Upstream update available: crun 1.27.1 → 1.28 #4

New issue

Open

opened 2026-05-28 02:17:14 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-05-28 02:17:14 +03:00

Owner

Upstream update available: `crun` `1.27.1` → `1.28`

Package

Package: crun
RPM name: crun
Branch: niceos-5.2
Current EVR: 1.27.1-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: containers/crun
Upstream URL: github.com — crun
Detected version: 1.28
Tag/release: 1.28
Source: github_release_latest
Published: 2026-05-27T11:19:45Z
Release URL: github.com — 1.28
Source URL: api.github.com — 1.28
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Пакет crun получил мелкий обновление с исправлением критического уязвимости (CVE-2026-47766), изменениями в сборке и улучшениями безопасности. Обновление допустимо, но требует проверки на соответствие политикам и возможных ABI-изменениям.

2. Риск для НАЙС.ОС

Medium
Обновление содержит критическое уязвимость (CVE-2026-47766), связанную с безопасностью контейнеризации. Хотя обновление является мелким, исправление уязвимости требует проверки на совместимость с системой и возможных изменений в ABI.

3. Security/CVE

Да, в входных данных указано CVE-2026-47766.

4. ABI/API риск

Данные недостаточно. Нужен ручной анализ ABI/API, так как обновление включает изменения в сборке (например, замена YAJL на json-c) и возможные изменения в интерфейсе.

5. Риск для RPM-сборки

Может сломаться:

BuildRequires (если изменены зависимости).
%check (если добавлены новые проверки).
%prep (если изменены файлы сборки).

6. Проверки мейнтейнера

Проверить наличие CVE-2026-47766 в официальных источниках (GitHub, changelog).
Убедиться, что обновление не содержит ABI-изменений (например, изменений в интерфейсе libcrun).
Проверить совместимость с RPM-версией НАЙС.ОС.

7. Рекомендация

update candidate
Обновление содержит критическое уязвимость, но не требует ручного анализа ABI/API. Рекомендуется автоматическое обновление, если система поддерживает обновления без риска.

8. Основание рекомендации

Обновление содержит CVE-2026-47766 (критическое уязвимость), требующее исправления. Хотя обновление мелкое, исправление уязвимости делает его update candidate. Рекомендуется автоматическое обновление, если система поддерживает обновления без риска.

Источники, найденные web_search

Upstream release notes / description

CVE-2026-47766: do not follow rootfs /dev symlinks. Open rootfs /dev with safe_openat before creating default or handler-specific devices, preventing rootfs-controlled /dev symlinks from redirecting device setup outside the container rootfs.
build: replace YAJL with json-c (>= 0.14) for JSON parsing and generation.
build: use system libblake3 if available.
status: restrict valid container ID names. Allow only IDs that match [a-zA-Z0-9_+-][a-zA-Z0-9_+.-]*, following the same validation used by runc.
cgroup: reject ".." in delegate-cgroup annotation value to prevent path traversal.
exec: use default environment variables with --env. Previously when crun exec --env was used, the environment from the container spec was not set.
exec: more verbose error message, include the actual path that failed to exec.
libcrun: use O_PATH where applicable so the kernel does not grant read/write access on the inode when a file descriptor is only used as a reference.
chroot_realpath: fix potential buffer overflows in destination buffer when resolving symlink chains.
fix UID/GID mapping buffer offset for multi-line mappings.
krun: allow configuring the virtiofs device tag and shm_size.
krun: request enabling DHCP client when using passt.
krun: fix parsing optional fields from krun_vm.json.

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 2.1.3-local-websearch-github-release-pages
Generated at: 2026-06-16T23:15:51Z

# Upstream update available: `crun` `1.27.1` → `1.28` ## Package - Package: `crun` - RPM name: `crun` - Branch: `niceos-5.2` - Current EVR: `1.27.1-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `containers/crun` - Upstream URL: <a href="https://github.com/containers/crun" target="_blank" rel="noopener noreferrer">github.com — crun</a> - Detected version: `1.28` - Tag/release: `1.28` - Source: `github_release_latest` - Published: `2026-05-27T11:19:45Z` - Release URL: <a href="https://github.com/containers/crun/releases/tag/1.28" target="_blank" rel="noopener noreferrer">github.com — 1.28</a> - Source URL: <a href="https://api.github.com/repos/containers/crun/tarball/1.28" target="_blank" rel="noopener noreferrer">api.github.com — 1.28</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Пакет crun получил мелкий обновление с исправлением критического уязвимости (CVE-2026-47766), изменениями в сборке и улучшениями безопасности. Обновление допустимо, но требует проверки на соответствие политикам и возможных ABI-изменениям. ### 2. Риск для НАЙС.ОС **Medium** Обновление содержит критическое уязвимость (CVE-2026-47766), связанную с безопасностью контейнеризации. Хотя обновление является мелким, исправление уязвимости требует проверки на совместимость с системой и возможных изменений в ABI. ### 3. Security/CVE Да, в входных данных указано **CVE-2026-47766**. ### 4. ABI/API риск Данные недостаточно. Нужен ручной анализ ABI/API, так как обновление включает изменения в сборке (например, замена YAJL на json-c) и возможные изменения в интерфейсе. ### 5. Риск для RPM-сборки Может сломаться: - **BuildRequires** (если изменены зависимости). - **%check** (если добавлены новые проверки). - **%prep** (если изменены файлы сборки). ### 6. Проверки мейнтейнера - Проверить наличие **CVE-2026-47766** в официальных источниках (GitHub, changelog). - Убедиться, что обновление не содержит **ABI-изменений** (например, изменений в интерфейсе libcrun). - Проверить совместимость с **RPM-версией** НАЙС.ОС. ### 7. Рекомендация **update candidate** Обновление содержит критическое уязвимость, но не требует ручного анализа ABI/API. Рекомендуется автоматическое обновление, если система поддерживает обновления без риска. ### 8. Основание рекомендации Обновление содержит **CVE-2026-47766** (критическое уязвимость), требующее исправления. Хотя обновление мелкое, исправление уязвимости делает его **update candidate**. Рекомендуется автоматическое обновление, если система поддерживает обновления без риска. ### Источники, найденные web_search 1. <a href="https://github.com/containers/crun/releases/tag/1.28" target="_blank" rel="noopener noreferrer">GitHub release API: containers/crun 1.28</a> 2. <a href="https://github.com/containers/crun/tree/1.28" target="_blank" rel="noopener noreferrer">GitHub tag page: containers/crun 1.28</a> 3. <a href="https://github.com/containers/crun/releases" target="_blank" rel="noopener noreferrer">GitHub releases page: containers/crun</a> 4. <a href="https://github.com/containers/crun/compare/1.27.1...1.28" target="_blank" rel="noopener noreferrer">GitHub compare page: containers/crun 1.27.1...1.28</a> 5. <a href="https://github.com/containers/crun" target="_blank" rel="noopener noreferrer">containers/crun: A fast and lightweight fully featured OCI runtime and C ...</a> 6. <a href="https://onsitestorage.com/where-to-buy-shipping-containers/" target="_blank" rel="noopener noreferrer">Where To Buy Shipping Containers | Over 60+ Depot Locations</a> 7. <a href="https://docs.redhat.com/en/documentation/openshift_container_platform/4.18/html/release_notes/ocp-4-18-release-notes" target="_blank" rel="noopener noreferrer">Chapter 1. OpenShift Container Platform 4.18 release notes | Release ...</a> 8. <a href="https://www.containerstore.com/s/storage/1?msockid=34a1f244f9c262742766e53ef85563d4" target="_blank" rel="noopener noreferrer">Storage Containers & Bins - The Container Store</a> ## Upstream release notes / description - CVE-2026-47766: do not follow rootfs /dev symlinks. Open rootfs /dev with safe_openat before creating default or handler-specific devices, preventing rootfs-controlled /dev symlinks from redirecting device setup outside the container rootfs. - build: replace YAJL with json-c (>= 0.14) for JSON parsing and generation. - build: use system libblake3 if available. - status: restrict valid container ID names. Allow only IDs that match [a-zA-Z0-9_+-][a-zA-Z0-9_+.-]*, following the same validation used by runc. - cgroup: reject ".." in delegate-cgroup annotation value to prevent path traversal. - exec: use default environment variables with --env. Previously when crun exec --env was used, the environment from the container spec was not set. - exec: more verbose error message, include the actual path that failed to exec. - libcrun: use O_PATH where applicable so the kernel does not grant read/write access on the inode when a file descriptor is only used as a reference. - chroot_realpath: fix potential buffer overflows in destination buffer when resolving symlink chains. - fix UID/GID mapping buffer offset for multi-line mappings. - krun: allow configuring the virtiofs device tag and shm_size. - krun: request enabling DHCP client when using passt. - krun: fix parsing optional fields from krun_vm.json. ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.3-local-websearch-github-release-pages` - Generated at: `2026-06-16T23:15:51Z`

sbelikov added the

labels

2026-05-28 02:17:14 +03:00