Upstream update available: cni 1.7.1 → 1.9.1 #3

New issue

Closed

opened 2026-05-02 18:31:45 +03:00 by sbelikov · 1 comment

sbelikov commented 2026-05-02 18:31:45 +03:00

Owner

Copy link

Upstream update available: cni 1.7.1 → 1.9.1

Package

• Package: cni
• RPM name: cni
• Branch: niceos-5.2
• Current EVR: 1.7.1-1
• Update class: minor
• Compare method: python_rpm
• Update policy: leaf
• Risk tags: github-upstream

Upstream

• Upstream type: github
• Upstream project: containernetworking/plugins
• Upstream URL: github.com — plugins
• Detected version: 1.9.1
• Tag/release: v1.9.1
• Source: github_release_latest
• Published: 2026-03-16T14:09:11Z
• Release URL: github.com — v1.9.1
• Source URL: api.github.com — v1.9.1
• Pre-release: False

Signals

• Security-relevant keywords detected: True
• Policy blocked: False
• Policy reason: -
• Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Обновление cni с 1.7.1 до 1.9.1 выглядит как candidate для стабильно поддерживаемого дистрибутива: upstream позиционирует релиз как patch release с minor fixes, без явных признаков breaking changes. При этом есть security-relevant изменение из-за bump selinux до 1.13.0 для CVE-2025-52881, поэтому перед merge нужен краткий manual review downstream-сборки.
Итог: candidate, но с обязательной проверкой RPM-спека и runtime-рисков для vrf/bandwidth.

2. Риск для НАЙС.ОС

Risk: low / medium (на границе).

Обоснование:

• Для enterprise-stable политики это выглядит приемлемо, потому что upstream описывает релиз как patch release с minor fixes.
• Изменения в основном точечные: исправление падения в bandwidth, корректировка обработки маршрутов в vrf, улучшение текста ошибки в bridge.
• Есть security-related dependency bump (selinux -> 1.13.0), что повышает приоритет проверки, но само по себе не выглядит как high-risk change.
• Риск совместимости не нулевой: исправление в vrf меняет поведение фильтрации маршрутов, и это может затронуть deployments, которые неявно опирались на старое некорректное поведение.

3. Что изменилось upstream

Проверяемые изменения по v1.9.1:

• bandwidth: исправлено обработку nil bandwidth в CHECK, чтобы избежать segfault.
• vrf: сохранение IPAM-configured routes при route filtering.
• bridge: в ошибку AddrAdd добавлен попытанный IP address.
• selinux: bump до 1.13.0 для CVE-2025-52881.
• В compare между v1.9.0 и v1.9.1 указано: 6 commits, 59 files changed, 5 contributors.
• Также видно тестовое изменение с уменьшением имени veth peer для укладывания в Linux IFNAMSIZ, и изменение в tooling: golangci/golangci-lint-action обновлён с 8 на 9.

4. Security/CVE

Подтверждённый CVE:

• CVE-2025-52881 — упоминается upstream в связи с bump selinux до 1.13.0.

Других подтверждённых CVE по проверенным upstream-источникам не найдено.

5. ABI/API/CLI/config риск

Оценка: low, с точечным behavioral risk.

Что видно по upstream:

• Нет признаков изменений CLI, новых опций или явного ABI/API-breaking изменения.
• bridge change выглядит диагностическим.
• bandwidth change устраняет crash path и меняет error handling.
• vrf change меняет поведение фильтрации маршрутов и может повлиять на конфигурации, где ранее наблюдалось старое поведение.

Вывод:

• ABI/API риск: unknown/low.
• CLI риск: unknown/low.
• Config/behavior risk: low to medium из-за vrf.

6. Риск для RPM-сборки и dist-git

Что проверить перед merge:

• SPECS/cni.spec: версия, Release, Source0, Patch-и, macros.
• SOURCES/: совпадает ли source lock/тарболл с v1.9.1.
• BuildRequires / Requires: не появился ли новый runtime dependency, особенно вокруг selinux.
• %check: не сломались ли тесты из-за изменения поведения bandwidth/vrf.
• %files: нет ли добавления/удаления бинарей, конфигов или путей установки.
• SBOM / license metadata: нет ли drift после dependency bump.
• Если используются downstream patches — проверить, не конфликтуют ли они с upstream-изменениями.
• Проверить, не требует ли bump selinux корректировки Requires или vendoring policy.

Факт, который можно считать установленным:

• public dist-git landing page подтверждает, что пакет управляется через SPECS/ и SOURCES/, но содержимое cni.spec в доступной выдаче не раскрыто, поэтому точный spec-level impact — unknown/manual review.

7. Риск для системы и зависимых компонентов

Оценка: low to medium.

Потенциальные эффекты:

• bandwidth: исправляет возможный segfault в CHECK, значит улучшает runtime stability.
• vrf: меняет обработку маршрутов; это может затронуть сетевое поведение контейнеров и зависимые CNI-сценарии.
• bridge: влияет только на текст ошибки, системный риск минимален.
• Поскольку cni — leaf-пакет, обратная зависимость обычно проявляется через runtime networking stack, а не через ABI на уровне библиотек.

Отдельный риск:

• окружения, завязанные на специфическое поведение vrf, могут заметить изменение маршрутов после апдейта.

8. Проверки мейнтейнера

Checklist перед PR/merge:

1. Сверить Source0 с v1.9.1.
2. Проверить, не нужны ли новые/изменённые Patch-и для downstream.
3. Прогнать сборку в clean chroot.
4. Прогнать %check и, если есть, сетевые/functional tests.
5. Проверить Requires/BuildRequires после bump selinux.
6. Сравнить список установленных файлов до/после.
7. Проверить, что vrf-поведение не ломает ожидаемые downstream сценарии.
8. Проверить, что bandwidth crash fix не меняет test expectations.
9. Убедиться, что SBOM / licensing metadata не деградировали.
10. Если есть downstream consumers, подтвердить отсутствие регрессий на стенде.

9. Рекомендация

update candidate

10. Источники

• containernetworking/plugins
• v1.9.1 release
• Compare v1.9.0...v1.9.1
• NiceOS dist-git landing page for cni
• GHSA-cgrx-mc8f-2prm

Источники, найденные web_search

1. github.com — plugins
2. github.com — releases
3. github.com — releases
4. github.com — container selinux
5. github.com — cni
6. github.com — releases
7. github.com — releases
8. github.com — releases
9. github.com — releases
10. github.com — releases
11. github.com — libnetwork plugin
12. github.com — windows container networking

Upstream release notes / description

This is a patch release with dependency updates and some minor fixes.

Minor fixes

• bandwidth: handle nil bandwidth in CHECK by @squeed in github.com — 1222
• vrf: fix route filtering to preserve IPAM-configured routes by @mlguerrero12 in github.com — 1227
• CVE-2025-52881: Bump selinux to 1.13.0 by @sbiradar10 in github.com — 1231
• bridge: include attempted IP address in AddrAdd error message by @Amulyam24 in github.com — 1225

New Contributors

• @sbiradar10 made their first contribution in github.com — 1231
• @Amulyam24 made their first contribution in github.com — 1225

Full Changelog: github.com — v1.9.0...v1.9.1

NiceOS maintainer checklist

• Confirm that the detected version is a stable upstream release.
• Check upstream changelog for security fixes, ABI/API changes and build-system changes.
• Check ABI/API compatibility and reverse dependencies.
• Download source into NiceOS lookaside storage.
• Update Version and related fields in SPECS/*.spec only if policy allows it.
• Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
• Build SRPM/RPM in a clean NiceOS buildroot.
• Run package smoke tests.
• Link PR/build logs and close this issue after update or triage.

Bot metadata

• Tool: niceos_upstream_monitor.py 2.1.2-openai-deep
• Generated at: 2026-05-02T15:31:40Z

<!-- niceos-upstream-monitor:fingerprint=upstream-update:cni:1.9.1 --> <!-- niceos-upstream-monitor:package=cni --> <!-- niceos-upstream-monitor:current=1.7.1 --> <!-- niceos-upstream-monitor:latest=1.9.1 --> # Upstream update available: `cni` `1.7.1` → `1.9.1` ## Package - Package: `cni` - RPM name: `cni` - Branch: `niceos-5.2` - Current EVR: `1.7.1-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `containernetworking/plugins` - Upstream URL: <a href="https://github.com/containernetworking/plugins" target="_blank" rel="noopener noreferrer">github.com — plugins</a> - Detected version: `1.9.1` - Tag/release: `v1.9.1` - Source: `github_release_latest` - Published: `2026-03-16T14:09:11Z` - Release URL: <a href="https://github.com/containernetworking/plugins/releases/tag/v1.9.1" target="_blank" rel="noopener noreferrer">github.com — v1.9.1</a> - Source URL: <a href="https://api.github.com/repos/containernetworking/plugins/tarball/v1.9.1" target="_blank" rel="noopener noreferrer">api.github.com — v1.9.1</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Обновление `cni` с `1.7.1` до `1.9.1` выглядит как **candidate** для стабильно поддерживаемого дистрибутива: upstream позиционирует релиз как patch release с minor fixes, без явных признаков breaking changes. При этом есть **security-relevant** изменение из-за bump `selinux` до `1.13.0` для `CVE-2025-52881`, поэтому перед merge нужен краткий manual review downstream-сборки. Итог: **candidate**, но с обязательной проверкой RPM-спека и runtime-рисков для `vrf`/`bandwidth`. ### 2. Риск для НАЙС.ОС **Risk: low / medium (на границе).** Обоснование: - Для enterprise-stable политики это выглядит приемлемо, потому что upstream описывает релиз как patch release с minor fixes. - Изменения в основном точечные: исправление падения в `bandwidth`, корректировка обработки маршрутов в `vrf`, улучшение текста ошибки в `bridge`. - Есть security-related dependency bump (`selinux` -> `1.13.0`), что повышает приоритет проверки, но само по себе не выглядит как high-risk change. - Риск совместимости не нулевой: исправление в `vrf` меняет поведение фильтрации маршрутов, и это может затронуть deployments, которые неявно опирались на старое некорректное поведение. ### 3. Что изменилось upstream Проверяемые изменения по `v1.9.1`: - `bandwidth`: исправлено обработку `nil` bandwidth в `CHECK`, чтобы избежать segfault. - `vrf`: сохранение IPAM-configured routes при route filtering. - `bridge`: в ошибку `AddrAdd` добавлен попытанный IP address. - `selinux`: bump до `1.13.0` для `CVE-2025-52881`. - В compare между `v1.9.0` и `v1.9.1` указано: **6 commits, 59 files changed, 5 contributors**. - Также видно тестовое изменение с уменьшением имени veth peer для укладывания в Linux `IFNAMSIZ`, и изменение в tooling: `golangci/golangci-lint-action` обновлён с `8` на `9`. ### 4. Security/CVE Подтверждённый CVE: - **CVE-2025-52881** — упоминается upstream в связи с bump `selinux` до `1.13.0`. Других подтверждённых CVE по проверенным upstream-источникам **не найдено**. ### 5. ABI/API/CLI/config риск **Оценка: low, с точечным behavioral risk.** Что видно по upstream: - Нет признаков изменений CLI, новых опций или явного ABI/API-breaking изменения. - `bridge` change выглядит диагностическим. - `bandwidth` change устраняет crash path и меняет error handling. - `vrf` change меняет поведение фильтрации маршрутов и может повлиять на конфигурации, где ранее наблюдалось старое поведение. Вывод: - ABI/API риск: **unknown/low**. - CLI риск: **unknown/low**. - Config/behavior risk: **low to medium** из-за `vrf`. ### 6. Риск для RPM-сборки и dist-git Что проверить перед merge: - `SPECS/cni.spec`: версия, `Release`, `Source0`, `Patch`-и, macros. - `SOURCES/`: совпадает ли source lock/тарболл с `v1.9.1`. - `BuildRequires` / `Requires`: не появился ли новый runtime dependency, особенно вокруг `selinux`. - `%check`: не сломались ли тесты из-за изменения поведения `bandwidth`/`vrf`. - `%files`: нет ли добавления/удаления бинарей, конфигов или путей установки. - SBOM / license metadata: нет ли drift после dependency bump. - Если используются downstream patches — проверить, не конфликтуют ли они с upstream-изменениями. - Проверить, не требует ли bump `selinux` корректировки `Requires` или vendoring policy. Факт, который можно считать установленным: - public dist-git landing page подтверждает, что пакет управляется через `SPECS/` и `SOURCES/`, но содержимое `cni.spec` в доступной выдаче не раскрыто, поэтому точный spec-level impact — **unknown/manual review**. ### 7. Риск для системы и зависимых компонентов **Оценка: low to medium.** Потенциальные эффекты: - `bandwidth`: исправляет возможный segfault в `CHECK`, значит улучшает runtime stability. - `vrf`: меняет обработку маршрутов; это может затронуть сетевое поведение контейнеров и зависимые CNI-сценарии. - `bridge`: влияет только на текст ошибки, системный риск минимален. - Поскольку `cni` — leaf-пакет, обратная зависимость обычно проявляется через runtime networking stack, а не через ABI на уровне библиотек. Отдельный риск: - окружения, завязанные на специфическое поведение `vrf`, могут заметить изменение маршрутов после апдейта. ### 8. Проверки мейнтейнера Checklist перед PR/merge: 1. Сверить `Source0` с `v1.9.1`. 2. Проверить, не нужны ли новые/изменённые `Patch`-и для downstream. 3. Прогнать сборку в clean chroot. 4. Прогнать `%check` и, если есть, сетевые/functional tests. 5. Проверить `Requires`/`BuildRequires` после bump `selinux`. 6. Сравнить список установленных файлов до/после. 7. Проверить, что `vrf`-поведение не ломает ожидаемые downstream сценарии. 8. Проверить, что `bandwidth` crash fix не меняет test expectations. 9. Убедиться, что SBOM / licensing metadata не деградировали. 10. Если есть downstream consumers, подтвердить отсутствие регрессий на стенде. ### 9. Рекомендация **update candidate** ### 10. Источники - <a href="https://github.com/containernetworking/plugins" target="_blank" rel="noopener noreferrer">containernetworking/plugins</a> - <a href="https://github.com/containernetworking/plugins/releases/tag/v1.9.1" target="_blank" rel="noopener noreferrer">v1.9.1 release</a> - <a href="https://github.com/containernetworking/plugins/compare/v1.9.0...v1.9.1" target="_blank" rel="noopener noreferrer">Compare v1.9.0...v1.9.1</a> - <a href="https://specs.niceos.ru/rpms/cni" target="_blank" rel="noopener noreferrer">NiceOS dist-git landing page for cni</a> - <a href="https://github.com/advisories/GHSA-cgrx-mc8f-2prm" target="_blank" rel="noopener noreferrer">GHSA-cgrx-mc8f-2prm</a> ### Источники, найденные web_search 1. <a href="https://github.com/containernetworking/plugins" target="_blank" rel="noopener noreferrer">github.com — plugins</a> 2. <a href="https://github.com/containernetworking/plugins/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 3. <a href="https://github.com/spf13/cobra/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 4. <a href="https://github.com/containers/container-selinux" target="_blank" rel="noopener noreferrer">github.com — container selinux</a> 5. <a href="https://github.com/containernetworking/cni" target="_blank" rel="noopener noreferrer">github.com — cni</a> 6. <a href="https://github.com/kubevirt/hyperconverged-cluster-operator/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 7. <a href="https://github.com/containerd/containerd/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 8. <a href="https://github.com/k3s-io/k3s/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 9. <a href="https://github.com/containers/nri-plugins/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 10. <a href="https://github.com/containernetworking/cni/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 11. <a href="https://github.com/projectcalico/libnetwork-plugin" target="_blank" rel="noopener noreferrer">github.com — libnetwork plugin</a> 12. <a href="https://github.com/microsoft/windows-container-networking" target="_blank" rel="noopener noreferrer">github.com — windows container networking</a> ## Upstream release notes / description This is a patch release with dependency updates and some minor fixes. ## Minor fixes * bandwidth: handle nil bandwidth in CHECK by @squeed in <a href="https://github.com/containernetworking/plugins/pull/1222" target="_blank" rel="noopener noreferrer">github.com — 1222</a> * vrf: fix route filtering to preserve IPAM-configured routes by @mlguerrero12 in <a href="https://github.com/containernetworking/plugins/pull/1227" target="_blank" rel="noopener noreferrer">github.com — 1227</a> * CVE-2025-52881: Bump selinux to 1.13.0 by @sbiradar10 in <a href="https://github.com/containernetworking/plugins/pull/1231" target="_blank" rel="noopener noreferrer">github.com — 1231</a> * bridge: include attempted IP address in AddrAdd error message by @Amulyam24 in <a href="https://github.com/containernetworking/plugins/pull/1225" target="_blank" rel="noopener noreferrer">github.com — 1225</a> ## New Contributors * @sbiradar10 made their first contribution in <a href="https://github.com/containernetworking/plugins/pull/1231" target="_blank" rel="noopener noreferrer">github.com — 1231</a> * @Amulyam24 made their first contribution in <a href="https://github.com/containernetworking/plugins/pull/1225" target="_blank" rel="noopener noreferrer">github.com — 1225</a> **Full Changelog**: <a href="https://github.com/containernetworking/plugins/compare/v1.9.0...v1.9.1" target="_blank" rel="noopener noreferrer">github.com — v1.9.0...v1.9.1</a> ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.2-openai-deep` - Generated at: `2026-05-02T15:31:40Z`

sbelikov added the

bot

needs-build

needs-triage

priority/high

security-release

update/minor

upstream-update

upstream/github

ai-summary

labels 2026-05-02 18:31:45 +03:00

sbelikov commented 2026-05-02 18:38:25 +03:00

Author

Owner

Copy link

Package version is now 1.9.1 and target version was 1.9.1. Closing as resolved.\n\n_Closed by niceos_upstream_monitor.py 1.5 at 2026-05-02T15:38:24Z._

Package version is now `1.9.1` and target version was `1.9.1`. Closing as resolved.\n\n_Closed by `niceos_upstream_monitor.py 1.5` at `2026-05-02T15:38:24Z`._

sbelikov closed this issue 2026-05-02 18:38:25 +03:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

niceos-5.2

update-cni-1.9.1

No results found.

Labels

Clear labels   

ai-summary

Issue contains local NiceSOFT AI generated preliminary analysis

  

bot

Created by automation

  

needs-build

Needs build verification

  

needs-triage

Needs maintainer triage

  

priority/high

High priority

  

security-release

Release notes mention security fixes or CVE

  

update/minor

Minor update

  

upstream-update

New upstream version is available

  

upstream/github

GitHub upstream

No labels

ai-summary

bot

needs-build

needs-triage

priority/high

security-release

update/minor

upstream-update

upstream/github

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

rpms/cni#3

No description provided.