Upstream update available: libcap-ng 0.8.5 → 0.9.3 #1

New issue

Open

opened 2026-04-28 01:23:03 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:23:03 +03:00

Owner

Upstream update available: `libcap-ng` `0.8.5` → `0.9.3`

Package

Package: libcap-ng
RPM name: libcap-ng
Branch: niceos-5.2
Current EVR: 0.8.5-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: stevegrubb/libcap-ng
Upstream URL: https://github.com/stevegrubb/libcap-ng
Detected version: 0.9.3
Tag/release: v0.9.3
Source: github_release_latest
Published: 2026-04-09T16:19:29Z
Release URL: https://github.com/stevegrubb/libcap-ng/releases/tag/v0.9.3
Source URL: https://api.github.com/repos/stevegrubb/libcap-ng/tarball/v0.9.3
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление libcap-ng с версии 0.8.5 до 0.9.3 является минорным и содержит улучшения функциональности утилиты cap-audit, добавление новых флагов и исправление логики работы с группами пользователей. В предоставленных релиз-нотах отсутствуют явные указания на критические изменения ABI или уязвимости безопасности.

2. Риск для НАЙС.ОС

low. Обновление относится к категории minor и не затрагивает core-функционал управления правами доступа (kernel interface остается неизменным). Изменения сосредоточены на инструментарии (cap-audit) и логике обработки дополнительных групп, что обычно не вызывает регрессий в стабильных дистрибутивах.

3. Security/CVE

Во входных данных отсутствуют признаки security/CVE. Поле security_keywords_detected_by_script равно False, а в тексте релиз-нот нет упоминаний исправлений уязвимостей (CVE), обходов привилегий или изменений в механизме изоляции.

4. ABI/API риск

Нужен ручной ABI/API анализ. Хотя версия указана как minor, добавление новых функций в API (capng_stage_additional_groups, флаг CAPNG_APPLY_BOUNDING) и изменение логики capng_change_id могут повлиять на пакеты, использующие публичные символы этой библиотеки. Необходимо проверить наличие новых символов в .so файле и отсутствие удаления старых.

5. Риск для RPM-сборки

Вероятны изменения в зависимостях (BuildRequires) из-за добавления проверки доступности заголовков vm_sockets.h. Также возможно изменение путей установки файлов (bash-completions в /usr/share/bash-completion/completions/). Условная компиляция (%ifarch или проверка заголовков) в spec-файле может потребовать корректировки, если исходный код перестал компилироваться без определенных заголовков на целевых архитектурах.

6. Проверки мейнтейнера

Запустить rpmlint на обновленном RPM-пакете.
Сравнить список символов (symbols) в .so файле старой и новой версии (используя objdump или nm), убедиться в отсутствии удаления публичного API.
Проверить наличие новых BuildRequires (например, bash-completion или специфичные заголовки) в обновленном spec-файле.
Протестировать установку пакета в тестовой среде, проверив работу сервисов, зависящих от libcap-ng.
Проверить корректность установки bash-completions в указанную директорию.

7. Рекомендация

update candidate

8. Основание рекомендации

Отсутствие признаков уязвимостей, классификация обновления как minor и фокус изменений на инструментарии позволяют рекомендовать обновление как кандидата. Однако обязательна проверка ABI перед массовым развертыванием из-за добавления новых функций в публичный API библиотеки.

Upstream release notes / description

In cap-audit, split capability analysis across init and runtime phases
If vm_sockets.h and others are not available, remove "netcap --advanced"
Add netcap --list-interfaces & --interface to restrict output to 1 interface
Put bash completions in /usr/share/bash-completion/completions/
capng_change_id now detects it added setpcap and drops only if it added it
Add capng_stage_additional_groups and its support in capng_change_id
Add CAPNG_APPLY_BOUNDING flag to capng_change_id to direct it to apply changes
filecap: add path-to-fd consistency check in capability write path

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-28T15:41:53Z

# Upstream update available: `libcap-ng` `0.8.5` → `0.9.3` ## Package - Package: `libcap-ng` - RPM name: `libcap-ng` - Branch: `niceos-5.2` - Current EVR: `0.8.5-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `stevegrubb/libcap-ng` - Upstream URL: https://github.com/stevegrubb/libcap-ng - Detected version: `0.9.3` - Tag/release: `v0.9.3` - Source: `github_release_latest` - Published: `2026-04-09T16:19:29Z` - Release URL: https://github.com/stevegrubb/libcap-ng/releases/tag/v0.9.3 - Source URL: https://api.github.com/repos/stevegrubb/libcap-ng/tarball/v0.9.3 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление `libcap-ng` с версии 0.8.5 до 0.9.3 является минорным и содержит улучшения функциональности утилиты `cap-audit`, добавление новых флагов и исправление логики работы с группами пользователей. В предоставленных релиз-нотах отсутствуют явные указания на критические изменения ABI или уязвимости безопасности. ### 2. Риск для НАЙС.ОС **low**. Обновление относится к категории `minor` и не затрагивает core-функционал управления правами доступа (kernel interface остается неизменным). Изменения сосредоточены на инструментарии (`cap-audit`) и логике обработки дополнительных групп, что обычно не вызывает регрессий в стабильных дистрибутивах. ### 3. Security/CVE Во входных данных отсутствуют признаки security/CVE. Поле `security_keywords_detected_by_script` равно `False`, а в тексте релиз-нот нет упоминаний исправлений уязвимостей (CVE), обходов привилегий или изменений в механизме изоляции. ### 4. ABI/API риск Нужен ручной ABI/API анализ. Хотя версия указана как `minor`, добавление новых функций в API (`capng_stage_additional_groups`, флаг `CAPNG_APPLY_BOUNDING`) и изменение логики `capng_change_id` могут повлиять на пакеты, использующие публичные символы этой библиотеки. Необходимо проверить наличие новых символов в `.so` файле и отсутствие удаления старых. ### 5. Риск для RPM-сборки Вероятны изменения в зависимостях (`BuildRequires`) из-за добавления проверки доступности заголовков `vm_sockets.h`. Также возможно изменение путей установки файлов (bash-completions в `/usr/share/bash-completion/completions/`). Условная компиляция (`%ifarch` или проверка заголовков) в spec-файле может потребовать корректировки, если исходный код перестал компилироваться без определенных заголовков на целевых архитектурах. ### 6. Проверки мейнтейнера - [ ] Запустить `rpmlint` на обновленном RPM-пакете. - [ ] Сравнить список символов (symbols) в `.so` файле старой и новой версии (используя `objdump` или `nm`), убедиться в отсутствии удаления публичного API. - [ ] Проверить наличие новых `BuildRequires` (например, `bash-completion` или специфичные заголовки) в обновленном spec-файле. - [ ] Протестировать установку пакета в тестовой среде, проверив работу сервисов, зависящих от `libcap-ng`. - [ ] Проверить корректность установки bash-completions в указанную директорию. ### 7. Рекомендация update candidate ### 8. Основание рекомендации Отсутствие признаков уязвимостей, классификация обновления как `minor` и фокус изменений на инструментарии позволяют рекомендовать обновление как кандидата. Однако обязательна проверка ABI перед массовым развертыванием из-за добавления новых функций в публичный API библиотеки. ## Upstream release notes / description - In cap-audit, split capability analysis across init and runtime phases - If vm_sockets.h and others are not available, remove "netcap --advanced" - Add netcap --list-interfaces & --interface to restrict output to 1 interface - Put bash completions in /usr/share/bash-completion/completions/ - capng_change_id now detects it added setpcap and drops only if it added it - Add capng_stage_additional_groups and its support in capng_change_id - Add CAPNG_APPLY_BOUNDING flag to capng_change_id to direct it to apply changes - filecap: add path-to-fd consistency check in capability write path ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-28T15:41:53Z`

sbelikov added the

labels

2026-04-28 01:23:03 +03:00