rpms/c-ares

Fork 0

Upstream update available: c-ares 1.34.5 → 1.34.6 #2

New issue

Open

opened 2026-04-28 00:48:49 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 00:48:49 +03:00

Owner

Upstream update available: `c-ares` `1.34.5` → `1.34.6`

Package

Package: c-ares
RPM name: c-ares
Branch: niceos-5.2
Current EVR: 1.34.5-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: c-ares/c-ares
Upstream URL: https://github.com/c-ares/c-ares
Detected version: 1.34.6
Tag/release: v1.34.6
Source: github_release_latest
Published: 2025-12-08T16:29:34Z
Release URL: https://github.com/c-ares/c-ares/releases/tag/v1.34.6
Source URL: https://api.github.com/repos/c-ares/c-ares/tarball/v1.34.6
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Пакет c-ares обновляется с версии 1.34.5 до 1.34.6 в рамках патч-обновления. Обновление содержит исправление критической уязвимости (CVE-2025-62408), связанной с использованием освобождённой памяти (use-after-free) в функции read_answers(), а также ряд других исправлений ошибок и изменений поведения.

2. Риск для НАЙС.ОС

Оценка: medium
Обоснование: Обновление классифицировано как security-release с наличием подтверждённого CVE. Хотя это патч-обновление (leaf), исправление уязвимости типа use-after-free является критичным для стабильности и безопасности любых приложений, использующих библиотеку для DNS-запросов. Риск автоматического применения без проверки минимален, но необходимость обновления высока.

3. Security/CVE

Во входных данных явно указан идентификатор уязвимости: CVE-2025-62408.
Описание: use-after-free bug в функции read_answers(), внесённый в v1.32.3.
Источник: ссылка на advisory GHSA-jq53-42q6-pqr5 в репозитории upstream.

4. ABI/API риск

В release notes указано изменение поведения: "Ignore Windows IDN Search Domains until proper IDN support is added". Это изменение логики обработки доменных имен может повлиять на результат работы DNS-клиентов в специфических сценариях, однако не описано как прямое изменение сигнатур API или бинарного интерфейса (ABI). Для полной уверенности требуется ручной анализ diff кода функций, экспортируемых через символы.

5. Риск для RPM-сборки

Учитывая, что это обновление библиотеки, потенциальные риски включают:

Изменение требований к компилятору или флагов сборки (хотя в changelog указаны лишь мелкие фиксы билда для Windows/MidnightBSD).
Необходимость пересборки всех зависимых пакетов, использующих c-ares.
Проверка %check секции spec-файла на предмет новых тестов, которые могут провалиться из-за изменения логики обработки IDN.

6. Проверки мейнтейнера

Подтвердить наличие и актуальность CVE-2025-62408 в базе данных уязвимостей (например, NVD, Red Hat Security Data).
Провести сравнение diff исходного кода между v1.34.5 и v1.34.6, чтобы убедиться в отсутствии скрытых изменений ABI.
Проверить список зависимых пакетов (rpm -q --whatrequires c-ares) на предмет наличия критичных сервисов, зависящих от этой библиотеки.
Запустить локальную сборку пакета с новыми версиями зависимостей (если применимо) и выполнить %check.
Убедиться, что патчи в spec-файле (если есть) совместимы с новым кодом.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление является единственным доступным способом устранения критической уязвимости use-after-free (CVE-2025-62408). Поскольку класс обновления — patch, а политика — leaf, и нет признаков ломающих изменений ABI в описании релиза, пакет готов к процедуре обновления кандидата после стандартных проверок сборки и тестирования зависимостей.

Upstream release notes / description

c-ares version 1.34.6 - December 8 2025

This is a security release.

Security:

CVE-2025-62408. A use-after-free bug has been uncovered in read_answers() that
was introduced in v1.32.3. Please see https://github.com/c-ares/c-ares/security/advisories/GHSA-jq53-42q6-pqr5

Changes:

Ignore Windows IDN Search Domains until proper IDN support is added. PR #1034

Bugfixes:

Event Thread could stall when not notified of new queries on existing
connections that are in a bad state
PR #1032
fix conversion of invalid service to port number in ares_getaddrinfo()
PR #1029
fix memory leak in ares_uri
PR #1012
Ignore ares_event_configchg_init failures
PR #1009
Use XOR for random seed generation on fallback logic.
PR #994
Fix clang build on windows.
PR #996
Fix IPv6 link-local nameservers in /etc/resolv.conf
PR #996
Fix a few build issues on MidnightBSD.
PR #983

Thanks go to these friendly people for their efforts and contributions for this
release:

Brad House (@bradh352)
(@F3lixTheCat)
Lucas Holt (@laffer1)
@oargon
Pavel P (@pps83)
Sean Harmer (@seanharmer)
Uwe (@nixblik)

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T21:59:06Z

# Upstream update available: `c-ares` `1.34.5` → `1.34.6` ## Package - Package: `c-ares` - RPM name: `c-ares` - Branch: `niceos-5.2` - Current EVR: `1.34.5-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `c-ares/c-ares` - Upstream URL: https://github.com/c-ares/c-ares - Detected version: `1.34.6` - Tag/release: `v1.34.6` - Source: `github_release_latest` - Published: `2025-12-08T16:29:34Z` - Release URL: https://github.com/c-ares/c-ares/releases/tag/v1.34.6 - Source URL: https://api.github.com/repos/c-ares/c-ares/tarball/v1.34.6 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Пакет `c-ares` обновляется с версии 1.34.5 до 1.34.6 в рамках патч-обновления. Обновление содержит исправление критической уязвимости (CVE-2025-62408), связанной с использованием освобождённой памяти (use-after-free) в функции `read_answers()`, а также ряд других исправлений ошибок и изменений поведения. ### 2. Риск для НАЙС.ОС **Оценка:** medium **Обоснование:** Обновление классифицировано как security-release с наличием подтверждённого CVE. Хотя это патч-обновление (leaf), исправление уязвимости типа use-after-free является критичным для стабильности и безопасности любых приложений, использующих библиотеку для DNS-запросов. Риск автоматического применения без проверки минимален, но необходимость обновления высока. ### 3. Security/CVE Во входных данных явно указан идентификатор уязвимости: **CVE-2025-62408**. Описание: use-after-free bug в функции `read_answers()`, внесённый в v1.32.3. Источник: ссылка на advisory GHSA-jq53-42q6-pqr5 в репозитории upstream. ### 4. ABI/API риск В release notes указано изменение поведения: "Ignore Windows IDN Search Domains until proper IDN support is added". Это изменение логики обработки доменных имен может повлиять на результат работы DNS-клиентов в специфических сценариях, однако не описано как прямое изменение сигнатур API или бинарного интерфейса (ABI). Для полной уверенности требуется ручной анализ diff кода функций, экспортируемых через символы. ### 5. Риск для RPM-сборки Учитывая, что это обновление библиотеки, потенциальные риски включают: - Изменение требований к компилятору или флагов сборки (хотя в changelog указаны лишь мелкие фиксы билда для Windows/MidnightBSD). - Необходимость пересборки всех зависимых пакетов, использующих `c-ares`. - Проверка `%check` секции spec-файла на предмет новых тестов, которые могут провалиться из-за изменения логики обработки IDN. ### 6. Проверки мейнтейнера - [ ] Подтвердить наличие и актуальность CVE-2025-62408 в базе данных уязвимостей (например, NVD, Red Hat Security Data). - [ ] Провести сравнение diff исходного кода между v1.34.5 и v1.34.6, чтобы убедиться в отсутствии скрытых изменений ABI. - [ ] Проверить список зависимых пакетов (`rpm -q --whatrequires c-ares`) на предмет наличия критичных сервисов, зависящих от этой библиотеки. - [ ] Запустить локальную сборку пакета с новыми версиями зависимостей (если применимо) и выполнить `%check`. - [ ] Убедиться, что патчи в spec-файле (если есть) совместимы с новым кодом. ### 7. Рекомендация **update candidate** ### 8. Основание рекомендации Обновление является единственным доступным способом устранения критической уязвимости use-after-free (CVE-2025-62408). Поскольку класс обновления — patch, а политика — leaf, и нет признаков ломающих изменений ABI в описании релиза, пакет готов к процедуре обновления кандидата после стандартных проверок сборки и тестирования зависимостей. ## Upstream release notes / description ## c-ares version 1.34.6 - December 8 2025 This is a security release. Security: * CVE-2025-62408. A use-after-free bug has been uncovered in read_answers() that was introduced in v1.32.3. Please see https://github.com/c-ares/c-ares/security/advisories/GHSA-jq53-42q6-pqr5 Changes: * Ignore Windows IDN Search Domains until proper IDN support is added. [PR #1034](https://github.com/c-ares/c-ares/pull/1034) Bugfixes: * Event Thread could stall when not notified of new queries on existing connections that are in a bad state [PR #1032](https://github.com/c-ares/c-ares/pull/1032) * fix conversion of invalid service to port number in ares_getaddrinfo() [PR #1029](https://github.com/c-ares/c-ares/pull/1029) * fix memory leak in ares_uri [PR #1012](https://github.com/c-ares/c-ares/pull/1012) * Ignore ares_event_configchg_init failures [PR #1009](https://github.com/c-ares/c-ares/pull/1009) * Use XOR for random seed generation on fallback logic. [PR #994](https://github.com/c-ares/c-ares/pull/994) * Fix clang build on windows. [PR #996](https://github.com/c-ares/c-ares/pull/996) * Fix IPv6 link-local nameservers in /etc/resolv.conf [PR #996](https://github.com/c-ares/c-ares/pull/997) * Fix a few build issues on MidnightBSD. [PR #983](https://github.com/c-ares/c-ares/pull/983) Thanks go to these friendly people for their efforts and contributions for this release: * Brad House (@bradh352) * (@F3lixTheCat) * Lucas Holt (@laffer1) * @oargon * Pavel P (@pps83) * Sean Harmer (@seanharmer) * Uwe (@nixblik) ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T21:59:06Z`

sbelikov added the

labels

2026-04-28 00:48:49 +03:00