Upstream update available: libtpms 0.10.1 → 0.10.2 #1

New issue

Open

opened 2026-04-28 01:30:11 +03:00 by sbelikov · 0 comments

sbelikov commented 2026-04-28 01:30:11 +03:00

Owner

Copy link

Upstream update available: libtpms 0.10.1 → 0.10.2

Package

• Package: libtpms
• RPM name: libtpms
• Branch: niceos-5.2
• Current EVR: 0.10.1-1
• Update class: patch
• Compare method: python_rpm
• Update policy: leaf
• Risk tags: github-upstream

Upstream

• Upstream type: github
• Upstream project: stefanberger/libtpms
• Upstream URL: https://github.com/stefanberger/libtpms
• Detected version: 0.10.2
• Tag/release: v0.10.2
• Source: github_release_latest
• Published: 2026-01-02T16:08:49Z
• Release URL: https://github.com/stefanberger/libtpms/releases/tag/v0.10.2
• Source URL: https://api.github.com/repos/stefanberger/libtpms/tarball/v0.10.2
• Pre-release: False

Signals

• Security-relevant keywords detected: True
• Policy blocked: False
• Policy reason: -
• Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Upstream-пакет libtpms обновился с версии 0.10.1 до 0.10.2. Обновление содержит исправление утечки памяти и фикс уязвимости, связанной с обработкой IV при использовании OpenSSL >= 3.0. Класс обновления помечен как patch, однако наличие security-ключевых слов требует внимания.

2. Риск для НАЙС.ОС

medium. Хотя класс обновления указан как patch, исправление касается криптографических операций (TPM2, OpenSSL) и включает явное упоминание CVE. Ошибки в управлении памятью и векторами инициализации (IV) в криптографических библиотеках могут привести к компрометации безопасности или нестабильности в системах, использующих TPM.

3. Security/CVE

Во входных данных присутствует явное упоминание CVE-2026-21444, связанное с проблемой получения обновленного IV при использовании OpenSSL >= 3.0. Также скрипт детектировал security-ключевые слова.

4. ABI/API риск

Данных недостаточно для автоматического определения изменений ABI/API. Исправление утечки памяти и логики работы с OpenSSL теоретически не должно менять публичный API, но требуется проверка заголовочных файлов и сигнатур функций.

5. Риск для RPM-сборки

Поскольку обновление зависит от OpenSSL >= 3.0, необходимо убедиться, что BuildRequires для openssl-devel (или соответствующего пакета в дистрибутиве) указывает на версию 3.0 или выше. Если текущая сборка использует старую версию OpenSSL, сборка может провалиться или поведение будет отличаться. Также стоит проверить %check секцию на предмет новых ошибок компиляции.

6. Проверки мейнтейнера

• Проверить версию OpenSSL в системе сборки (должна быть >= 3.0).
• Запустить rpmlint на новом пакете.
• Провести тестирование на системах с активным использованием TPM.
• Сверить список зависимостей (Requires) с изменениями в upstream.
• Проверить отсутствие регрессий в тестах (если есть тестовый фреймворк в репозитории).

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление является точечным исправлением критической уязвимости (CVE) и утечки памяти в security-critical компоненте. Несмотря на необходимость проверки совместимости с OpenSSL 3.0, автоматическое обновление блокировать нецелесообразно из-за высокого риска эксплуатации уязвимости, если она останется нерешенной. Рекомендуется включить в кандидаты после рутинной проверки зависимостей.

Upstream release notes / description

version 0.10.2:

• tpm2: Fix memory leak by freeing KDF context
• tpm2: Fix retrieval of updated IV when using OpenSSL >= 3.0 (CVE-2026-21444)

Full Changelog: https://github.com/stefanberger/libtpms/compare/v0.10.1...v0.10.2

NiceOS maintainer checklist

• Confirm that the detected version is a stable upstream release.
• Check upstream changelog for security fixes, ABI/API changes and build-system changes.
• Check ABI/API compatibility and reverse dependencies.
• Download source into NiceOS lookaside storage.
• Update Version and related fields in SPECS/*.spec only if policy allows it.
• Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
• Build SRPM/RPM in a clean NiceOS buildroot.
• Run package smoke tests.
• Link PR/build logs and close this issue after update or triage.

Bot metadata

• Tool: niceos_upstream_monitor.py 1.4
• Generated at: 2026-04-28T15:49:17Z

<!-- niceos-upstream-monitor:fingerprint=upstream-update:libtpms:0.10.2 --> <!-- niceos-upstream-monitor:package=libtpms --> <!-- niceos-upstream-monitor:current=0.10.1 --> <!-- niceos-upstream-monitor:latest=0.10.2 --> # Upstream update available: `libtpms` `0.10.1` → `0.10.2` ## Package - Package: `libtpms` - RPM name: `libtpms` - Branch: `niceos-5.2` - Current EVR: `0.10.1-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `stefanberger/libtpms` - Upstream URL: https://github.com/stefanberger/libtpms - Detected version: `0.10.2` - Tag/release: `v0.10.2` - Source: `github_release_latest` - Published: `2026-01-02T16:08:49Z` - Release URL: https://github.com/stefanberger/libtpms/releases/tag/v0.10.2 - Source URL: https://api.github.com/repos/stefanberger/libtpms/tarball/v0.10.2 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Upstream-пакет `libtpms` обновился с версии 0.10.1 до 0.10.2. Обновление содержит исправление утечки памяти и фикс уязвимости, связанной с обработкой IV при использовании OpenSSL >= 3.0. Класс обновления помечен как `patch`, однако наличие security-ключевых слов требует внимания. ### 2. Риск для НАЙС.ОС **medium**. Хотя класс обновления указан как `patch`, исправление касается криптографических операций (TPM2, OpenSSL) и включает явное упоминание CVE. Ошибки в управлении памятью и векторами инициализации (IV) в криптографических библиотеках могут привести к компрометации безопасности или нестабильности в системах, использующих TPM. ### 3. Security/CVE Во входных данных присутствует явное упоминание **CVE-2026-21444**, связанное с проблемой получения обновленного IV при использовании OpenSSL >= 3.0. Также скрипт детектировал security-ключевые слова. ### 4. ABI/API риск Данных недостаточно для автоматического определения изменений ABI/API. Исправление утечки памяти и логики работы с OpenSSL теоретически не должно менять публичный API, но требуется проверка заголовочных файлов и сигнатур функций. ### 5. Риск для RPM-сборки Поскольку обновление зависит от OpenSSL >= 3.0, необходимо убедиться, что `BuildRequires` для `openssl-devel` (или соответствующего пакета в дистрибутиве) указывает на версию 3.0 или выше. Если текущая сборка использует старую версию OpenSSL, сборка может провалиться или поведение будет отличаться. Также стоит проверить `%check` секцию на предмет новых ошибок компиляции. ### 6. Проверки мейнтейнера - [ ] Проверить версию OpenSSL в системе сборки (должна быть >= 3.0). - [ ] Запустить `rpmlint` на новом пакете. - [ ] Провести тестирование на системах с активным использованием TPM. - [ ] Сверить список зависимостей (`Requires`) с изменениями в upstream. - [ ] Проверить отсутствие регрессий в тестах (если есть тестовый фреймворк в репозитории). ### 7. Рекомендация update candidate ### 8. Основание рекомендации Обновление является точечным исправлением критической уязвимости (CVE) и утечки памяти в security-critical компоненте. Несмотря на необходимость проверки совместимости с OpenSSL 3.0, автоматическое обновление блокировать нецелесообразно из-за высокого риска эксплуатации уязвимости, если она останется нерешенной. Рекомендуется включить в кандидаты после рутинной проверки зависимостей. ## Upstream release notes / description version 0.10.2: - tpm2: Fix memory leak by freeing KDF context - tpm2: Fix retrieval of updated IV when using OpenSSL >= 3.0 (CVE-2026-21444) **Full Changelog**: https://github.com/stefanberger/libtpms/compare/v0.10.1...v0.10.2 ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-28T15:49:17Z`

sbelikov added the

ai-summary

bot

needs-build

needs-triage

priority/high

security-release

update/patch

upstream-update

upstream/github

labels 2026-04-28 01:30:11 +03:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

niceos-5.2

No results found.

Labels

Clear labels   

ai-summary

Issue contains local NiceSOFT AI generated preliminary analysis

  

bot

Created by automation

  

needs-build

Needs build verification

  

needs-triage

Needs maintainer triage

  

priority/high

High priority

  

security-release

Release notes mention security fixes or CVE

  

update/patch

Patch-level update

  

upstream-update

New upstream version is available

  

upstream/github

GitHub upstream

No labels

ai-summary

bot

needs-build

needs-triage

priority/high

security-release

update/patch

upstream-update

upstream/github

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

rpms/libtpms#1

No description provided.