rpms/docker

Fork 0

Upstream update available: docker 28.3.3 → 28.5.2 #6

New issue

Closed

opened 2026-05-02 13:55:01 +03:00 by sbelikov · 1 comment

sbelikov commented

2026-05-02 13:55:01 +03:00

Owner

Upstream update available: `docker` `28.3.3` → `28.5.2`

Package

Package: docker
RPM name: docker
Branch: niceos-5.2
Current EVR: 28.3.3-2
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: moby/moby
Upstream URL: github.com — moby
Detected version: 28.5.2
Tag/release: v28.5.2
Source: github_release
Published: 2025-11-05T15:49:41Z
Release URL: github.com — v28.5.2
Source URL: api.github.com — v28.5.2
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI / OpenAI preliminary stability analysis

1. Краткий вывод

Обновление docker с 28.3.3 до 28.5.2 не выглядит заблокированным статической политикой и может рассматриваться как manual review. Причина: upstream-релиз содержит важные security-fixes для runc, но также меняет поведение rootless-режима и затрагивает runtime-компоненты, что требует проверки в buildroot и smoke-тестов. Для НАЙС.ОС это скорее accept with review, а не immediate candidate.

2. Риск для НАЙС.ОС

Risk level: high

Обоснование:

docker — системно значимый leaf-пакет: он не тянет массовый транзитивный риск по дереву, но влияет на контейнерный runtime, сетевое поведение и rootless-режим.
Upstream-релиз включает обновление runc до v1.3.3, а это компонент критического доверенного пути контейнеров.
Есть изменение поведения: dockerd-rootless.sh теперь пробует pasta (passt) при отсутствии slirp4netns.
Для enterprise/stable-политики это означает, что обновление полезно по security, но требует ручной проверки на совместимость и повторяемость сборки.

3. Что изменилось upstream

Подтверждённые факты из release notes v28.5.2:

Репозиторий upstream: moby/moby.
Тег v28.5.2 существует и подписан.
В релизе указаны:
- обновление runc до v1.3.3;
- обновление Go runtime до 1.24.9;
- изменение rootless-поведения: dockerd-rootless.sh теперь пробует pasta (passt) если slirp4netns недоступен;
- несколько deprecated Go-SDK utilities, помеченных как удаляемые в следующем релизе.
Явного раздела с breaking changes в релиз-нотах не найдено.
Полный машинно-читаемый diff по compare page v28.3.3...v28.5.2 не был извлечён; full diff review остаётся unknown.

4. Security/CVE

Подтверждённые CVE в upstream release notes:

CVE-2025-31133
CVE-2025-52565
CVE-2025-52881

По upstream-описанию это high-severity уязвимости в runc, которые могут привести к full container breakout через обход ограничений runc на произвольные записи в /proc.

5. ABI/API/CLI/config риск

Оценка: medium

Что известно:

Явных removals CLI-флагов, API-версий или форматов конфигурации в release notes не указано.
Есть изменение поведения rootless fallback: при отсутствии slirp4netns будет пробоваться pasta.
Есть deprecation Go-SDK внутренних утилит, которые upstream обещает удалить в следующем релизе.

Вывод:

Для обычных пользователей CLI риск выглядит ограниченным.
Для rootless-сценариев возможен заметный behavior change.
Для downstream Go-использователей внутренних SDK-утилит риск выше, но это уже отдельный engineering review.

6. Риск для RPM-сборки и dist-git

Проверить обязательно:

SPECS/docker.spec
- Version: должен быть обновлён с 28.3.3 на 28.5.2.
- source URL/тарболы для moby/moby и docker/cli.
- hardcoded commit/version stamping, если используется.
- BuildRequires: go >= 1.23 на фоне upstream Go 1.24.9.
SOURCES/
- обновление source lock / checksums;
- наличие новых tarball-артефактов;
- соответствие версий engine/cli.
%check
- не сломались ли unit/integration smoke tests;
- rootless checks;
- запуск daemon/service smoke.
Requires/BuildRequires
- runc version alignment;
- зависимости rootless: slirp4netns, rootlesskit, libslirp, fuse, dbus-user-session;
- проверить, не требуется ли pasta/passt как новый runtime dependency, если rootless fallback будет использоваться в практике.
SBOM / license metadata
- при пересборке обновить, если у нас это входит в процесс.
Патчи
- проверить, не затрагивают ли они rootless scripts или vendored pieces.

7. Риск для системы и зависимых компонентов

Да, риск есть.

Что может затронуть:

systemd service startup of dockerd;
rootless runtime behavior;
сеть контейнеров в rootless-сценариях;
скрипты/автоматизацию, которые предполагают старый fallback только на slirp4netns;
container lifecycle на хостах, где используется этот пакет как инфраструктурный компонент.

Reverse dependencies:

прямые RPM reverse dependencies не оценивались здесь; unknown/manual review.
Для enterprise-систем важно проверить, не завязаны ли локальные оркестрационные/CI сценарии на старое поведение rootless.

8. Проверки мейнтейнера

Чеклист перед PR/merge:

Обновить Version/Release в docker.spec.
Проверить, что source tarballs и checksum/source lock соответствуют v28.5.2.
Сверить BuildRequires с текущим toolchain, особенно go.
Проверить сборку engine/cli/rootless subpackages.
Запустить %check и минимальные smoke-тесты.
Проверить старт dockerd под systemd.
Проверить rootless-режим:
- наличие slirp4netns;
- поведение fallback на pasta;
- запуск dockerd-rootless.sh.
Сверить зависимости runc и отсутствие конфликтов с пакетированием.
Проверить, не появились ли новые runtime files, которые нужно включить в %files.
Если у вас есть SBOM/attestation pipeline — обновить артефакты.
Оценить impact на локальные automation scripts/CI jobs.

9. Рекомендация

blocked manual review

10. Источники

Источники, найденные web_search

Upstream release notes / description

28.5.2

For a full list of pull requests and changes in this release, refer to the relevant GitHub milestones:

Caution

This release contains fixes for three high-severity security vulnerabilities in runc:

CVE-2025-31133

CVE-2025-52565

CVE-2025-52881

All three vulnerabilities ultimately allow (through different methods) for full container breakouts by bypassing runc's restrictions for writing to arbitrary /proc files.

Packaging updates

Update runc to v1.3.3. moby/moby#51394

Bug fixes and enhancements

dockerd-rootless.sh: if slirp4netns is not installed, try using pasta (passt). moby/moby#51162
Update Go runtime to 1.24.9. moby/moby#51387, docker/cli#6613

Deprecations

Go-SDK: cli/command/image/build: deprecate DefaultDockerfileName, DetectArchiveReader, WriteTempDockerfile, ResolveAndValidateContextPath. These utilities were only used internally and will be removed in the next release. docker/cli#6610
Go-SDK: cli/command/image/build: deprecate IsArchive utility. docker/cli#6560
Go-SDK: opts: deprecate ValidateMACAddress. docker/cli#6560
Go-SDK: opts: deprecate ListOpts.Delete(). docker/cli#6560

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 2.1.2-openai-deep
Generated at: 2026-05-02T10:54:57Z

# Upstream update available: `docker` `28.3.3` → `28.5.2` ## Package - Package: `docker` - RPM name: `docker` - Branch: `niceos-5.2` - Current EVR: `28.3.3-2` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `moby/moby` - Upstream URL: <a href="https://github.com/moby/moby" target="_blank" rel="noopener noreferrer">github.com — moby</a> - Detected version: `28.5.2` - Tag/release: `v28.5.2` - Source: `github_release` - Published: `2025-11-05T15:49:41Z` - Release URL: <a href="https://github.com/moby/moby/releases/tag/v28.5.2" target="_blank" rel="noopener noreferrer">github.com — v28.5.2</a> - Source URL: <a href="https://api.github.com/repos/moby/moby/tarball/v28.5.2" target="_blank" rel="noopener noreferrer">api.github.com — v28.5.2</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI / OpenAI preliminary stability analysis ### 1. Краткий вывод Обновление `docker` с `28.3.3` до `28.5.2` **не выглядит заблокированным статической политикой** и может рассматриваться как **manual review**. Причина: upstream-релиз содержит важные security-fixes для `runc`, но также меняет поведение rootless-режима и затрагивает runtime-компоненты, что требует проверки в buildroot и smoke-тестов. Для НАЙС.ОС это скорее **accept with review**, а не immediate candidate. ### 2. Риск для НАЙС.ОС **Risk level: high** Обоснование: - `docker` — системно значимый leaf-пакет: он не тянет массовый транзитивный риск по дереву, но влияет на контейнерный runtime, сетевое поведение и rootless-режим. - Upstream-релиз включает обновление `runc` до `v1.3.3`, а это компонент критического доверенного пути контейнеров. - Есть изменение поведения: `dockerd-rootless.sh` теперь пробует `pasta (passt)` при отсутствии `slirp4netns`. - Для enterprise/stable-политики это означает, что обновление полезно по security, но требует ручной проверки на совместимость и повторяемость сборки. ### 3. Что изменилось upstream Подтверждённые факты из release notes `v28.5.2`: - Репозиторий upstream: `moby/moby`. - Тег `v28.5.2` существует и подписан. - В релизе указаны: - обновление `runc` до `v1.3.3`; - обновление Go runtime до `1.24.9`; - изменение rootless-поведения: `dockerd-rootless.sh` теперь пробует `pasta (passt)` если `slirp4netns` недоступен; - несколько deprecated Go-SDK utilities, помеченных как удаляемые в следующем релизе. - Явного раздела с breaking changes в релиз-нотах не найдено. - Полный машинно-читаемый diff по compare page `v28.3.3...v28.5.2` не был извлечён; full diff review остаётся **unknown**. ### 4. Security/CVE Подтверждённые CVE в upstream release notes: - `CVE-2025-31133` - `CVE-2025-52565` - `CVE-2025-52881` По upstream-описанию это **high-severity** уязвимости в `runc`, которые могут привести к **full container breakout** через обход ограничений `runc` на произвольные записи в `/proc`. ### 5. ABI/API/CLI/config риск **Оценка: medium** Что известно: - Явных removals CLI-флагов, API-версий или форматов конфигурации в release notes не указано. - Есть изменение поведения rootless fallback: при отсутствии `slirp4netns` будет пробоваться `pasta`. - Есть deprecation Go-SDK внутренних утилит, которые upstream обещает удалить в следующем релизе. Вывод: - Для обычных пользователей CLI риск выглядит ограниченным. - Для rootless-сценариев возможен заметный behavior change. - Для downstream Go-использователей внутренних SDK-утилит риск выше, но это уже отдельный engineering review. ### 6. Риск для RPM-сборки и dist-git Проверить обязательно: - `SPECS/docker.spec` - `Version:` должен быть обновлён с `28.3.3` на `28.5.2`. - source URL/тарболы для `moby/moby` и `docker/cli`. - hardcoded commit/version stamping, если используется. - `BuildRequires: go >= 1.23` на фоне upstream Go `1.24.9`. - `SOURCES/` - обновление source lock / checksums; - наличие новых tarball-артефактов; - соответствие версий engine/cli. - `%check` - не сломались ли unit/integration smoke tests; - rootless checks; - запуск daemon/service smoke. - `Requires/BuildRequires` - `runc` version alignment; - зависимости rootless: `slirp4netns`, `rootlesskit`, `libslirp`, `fuse`, `dbus-user-session`; - проверить, не требуется ли `pasta/passt` как новый runtime dependency, если rootless fallback будет использоваться в практике. - SBOM / license metadata - при пересборке обновить, если у нас это входит в процесс. - Патчи - проверить, не затрагивают ли они rootless scripts или vendored pieces. ### 7. Риск для системы и зависимых компонентов **Да, риск есть.** Что может затронуть: - systemd service startup of `dockerd`; - rootless runtime behavior; - сеть контейнеров в rootless-сценариях; - скрипты/автоматизацию, которые предполагают старый fallback только на `slirp4netns`; - container lifecycle на хостах, где используется этот пакет как инфраструктурный компонент. Reverse dependencies: - прямые RPM reverse dependencies не оценивались здесь; **unknown/manual review**. - Для enterprise-систем важно проверить, не завязаны ли локальные оркестрационные/CI сценарии на старое поведение rootless. ### 8. Проверки мейнтейнера Чеклист перед PR/merge: - [ ] Обновить `Version`/`Release` в `docker.spec`. - [ ] Проверить, что source tarballs и checksum/source lock соответствуют `v28.5.2`. - [ ] Сверить `BuildRequires` с текущим toolchain, особенно `go`. - [ ] Проверить сборку engine/cli/rootless subpackages. - [ ] Запустить `%check` и минимальные smoke-тесты. - [ ] Проверить старт `dockerd` под systemd. - [ ] Проверить rootless-режим: - наличие `slirp4netns`; - поведение fallback на `pasta`; - запуск `dockerd-rootless.sh`. - [ ] Сверить зависимости `runc` и отсутствие конфликтов с пакетированием. - [ ] Проверить, не появились ли новые runtime files, которые нужно включить в `%files`. - [ ] Если у вас есть SBOM/attestation pipeline — обновить артефакты. - [ ] Оценить impact на локальные automation scripts/CI jobs. ### 9. Рекомендация **blocked manual review** ### 10. Источники - <a href="https://github.com/moby/moby/releases/tag/v28.5.2" target="_blank" rel="noopener noreferrer">Moby / Docker Engine release v28.5.2</a> - <a href="https://github.com/moby/moby/compare/v28.3.3...v28.5.2" target="_blank" rel="noopener noreferrer">Moby compare v28.3.3...v28.5.2</a> - <a href="https://specs.niceos.ru/rpms/docker" target="_blank" rel="noopener noreferrer">NiceOS docker package overview</a> - <a href="https://specs.niceos.ru/rpms/docker/src/branch/niceos-5.2/SPECS/docker.spec" target="_blank" rel="noopener noreferrer">NiceOS docker.spec</a> - <a href="https://github.com/opencontainers/runc/security/advisories" target="_blank" rel="noopener noreferrer">runc security advisories</a> - <a href="https://github.com/opencontainers/runc/security/advisories/GHSA-cgrx-mc8f-2prm" target="_blank" rel="noopener noreferrer">runc advisory GHSA-cgrx-mc8f-2prm</a> ### Источники, найденные web_search 1. <a href="https://github.com/moby/moby/releases//" target="_blank" rel="noopener noreferrer">github.com — releases</a> 2. <a href="https://github.com/moby/moby" target="_blank" rel="noopener noreferrer">github.com — moby</a> 3. <a href="https://github.com/moby/moby/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 4. <a href="https://github.com/moby" target="_blank" rel="noopener noreferrer">github.com — moby</a> 5. <a href="https://github.com/moby/buildkit/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 6. <a href="https://github.com/moby/moby/security/advisories/GHSA-x4rx-4gw3-53p4" target="_blank" rel="noopener noreferrer">github.com — GHSA x4rx 4gw3 53p4</a> 7. <a href="https://github.com/moby/moby/issues/49513" target="_blank" rel="noopener noreferrer">github.com — 49513</a> 8. <a href="https://github.com/containers/buildah/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 9. <a href="https://github.com/moby/moby/issues/50549" target="_blank" rel="noopener noreferrer">github.com — 50549</a> 10. <a href="https://github.com/opencontainers/runc/releases?type=2" target="_blank" rel="noopener noreferrer">github.com — releases</a> 11. <a href="https://github.com/moby/moby/issues/49625" target="_blank" rel="noopener noreferrer">github.com — 49625</a> 12. <a href="https://github.com/moby/moby/discussions/49497" target="_blank" rel="noopener noreferrer">github.com — 49497</a> ## Upstream release notes / description ## 28.5.2 For a full list of pull requests and changes in this release, refer to the relevant GitHub milestones: - <a href="https://github.com/docker/cli/issues?q=is%3Aclosed+milestone%3A28.5.2" target="_blank" rel="noopener noreferrer">docker/cli, 28.5.2 milestone</a> - <a href="https://github.com/moby/moby/issues?q=is%3Aclosed+milestone%3A28.5.2" target="_blank" rel="noopener noreferrer">moby/moby, 28.5.2 milestone</a> > [!CAUTION] > This release contains fixes for three high-severity security vulnerabilities in runc: > - <a href="https://github.com/opencontainers/runc/security/advisories/GHSA-9493-h29p-rfm2" target="_blank" rel="noopener noreferrer">CVE-2025-31133</a> > - <a href="https://github.com/opencontainers/runc/security/advisories/GHSA-qw9x-cqr3-wc7r" target="_blank" rel="noopener noreferrer">CVE-2025-52565</a> > - <a href="https://github.com/opencontainers/runc/security/advisories/GHSA-cgrx-mc8f-2prm" target="_blank" rel="noopener noreferrer">CVE-2025-52881</a> > > All three vulnerabilities ultimately allow (through different methods) for full container breakouts by bypassing runc's restrictions for writing to arbitrary `/proc` files. ### Packaging updates - Update runc to <a href="https://github.com/opencontainers/runc/releases/tag/v1.3.3" target="_blank" rel="noopener noreferrer">v1.3.3</a>. <a href="https://github.com/moby/moby/pull/51394" target="_blank" rel="noopener noreferrer">moby/moby#51394</a> ### Bug fixes and enhancements - dockerd-rootless.sh: if slirp4netns is not installed, try using pasta (passt). <a href="https://github.com/moby/moby/pull/51162" target="_blank" rel="noopener noreferrer">moby/moby#51162</a> - Update Go runtime to <a href="https://go.dev/doc/devel/release#go1.24.9" target="_blank" rel="noopener noreferrer">1.24.9</a>. <a href="https://github.com/moby/moby/pull/51387" target="_blank" rel="noopener noreferrer">moby/moby#51387</a>, <a href="https://github.com/docker/cli/pull/6613" target="_blank" rel="noopener noreferrer">docker/cli#6613</a> ### Deprecations - Go-SDK: cli/command/image/build: deprecate `DefaultDockerfileName`, `DetectArchiveReader`, `WriteTempDockerfile`, `ResolveAndValidateContextPath`. These utilities were only used internally and will be removed in the next release. <a href="https://github.com/docker/cli/pull/6610" target="_blank" rel="noopener noreferrer">docker/cli#6610</a> - Go-SDK: cli/command/image/build: deprecate IsArchive utility. <a href="https://github.com/docker/cli/pull/6560" target="_blank" rel="noopener noreferrer">docker/cli#6560</a> - Go-SDK: opts: deprecate `ValidateMACAddress`. <a href="https://github.com/docker/cli/pull/6560" target="_blank" rel="noopener noreferrer">docker/cli#6560</a> - Go-SDK: opts: deprecate ListOpts.Delete(). <a href="https://github.com/docker/cli/pull/6560" target="_blank" rel="noopener noreferrer">docker/cli#6560</a> ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.2-openai-deep` - Generated at: `2026-05-02T10:54:57Z`

sbelikov added the

labels

2026-05-02 13:55:01 +03:00

sbelikov commented

2026-05-02 14:39:26 +03:00

Author

Owner

Package version is now 28.5.2 and target version was 28.5.2. Closing as resolved.\n\n_Closed by niceos_upstream_monitor.py 1.5 at 2026-05-02T11:39:25Z._

Package version is now `28.5.2` and target version was `28.5.2`. Closing as resolved.\n\n_Closed by `niceos_upstream_monitor.py 1.5` at `2026-05-02T11:39:25Z`._

sbelikov closed this issue

2026-05-02 14:39:27 +03:00