Upstream update available: crun 1.26 → 1.27.1 #2

New issue

Open

opened 2026-04-28 01:03:23 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:03:23 +03:00

Owner

Upstream update available: `crun` `1.26` → `1.27.1`

Package

Package: crun
RPM name: crun
Branch: niceos-5.2
Current EVR: 1.26-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: containers/crun
Upstream URL: https://github.com/containers/crun
Detected version: 1.27.1
Tag/release: 1.27.1
Source: github_release_latest
Published: 2026-04-21T07:55:51Z
Release URL: https://github.com/containers/crun/releases/tag/1.27.1
Source URL: https://api.github.com/repos/containers/crun/tarball/1.27.1
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление crun с версии 1.26 до 1.27.1 является минорным и содержит исправления критических регрессий в работе bind-mount, AppArmor, cgroup и запуске контейнеров на нестандартных системах (Android/Linux Deploy). Обновление также добавляет поддержку сетевых интерфейсов passt для микро-ВМ и улучшает обработку конфигурации памяти.

2. Риск для НАЙС.ОС

medium. Хотя класс обновления помечен как minor, исправляемые баги затрагивают фундаментальные механизмы изоляции (AppArmor, cgroup) и монтирования файловых систем. Ошибка с EBADF при удалении контейнеров и проблемы с правами вью на монтируемых устройствах могут привести к нестабильности системы или невозможности корректно управлять ресурсами.

3. Security/CVE

Во входных данных отсутствуют явные упоминания CVE, идентификаторы уязвимостей или ключевые слова безопасности (security_keywords_detected_by_script: False). Упомянутые исправления относятся к функциональным регрессиям и ошибкам обработки ошибок, а не к прямым эксплойтам.

4. ABI/API риск

Данных недостаточно для автоматического определения изменений ABI/API.

Добавлена поддержка аннотации krun.use_passt, что может потребовать изменения конфигурации, но не обязательно ломает существующие бинарники.
Исправления в libcrun касаются логики запуска и проверки файловых систем, что теоретически может повлиять на поведение скриптов, полагающихся на специфические ошибки или состояние /sys/fs/cgroup.
Требуется ручной анализ изменений в публичном API библиотеки libcrun и проверкой совместимости с текущими патчами дистрибутива.

5. Риск для RPM-сборки

Вероятны изменения в зависимостях (BuildRequires) или требованиях к окружению сборки, если поддержка passt требует новых библиотек или инструментов. Также возможно изменение поведения тестов %check из-за исправления логики работы с cgroup и AppArmor, что может привести к ложным срабатываниям или провалам тестов, ожидающих старых ошибок.

6. Проверки мейнтейнера

Запустить rpmlint на обновленном RPM.
Проверить наличие новых BuildRequires (особенно связанных с passt).
Выполнить локальную сборку пакета (%build и %install).
Пройти тесты %check и убедиться, что они проходят без ошибок, связанных с изменением логики cgroup/AppArmor.
Проверить работу контейнеров с опциями --read-only и динамическим монтированием устройств в тестовой среде.
Валидировать работу с аннотацией krun.use_passt (если применимо к архитектуре дистрибутива).

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление решает критичные функциональные регрессии, влияющие на базовую работоспособность контейнеризации (монтирование, удаление, права доступа), и не содержит признаков известных уязвимостей безопасности. Несмотря на необходимость ручного анализа ABI и тестирования, характер изменений (исправление багов) делает обновление целесообразным для включения в кандидаты.

Upstream release notes / description

linux: fix bind mount propagation regression. Mounts hot-plugged after container start (e.g. USB drives) were invisible or owned by nobody inside the container because propagation peer groups were destroyed.
utils: fix AppArmor profile inside a user namespace.
cgroup: fix recursive cgroup cleanup failure that could cause EBADF errors when deleting containers with sub-cgroups.
libcrun: do not check the cgroup file system type when cgroups are disabled with --cgroup-manager=disabled, fixing startup failures on systems where /sys/fs/cgroup is not a standard mount (e.g. Android with Linux Deploy).
libcrun: fix "unlink /dev/console: Read-only file system" error when running containers with --read-only.
krun: add support for passt-based networking in microVMs via the krun.use_passt annotation.
krun: ignore RAM configurations below 128MB.

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T22:03:23Z

# Upstream update available: `crun` `1.26` → `1.27.1` ## Package - Package: `crun` - RPM name: `crun` - Branch: `niceos-5.2` - Current EVR: `1.26-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `containers/crun` - Upstream URL: https://github.com/containers/crun - Detected version: `1.27.1` - Tag/release: `1.27.1` - Source: `github_release_latest` - Published: `2026-04-21T07:55:51Z` - Release URL: https://github.com/containers/crun/releases/tag/1.27.1 - Source URL: https://api.github.com/repos/containers/crun/tarball/1.27.1 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление `crun` с версии 1.26 до 1.27.1 является минорным и содержит исправления критических регрессий в работе bind-mount, AppArmor, cgroup и запуске контейнеров на нестандартных системах (Android/Linux Deploy). Обновление также добавляет поддержку сетевых интерфейсов `passt` для микро-ВМ и улучшает обработку конфигурации памяти. ### 2. Риск для НАЙС.ОС **medium**. Хотя класс обновления помечен как `minor`, исправляемые баги затрагивают фундаментальные механизмы изоляции (AppArmor, cgroup) и монтирования файловых систем. Ошибка с `EBADF` при удалении контейнеров и проблемы с правами вью на монтируемых устройствах могут привести к нестабильности системы или невозможности корректно управлять ресурсами. ### 3. Security/CVE Во входных данных отсутствуют явные упоминания CVE, идентификаторы уязвимостей или ключевые слова безопасности (`security_keywords_detected_by_script: False`). Упомянутые исправления относятся к функциональным регрессиям и ошибкам обработки ошибок, а не к прямым эксплойтам. ### 4. ABI/API риск Данных недостаточно для автоматического определения изменений ABI/API. * Добавлена поддержка аннотации `krun.use_passt`, что может потребовать изменения конфигурации, но не обязательно ломает существующие бинарники. * Исправления в `libcrun` касаются логики запуска и проверки файловых систем, что теоретически может повлиять на поведение скриптов, полагающихся на специфические ошибки или состояние `/sys/fs/cgroup`. * Требуется ручной анализ изменений в публичном API библиотеки `libcrun` и проверкой совместимости с текущими патчами дистрибутива. ### 5. Риск для RPM-сборки Вероятны изменения в зависимостях (`BuildRequires`) или требованиях к окружению сборки, если поддержка `passt` требует новых библиотек или инструментов. Также возможно изменение поведения тестов `%check` из-за исправления логики работы с cgroup и AppArmor, что может привести к ложным срабатываниям или провалам тестов, ожидающих старых ошибок. ### 6. Проверки мейнтейнера - [ ] Запустить `rpmlint` на обновленном RPM. - [ ] Проверить наличие новых `BuildRequires` (особенно связанных с `passt`). - [ ] Выполнить локальную сборку пакета (`%build` и `%install`). - [ ] Пройти тесты `%check` и убедиться, что они проходят без ошибок, связанных с изменением логики cgroup/AppArmor. - [ ] Проверить работу контейнеров с опциями `--read-only` и динамическим монтированием устройств в тестовой среде. - [ ] Валидировать работу с аннотацией `krun.use_passt` (если применимо к архитектуре дистрибутива). ### 7. Рекомендация update candidate ### 8. Основание рекомендации Обновление решает критичные функциональные регрессии, влияющие на базовую работоспособность контейнеризации (монтирование, удаление, права доступа), и не содержит признаков известных уязвимостей безопасности. Несмотря на необходимость ручного анализа ABI и тестирования, характер изменений (исправление багов) делает обновление целесообразным для включения в кандидаты. ## Upstream release notes / description - linux: fix bind mount propagation regression. Mounts hot-plugged after container start (e.g. USB drives) were invisible or owned by nobody inside the container because propagation peer groups were destroyed. - utils: fix AppArmor profile inside a user namespace. - cgroup: fix recursive cgroup cleanup failure that could cause EBADF errors when deleting containers with sub-cgroups. - libcrun: do not check the cgroup file system type when cgroups are disabled with --cgroup-manager=disabled, fixing startup failures on systems where /sys/fs/cgroup is not a standard mount (e.g. Android with Linux Deploy). - libcrun: fix "unlink /dev/console: Read-only file system" error when running containers with --read-only. - krun: add support for passt-based networking in microVMs via the krun.use_passt annotation. - krun: ignore RAM configurations below 128MB. ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T22:03:23Z`

sbelikov added the

labels

2026-04-28 01:03:23 +03:00