31 +03:00

Owner

Upstream update available: `audit` `4.0.5` → `4.1.4`

Package

Package: audit
RPM name: audit
Branch: niceos-5.2
Current EVR: 4.0.5-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: linux-audit/audit-userspace
Upstream URL: https://github.com/linux-audit/audit-userspace
Detected version: 4.1.4
Tag/release: v4.1.4
Source: github_release_latest
Published: 2026-03-23T12:12:37Z
Release URL: https://github.com/linux-audit/audit-userspace/releases/tag/v4.1.4
Source URL: https://api.github.com/repos/linux-audit/audit-userspace/tarball/v4.1.4
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление пакета audit с версии 4.0.5 до 4.1.4 является минорным и содержит исправления безопасности, связанные с уязвимостями памяти в модулях auparse и audisp, а также улучшения совместимости с ядром 7.0. Обновление затрагивает критически важные компоненты аудита системы, включая обработку прав доступа и управление очередями. Несмотря на отсутствие явных CVE в метаданных, наличие тегов "memory safety issues" требует тщательной проверки перед развертыванием.

2. Риск для НАЙС.ОС

medium.
Обновление классифицировано как minor, однако оно включает исправления "memory safety issues" и изменения в логике обработки прав (auditctl permission checks). Для системного пакета аудита это повышает риск нестабильности при переходе между версиями, если не протестировано взаимодействие с существующими правилами аудита и агентами удаленного сбора логов (audisp-remote).

3. Security/CVE

Во входных данных нет явных указаний на конкретные CVE или подтвержденных уязвимостей безопасности через скрипты (security_keywords_detected_by_script: False). Однако в release notes явно упоминаются "Fix memory safety issues in auparse and the audisp filter plugin", что указывает на потенциальные проблемы безопасности, требующие анализа кода, но не имеющие публичных идентификаторов в текущем наборе данных.

4. ABI/API риск

Данных недостаточно для автоматического определения ABI/API рисков.
В release notes указаны изменения в таблицах системных вызовов и io_uring для ядра 7.0, а также исправления парсинга записей (ausearch, auparse). Поскольку audit часто используется как библиотека, необходимо вручную проверить:

Изменения в структуре структур данных, возвращаемых функциями парсинга.
Совместимость новых типов записей с существующими фильтрами audisp.
Изменения в сигнатурах функций или ожидаемых форматах данных в audisp плагинах.

5. Риск для RPM-сборки

Возможны следующие проблемы в процессе сборки:

BuildRequires: Обновление таблиц ядра 7.0 может потребовать обновления заголовков ядра или специфичных макросов, если они жестко связаны с версией ядра в spec файле.
%check: Тесты могут провалиться из-за изменений в обработке новых типов записей или поведения io_uring, если тестовые данные не обновлены под ядро 7.0.
Патчи: Существующие патчи НАЙС.ОС могут конфликтовать с кодом чистки (code cleanups) или изменениями логики обработки дискового пространства.

6. Проверки мейнтейнера

Проверить наличие конфликтов патчей НАЙС.ОС с новыми изменениями в коде (особенно в auparse и audisp).
Провести тестирование правил аудита (auditctl) на предмет корректности работы после обновления.
Проверить работу агентов удаленного сбора логов (audisp-remote, audisp-statsd) с новым форматом записей.
Убедиться, что BuildRequires на заголовки ядра актуальны для поддержки таблиц ядра 7.0.
Запустить %check секцию сборки и проанализировать любые новые ошибки или предупреждения.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление помечено как minor и leaf, политика блокировки отключена (policy_blocked: False), а риск автоматического обновления для критических пакетов не применяется к этому типу обновлений (так как это не major-обновление toolchain). Наличие исправлений безопасности (memory safety) делает обновление желательным, но требует ручного прохождения проверок мейнтейнера (чеклист выше) перед финальным включением в репозиторий.

Upstream release notes / description

- Update syscalls and io_uring tables for the 7.0 kernel (Hilko Bengen)
- Code cleanups (mikhailnov)
- Avoid blocking auditd while handling disk space alerts
- Tighten auditctl permission checks and rule deletion handling
- Fix ausearch and auparse parsing for several newer record types
- Prevent queue resize races in audisp and oversize records in af_unix
- Fix memory safety issues in auparse and the audisp filter plugin
- Improve reliability of audisp-remote, auplugin, and the ids plugin
- Fix stats collection and parsing in the audisp-statsd plugin
- Refresh ausearch and aureport man pages

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T21:57:46Z

# Upstream update available: `audit` `4.0.5` → `4.1.4` ## Package - Package: `audit` - RPM name: `audit` - Branch: `niceos-5.2` - Current EVR: `4.0.5-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `linux-audit/audit-userspace` - Upstream URL: https://github.com/linux-audit/audit-userspace - Detected version: `4.1.4` - Tag/release: `v4.1.4` - Source: `github_release_latest` - Published: `2026-03-23T12:12:37Z` - Release URL: https://github.com/linux-audit/audit-userspace/releases/tag/v4.1.4 - Source URL: https://api.github.com/repos/linux-audit/audit-userspace/tarball/v4.1.4 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление пакета `audit` с версии 4.0.5 до 4.1.4 является минорным и содержит исправления безопасности, связанные с уязвимостями памяти в модулях `auparse` и `audisp`, а также улучшения совместимости с ядром 7.0. Обновление затрагивает критически важные компоненты аудита системы, включая обработку прав доступа и управление очередями. Несмотря на отсутствие явных CVE в метаданных, наличие тегов "memory safety issues" требует тщательной проверки перед развертыванием. ### 2. Риск для НАЙС.ОС **medium**. Обновление классифицировано как `minor`, однако оно включает исправления "memory safety issues" и изменения в логике обработки прав (`auditctl permission checks`). Для системного пакета аудита это повышает риск нестабильности при переходе между версиями, если не протестировано взаимодействие с существующими правилами аудита и агентами удаленного сбора логов (`audisp-remote`). ### 3. Security/CVE Во входных данных **нет** явных указаний на конкретные CVE или подтвержденных уязвимостей безопасности через скрипты (`security_keywords_detected_by_script: False`). Однако в release notes явно упоминаются "Fix memory safety issues in auparse and the audisp filter plugin", что указывает на потенциальные проблемы безопасности, требующие анализа кода, но не имеющие публичных идентификаторов в текущем наборе данных. ### 4. ABI/API риск Данных недостаточно для автоматического определения ABI/API рисков. В release notes указаны изменения в таблицах системных вызовов и `io_uring` для ядра 7.0, а также исправления парсинга записей (`ausearch`, `auparse`). Поскольку `audit` часто используется как библиотека, необходимо вручную проверить: - Изменения в структуре структур данных, возвращаемых функциями парсинга. - Совместимость новых типов записей с существующими фильтрами `audisp`. - Изменения в сигнатурах функций или ожидаемых форматах данных в `audisp` плагинах. ### 5. Риск для RPM-сборки Возможны следующие проблемы в процессе сборки: - **BuildRequires**: Обновление таблиц ядра 7.0 может потребовать обновления заголовков ядра или специфичных макросов, если они жестко связаны с версией ядра в `spec` файле. - **%check**: Тесты могут провалиться из-за изменений в обработке новых типов записей или поведения `io_uring`, если тестовые данные не обновлены под ядро 7.0. - **Патчи**: Существующие патчи НАЙС.ОС могут конфликтовать с кодом чистки (code cleanups) или изменениями логики обработки дискового пространства. ### 6. Проверки мейнтейнера - [ ] Проверить наличие конфликтов патчей НАЙС.ОС с новыми изменениями в коде (особенно в `auparse` и `audisp`). - [ ] Провести тестирование правил аудита (`auditctl`) на предмет корректности работы после обновления. - [ ] Проверить работу агентов удаленного сбора логов (`audisp-remote`, `audisp-statsd`) с новым форматом записей. - [ ] Убедиться, что `BuildRequires` на заголовки ядра актуальны для поддержки таблиц ядра 7.0. - [ ] Запустить `%check` секцию сборки и проанализировать любые новые ошибки или предупреждения. ### 7. Рекомендация update candidate ### 8. Основание рекомендации Обновление помечено как `minor` и `leaf`, политика блокировки отключена (`policy_blocked: False`), а риск автоматического обновления для критических пакетов не применяется к этому типу обновлений (так как это не major-обновление toolchain). Наличие исправлений безопасности (memory safety) делает обновление желательным, но требует ручного прохождения проверок мейнтейнера (чеклист выше) перед финальным включением в репозиторий. ## Upstream release notes / description ``` - Update syscalls and io_uring tables for the 7.0 kernel (Hilko Bengen) - Code cleanups (mikhailnov) - Avoid blocking auditd while handling disk space alerts - Tighten auditctl permission checks and rule deletion handling - Fix ausearch and auparse parsing for several newer record types - Prevent queue resize races in audisp and oversize records in af_unix - Fix memory safety issues in auparse and the audisp filter plugin - Improve reliability of audisp-remote, auplugin, and the ids plugin - Fix stats collection and parsing in the audisp-statsd plugin - Refresh ausearch and aureport man pages ``` ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T21:57:46Z`

sbelikov added the

labels

2026-04-28 00:47:31 +03:00