rpms/jpegxl

Fork 0

Upstream update available: jpegxl 0.11.1 → 0.11.2 #1

New issue

Closed

opened 2026-04-28 01:20:01 +03:00 by sbelikov · 1 comment

sbelikov commented

2026-04-28 01:20:01 +03:00

Owner

Upstream update available: `jpegxl` `0.11.1` → `0.11.2`

Package

Package: jpegxl
RPM name: jpegxl
Branch: niceos-5.2
Current EVR: 1:0.11.1-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: libjxl/libjxl
Upstream URL: https://github.com/libjxl/libjxl
Detected version: 0.11.2
Tag/release: v0.11.2
Source: github_release_latest
Published: 2026-02-10T14:18:12Z
Release URL: https://github.com/libjxl/libjxl/releases/tag/v0.11.2
Source URL: https://api.github.com/repos/libjxl/libjxl/tarball/v0.11.2
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Автоматический deep-analysis через LLM/web_search не был завершён корректно, поэтому ниже приведён безопасный fallback-анализ без неподтверждённых утверждений. Обновление jpegxl с 0.11.1 до 0.11.2 найдено upstream-monitor и требует обычной мейнтейнерской проверки перед PR/merge.

2. Риск для НАЙС.ОС

Риск: unknown до ручной проверки. Для стабильной политики НАЙС.ОС обновление нельзя считать автоматически безопасным только по факту наличия новой upstream-версии.

3. Что изменилось upstream

Fixed

fix tile dimension in low memory rendering pipeline (#4495 -
CVE-2025-12474)
fix number of channels for gray-to-gray color transform (#4579 -
CVE-2026-1837)
djxl: reject decoding JXL files if "packed" representation size overflows
size_t (#4589 - thanks to Mateusz Jurczyk of Google Project Zero for
identifying this issue)

Note: This release is for evaluation purposes and may contain bugs, including security bugs, that may not be individually documented when fixed. See the SECURITY.md file for details. Always prefer to use the latest release.

Please provide feedback and report bugs here.

4. Security/CVE

Подтверждённых CVE в fallback-режиме не выявлено. Если обновление позиционируется upstream как security release, нужно проверить официальный changelog, release notes и CVE/advisory-источники вручную.

5. ABI/API/CLI/config риск

Для пакета jpegxl нужно проверить изменение CLI/options, поведения по умолчанию, форматов конфигурации и совместимость со скриптами, которые могут использовать пакет в НАЙС.ОС. Без завершённого web-search анализа риск остаётся unknown.

6. Риск для RPM-сборки и dist-git

Проверить SPECS, SOURCES, source lock, патчи, BuildRequires/Requires, %check, SBOM и воспроизводимость сборки. Если upstream изменил систему сборки или layout исходников, spec может потребовать ручной правки.

7. Риск для системы и зависимых компонентов

Проверить reverse dependencies, пользовательские сценарии и любые автоматические скрипты, которые вызывают jpegxl. Для НАЙС.ОС приоритет — стабильность, поэтому при отсутствии доказательств совместимости обновление должно идти через PR и ручной review.

8. Проверки мейнтейнера

Сравнить upstream tag/release 0.11.2 с текущей версией 0.11.1.
Проверить официальный changelog/release notes и compare page.
Собрать RPM в чистом окружении.
Запустить %check, если доступен.
Проверить smoke-test основного CLI/daemon/library сценария.
Обновить source lock/SBOM/package-index после merge.
Проверить, не требует ли обновление исключения или pinning policy.

9. Рекомендация

issue-only до ручной проверки. Если сборка и smoke tests проходят, можно перевести в update candidate.

10. Источники

Примечание: fallback создан потому, что LLM/web_search не вернул завершённый анализ. Причина: HTTP 403 POST https://api.openai.com/v1/responses: {"error":{"code":"unsupported_country_region_territory","message":"Country, region, or territory not supported","param":null,"type":"request_forbidden"}}.

Upstream release notes / description

Fixed

fix tile dimension in low memory rendering pipeline (#4495 -
CVE-2025-12474)
fix number of channels for gray-to-gray color transform (#4579 -
CVE-2026-1837)
djxl: reject decoding JXL files if "packed" representation size overflows
size_t (#4589 - thanks to Mateusz Jurczyk of Google Project Zero for
identifying this issue)

Please provide feedback and report bugs here.

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 2.1.2-openai-deep
Generated at: 2026-05-01T23:07:30Z

# Upstream update available: `jpegxl` `0.11.1` → `0.11.2` ## Package - Package: `jpegxl` - RPM name: `jpegxl` - Branch: `niceos-5.2` - Current EVR: `1:0.11.1-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `libjxl/libjxl` - Upstream URL: https://github.com/libjxl/libjxl - Detected version: `0.11.2` - Tag/release: `v0.11.2` - Source: `github_release_latest` - Published: `2026-02-10T14:18:12Z` - Release URL: https://github.com/libjxl/libjxl/releases/tag/v0.11.2 - Source URL: https://api.github.com/repos/libjxl/libjxl/tarball/v0.11.2 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Автоматический deep-analysis через LLM/web_search не был завершён корректно, поэтому ниже приведён безопасный fallback-анализ без неподтверждённых утверждений. Обновление `jpegxl` с `0.11.1` до `0.11.2` найдено upstream-monitor и требует обычной мейнтейнерской проверки перед PR/merge. ### 2. Риск для НАЙС.ОС Риск: `unknown` до ручной проверки. Для стабильной политики НАЙС.ОС обновление нельзя считать автоматически безопасным только по факту наличия новой upstream-версии. ### 3. Что изменилось upstream ### Fixed - fix tile dimension in low memory rendering pipeline (#4495 - [CVE-2025-12474](https://www.cve.org/cverecord?id=CVE-2025-12474)) - fix number of channels for gray-to-gray color transform (#4579 - [CVE-2026-1837](https://www.cve.org/cverecord?id=CVE-2026-1837)) - `djxl`: reject decoding JXL files if "packed" representation size overflows `size_t` (#4589 - thanks to Mateusz Jurczyk of Google Project Zero for identifying this issue) **Note:** This release is for evaluation purposes and may contain bugs, including security bugs, that may not be individually documented when fixed. See the [SECURITY.md](SECURITY.md) file for details. Always prefer to use the latest release. Please provide feedback and report bugs [here](https://github.com/libjxl/libjxl/issues). ### 4. Security/CVE Подтверждённых CVE в fallback-режиме не выявлено. Если обновление позиционируется upstream как security release, нужно проверить официальный changelog, release notes и CVE/advisory-источники вручную. ### 5. ABI/API/CLI/config риск Для пакета `jpegxl` нужно проверить изменение CLI/options, поведения по умолчанию, форматов конфигурации и совместимость со скриптами, которые могут использовать пакет в НАЙС.ОС. Без завершённого web-search анализа риск остаётся `unknown`. ### 6. Риск для RPM-сборки и dist-git Проверить `SPECS`, `SOURCES`, source lock, патчи, `BuildRequires/Requires`, `%check`, SBOM и воспроизводимость сборки. Если upstream изменил систему сборки или layout исходников, spec может потребовать ручной правки. ### 7. Риск для системы и зависимых компонентов Проверить reverse dependencies, пользовательские сценарии и любые автоматические скрипты, которые вызывают `jpegxl`. Для НАЙС.ОС приоритет — стабильность, поэтому при отсутствии доказательств совместимости обновление должно идти через PR и ручной review. ### 8. Проверки мейнтейнера - Сравнить upstream tag/release `0.11.2` с текущей версией `0.11.1`. - Проверить официальный changelog/release notes и compare page. - Собрать RPM в чистом окружении. - Запустить `%check`, если доступен. - Проверить smoke-test основного CLI/daemon/library сценария. - Обновить source lock/SBOM/package-index после merge. - Проверить, не требует ли обновление исключения или pinning policy. ### 9. Рекомендация `issue-only` до ручной проверки. Если сборка и smoke tests проходят, можно перевести в `update candidate`. ### 10. Источники - [Upstream project](https://github.com/libjxl/libjxl) - [Release/tag page](https://github.com/libjxl/libjxl/releases/tag/v0.11.2) - [Source archive](https://api.github.com/repos/libjxl/libjxl/tarball/v0.11.2) - [NiceOS dist-git](https://specs.niceos.ru/rpms/jpegxl) _Примечание: fallback создан потому, что LLM/web_search не вернул завершённый анализ. Причина: `HTTP 403 POST https://api.openai.com/v1/responses: {"error":{"code":"unsupported_country_region_territory","message":"Country, region, or territory not supported","param":null,"type":"request_forbidden"}}`._ ## Upstream release notes / description ### Fixed - fix tile dimension in low memory rendering pipeline (#4495 - [CVE-2025-12474](https://www.cve.org/cverecord?id=CVE-2025-12474)) - fix number of channels for gray-to-gray color transform (#4579 - [CVE-2026-1837](https://www.cve.org/cverecord?id=CVE-2026-1837)) - `djxl`: reject decoding JXL files if "packed" representation size overflows `size_t` (#4589 - thanks to Mateusz Jurczyk of Google Project Zero for identifying this issue) **Note:** This release is for evaluation purposes and may contain bugs, including security bugs, that may not be individually documented when fixed. See the [SECURITY.md](SECURITY.md) file for details. Always prefer to use the latest release. Please provide feedback and report bugs [here](https://github.com/libjxl/libjxl/issues). ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.2-openai-deep` - Generated at: `2026-05-01T23:07:30Z`

sbelikov added the

labels

2026-04-28 01:20:01 +03:00

sbelikov referenced this issue

2026-04-28 15:17:41 +03:00

Update jpegxl to 0.11.2 (CVE-2025-12474, CVE-2026-1837) #2

sbelikov commented

2026-04-28 15:36:33 +03:00

Author

Owner

Package version is now 0.11.2 and target version was 0.11.2. Closing as resolved.\n\n_Closed by niceos_upstream_monitor.py 1.4 at 2026-04-28T12:36:33Z._

Package version is now `0.11.2` and target version was `0.11.2`. Closing as resolved.\n\n_Closed by `niceos_upstream_monitor.py 1.4` at `2026-04-28T12:36:33Z`._

sbelikov closed this issue

2026-04-28 15:36:33 +03:00