Upstream update available: easy-rsa 3.2.3 → 3.2.6 #2

New issue

Open

opened 2026-04-28 01:07:14 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:07:14 +03:00

Owner

Upstream update available: `easy-rsa` `3.2.3` → `3.2.6`

Package

Package: easy-rsa
RPM name: easy-rsa
Branch: niceos-5.2
Current EVR: 3.2.3-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: OpenVPN/easy-rsa
Upstream URL: https://github.com/OpenVPN/easy-rsa
Detected version: 3.2.6
Tag/release: v3.2.6
Source: github_release_latest
Published: 2026-03-13T21:19:55Z
Release URL: https://github.com/OpenVPN/easy-rsa/releases/tag/v3.2.6
Source URL: https://api.github.com/repos/OpenVPN/easy-rsa/tarball/v3.2.6
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление пакета easy-rsa с версии 3.2.3 до 3.2.6 классифицируется как патч (patch) и содержит изменения в скриптах генерации сертификатов и настройках CI. Обновление включает критические настройки безопасности для CA-сертификатов (basicConstraints = critical) и улучшения обработки файлов ключей, но не затрагивает бинарные библиотеки или системные зависимости.

2. Риск для НАЙС.ОС

low. Обновление относится к утилите для управления PKI (OpenVPN), которая обычно используется как инструмент сборки или администрирования, а не как системная библиотека. Изменения носят функциональный характер (улучшение логики скриптов) и не предполагают смены ABI или API, влияющих на другие пакеты дистрибутива.

3. Security/CVE

Во входных данных отсутствуют явные упоминания CVE, идентификаторы уязвимостей или предупреждения о критических ошибках безопасности. Скрипт детекции безопасности не обнаружил security-ключевых слов. Хотя обновление включает настройку basicConstraints = critical, это является коррекцией конфигурации генерации, а не исправлением уязвимости в коде, требующей немедленного уведомления о CVE.

4. ABI/API риск

Пакет easy-rsa представляет собой набор скриптов (shell scripts), а не динамически подключаемую библиотеку. Изменения в логике работы функций (например, import_tls_key) не влекут за собой изменений в ABI/API, так как не существует внешних зависимостей от бинарного интерфейса этого пакета. Риск минимален.

5. Риск для RPM-сборки

Вероятность поломки сборки низка, так как обновление не меняет BuildRequires или системные зависимости. Однако стоит обратить внимание на изменения в скриптах:

Введение set_no_clobber() может повлиять на поведение при повторном запуске скриптов в окружении сборки, если там используются временные файлы с одинаковыми именами.
Изменение логики импорта ключей (import_tls_key) требует проверки тестов %check, если они включают сценарии генерации ключей.

6. Проверки мейнтейнера

Запустить rpmlint на обновленном RPM для проверки синтаксиса и зависимостей.
Выполнить локальную сборку пакета (rpmbuild -ba) в чистом окружении.
Протестировать выполнение основных скриптов пакета (./easyrsa --help, ./easyrsa gen-crl, ./easyrsa gen-pkcs12) в изолированном контейнере.
Проверить, что новые опции (например, связанные с basicConstraints) корректно обрабатываются при стандартном вызове скриптов.
Убедиться, что %check тесты проходят успешно.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление является патч-версией (3.2.3 -> 3.2.6) с фокусом на улучшение функциональности и безопасности генерации сертификатов, без изменений в системных зависимостях или бинарном интерфейсе. Отсутствие блокирующих рисков и наличие позитивных изменений в безопасности позволяет рекомендовать обновление как кандидата.

Upstream release notes / description

What's Changed

CI: Enable shell switch errexit by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1417
V325 326 minor touches by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1421
Inline sub ca v1 by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1423
X509-Type ca: Enable 'basicConstraints = critical' for CA/subCA certificates by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1428
Import tls key v1 by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1429
import_tls_key(): Use set_no_clobber() to preserve existing key file by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1430

Full Changelog: https://github.com/OpenVPN/easy-rsa/compare/v3.2.5...v3.2.6

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T22:07:14Z

# Upstream update available: `easy-rsa` `3.2.3` → `3.2.6` ## Package - Package: `easy-rsa` - RPM name: `easy-rsa` - Branch: `niceos-5.2` - Current EVR: `3.2.3-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `OpenVPN/easy-rsa` - Upstream URL: https://github.com/OpenVPN/easy-rsa - Detected version: `3.2.6` - Tag/release: `v3.2.6` - Source: `github_release_latest` - Published: `2026-03-13T21:19:55Z` - Release URL: https://github.com/OpenVPN/easy-rsa/releases/tag/v3.2.6 - Source URL: https://api.github.com/repos/OpenVPN/easy-rsa/tarball/v3.2.6 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление пакета `easy-rsa` с версии 3.2.3 до 3.2.6 классифицируется как патч (patch) и содержит изменения в скриптах генерации сертификатов и настройках CI. Обновление включает критические настройки безопасности для CA-сертификатов (`basicConstraints = critical`) и улучшения обработки файлов ключей, но не затрагивает бинарные библиотеки или системные зависимости. ### 2. Риск для НАЙС.ОС **low**. Обновление относится к утилите для управления PKI (OpenVPN), которая обычно используется как инструмент сборки или администрирования, а не как системная библиотека. Изменения носят функциональный характер (улучшение логики скриптов) и не предполагают смены ABI или API, влияющих на другие пакеты дистрибутива. ### 3. Security/CVE Во входных данных отсутствуют явные упоминания CVE, идентификаторы уязвимостей или предупреждения о критических ошибках безопасности. Скрипт детекции безопасности не обнаружил security-ключевых слов. Хотя обновление включает настройку `basicConstraints = critical`, это является коррекцией конфигурации генерации, а не исправлением уязвимости в коде, требующей немедленного уведомления о CVE. ### 4. ABI/API риск Пакет `easy-rsa` представляет собой набор скриптов (shell scripts), а не динамически подключаемую библиотеку. Изменения в логике работы функций (например, `import_tls_key`) не влекут за собой изменений в ABI/API, так как не существует внешних зависимостей от бинарного интерфейса этого пакета. Риск минимален. ### 5. Риск для RPM-сборки Вероятность поломки сборки низка, так как обновление не меняет `BuildRequires` или системные зависимости. Однако стоит обратить внимание на изменения в скриптах: - Введение `set_no_clobber()` может повлиять на поведение при повторном запуске скриптов в окружении сборки, если там используются временные файлы с одинаковыми именами. - Изменение логики импорта ключей (`import_tls_key`) требует проверки тестов `%check`, если они включают сценарии генерации ключей. ### 6. Проверки мейнтейнера - [ ] Запустить `rpmlint` на обновленном RPM для проверки синтаксиса и зависимостей. - [ ] Выполнить локальную сборку пакета (`rpmbuild -ba`) в чистом окружении. - [ ] Протестировать выполнение основных скриптов пакета (`./easyrsa --help`, `./easyrsa gen-crl`, `./easyrsa gen-pkcs12`) в изолированном контейнере. - [ ] Проверить, что новые опции (например, связанные с `basicConstraints`) корректно обрабатываются при стандартном вызове скриптов. - [ ] Убедиться, что `%check` тесты проходят успешно. ### 7. Рекомендация update candidate ### 8. Основание рекомендации Обновление является патч-версией (3.2.3 -> 3.2.6) с фокусом на улучшение функциональности и безопасности генерации сертификатов, без изменений в системных зависимостях или бинарном интерфейсе. Отсутствие блокирующих рисков и наличие позитивных изменений в безопасности позволяет рекомендовать обновление как кандидата. ## Upstream release notes / description ## What's Changed * CI: Enable shell switch errexit by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1417 * V325 326 minor touches by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1421 * Inline sub ca v1 by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1423 * X509-Type ca: Enable 'basicConstraints = critical' for CA/subCA certificates by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1428 * Import tls key v1 by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1429 * import_tls_key(): Use set_no_clobber() to preserve existing key file by @TinCanTech in https://github.com/OpenVPN/easy-rsa/pull/1430 **Full Changelog**: https://github.com/OpenVPN/easy-rsa/compare/v3.2.5...v3.2.6 ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T22:07:14Z`

sbelikov added the

labels

2026-04-28 01:07:14 +03:00