rpms/libtpms

Fork 0

Upstream update available: libtpms 0.10.1 → 0.10.2 #2

New issue

Closed

opened 2026-05-09 23:55:55 +03:00 by sbelikov · 1 comment

sbelikov commented

2026-05-09 23:55:55 +03:00

Owner

Upstream update available: `libtpms` `0.10.1` → `0.10.2`

Package

Package: libtpms
RPM name: libtpms
Branch: niceos-5.2
Current EVR: 0.10.1-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: stefanberger/libtpms
Upstream URL: github.com — libtpms
Detected version: 0.10.2
Tag/release: v0.10.2
Source: github_release_latest
Published: 2026-01-02T16:08:49Z
Release URL: github.com — v0.10.2
Source URL: api.github.com — v0.10.2
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Upstream libtpms обновился с 0.10.1 до 0.10.2; по доступным данным это небольшой patch-релиз без заявленных breaking changes. В релизе есть исправление утечки памяти и исправление для получения IV при использовании OpenSSL >= 3.0, которое upstream связывает с CVE-2026-21444. Для НАЙС.ОС обновление выглядит как manual review: по смыслу оно кандидат на включение, но перед merge нужно подтвердить влияние на spec/build.

2. Риск для НАЙС.ОС

Риск: low to medium.
С точки зрения enterprise-стабильности это локальный patch-level bump для leaf-пакета, без видимых изменений CLI/API/ABI и без объявленных функциональных новшеств. При этом есть упоминание security-fix и изменение, затрагивающее OpenSSL >= 3.0, поэтому для консервативной политики RHEL-подобного дистрибутива нужен ручной контроль spec/rebuild, но признаков высокого риска по upstream-описанию нет.

3. Что изменилось upstream

Проверяемые факты по v0.10.2:

опубликован релиз v0.10.2 на GitHub;
релизные заметки содержат только два пункта:
- tpm2: Fix memory leak by freeing KDF context
- tpm2: Fix retrieval of updated IV when using OpenSSL >= 3.0 (CVE-2026-21444)
compare v0.10.1...v0.10.2 показывает 5 commits, 7 files changed, 1 contributor;
среди видимых коммитов есть:
- commit с build-sys для v0.10.2,
- обновление CHANGES,
- обновление changelog для rpm/debian.

4. Security/CVE

Подтверждённый upstream CVE:

CVE-2026-21444 — упомянут upstream в релизных заметках для фикса получения IV при OpenSSL >= 3.0.

Других подтверждённых CVE в релизных заметках и compare summary не найдено.

5. ABI/API/CLI/config риск

По доступным источникам:

явных изменений ABI/API/CLI/config upstream не объявлял;
нет признаков изменения soname, новых опций, удаления опций или смены defaults;
исправление связано с внутренней TPM2-логикой и OpenSSL-совместимостью, а не с внешним интерфейсом пакета.

Итог: риск ABI/API/CLI/config низкий, но не полностью верифицирован из-за неполного просмотра файлового diff в compare.

6. Риск для RPM-сборки и dist-git

Что стоит проверить в НАЙС.ОС:

SPECS/libtpms.spec
- только ли меняется Version: / Release:;
- не появились ли новые Patch/Source ссылки;
- не изменились ли BuildRequires/Requires;
- нет ли дополнительных условий для OpenSSL >= 3.0;
SOURCES/
- обновление sources.lock.json;
- соответствие SHA256/GOST новым исходникам;
%build / %check
- не сломал ли upstream build-sys commit сборочные сценарии;
- не нужны ли дополнительные флаги для OpenSSL 3.x;
SBOM
- обновление версии и контроль хэшей артефактов;
патчи
- проверить, не конфликтуют ли существующие downstream-патчи с v0.10.2.

Фактический risk: unknown/manual review, потому что spec diff и полный file diff upstream не были полностью просмотрены.

7. Риск для системы и зависимых компонентов

Вероятное влияние на runtime:

затронуты TPM2-кодовые пути;
исправление утечки памяти может улучшить поведение при долгоживущем использовании vTPM;
исправление IV retrieval важно при сборке/работе с OpenSSL >= 3.0;
upstream не сообщает о новых сервисах, изменённых defaults или пользовательских интерфейсах.

Для зависимых компонентов риск выглядит низким, но возможна чувствительность у тех, кто использует libtpms вместе с OpenSSL 3.x или держит TPM2-нагрузку длительное время.

8. Проверки мейнтейнера

Перед PR/merge:

сравнить SPECS/libtpms.spec с текущим релизом;
убедиться, что обновление — это только version bump, если так задумано;
обновить sources.lock.json и проверить хэши;
проверить, не нужен ли новый/изменённый BuildRequires для OpenSSL 3.x;
прогнать rebuild в целевой среде;
выполнить %check, если он включён;
проверить, не появился ли конфликт downstream-патчей;
сверить SBOM/metadata;
при наличии тестового стенда проверить сценарии TPM2/vTPM;
отдельно убедиться, что CVE-2026-21444 подтверждается внутренними policy-источниками, если требуется формальная CVE-валидация.

9. Рекомендация

blocked manual review

10. Источники

Источники, найденные web_search

Upstream release notes / description

version 0.10.2:

tpm2: Fix memory leak by freeing KDF context
tpm2: Fix retrieval of updated IV when using OpenSSL >= 3.0 (CVE-2026-21444)

Full Changelog: github.com — v0.10.1...v0.10.2

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 2.1.2-openai-deep
Generated at: 2026-05-09T20:55:50Z

# Upstream update available: `libtpms` `0.10.1` → `0.10.2` ## Package - Package: `libtpms` - RPM name: `libtpms` - Branch: `niceos-5.2` - Current EVR: `0.10.1-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `stefanberger/libtpms` - Upstream URL: <a href="https://github.com/stefanberger/libtpms" target="_blank" rel="noopener noreferrer">github.com — libtpms</a> - Detected version: `0.10.2` - Tag/release: `v0.10.2` - Source: `github_release_latest` - Published: `2026-01-02T16:08:49Z` - Release URL: <a href="https://github.com/stefanberger/libtpms/releases/tag/v0.10.2" target="_blank" rel="noopener noreferrer">github.com — v0.10.2</a> - Source URL: <a href="https://api.github.com/repos/stefanberger/libtpms/tarball/v0.10.2" target="_blank" rel="noopener noreferrer">api.github.com — v0.10.2</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Upstream `libtpms` обновился с `0.10.1` до `0.10.2`; по доступным данным это небольшой patch-релиз без заявленных breaking changes. В релизе есть исправление утечки памяти и исправление для получения IV при использовании OpenSSL >= 3.0, которое upstream связывает с `CVE-2026-21444`. Для НАЙС.ОС обновление выглядит как **manual review**: по смыслу оно кандидат на включение, но перед merge нужно подтвердить влияние на spec/build. ### 2. Риск для НАЙС.ОС **Риск: low to medium.** С точки зрения enterprise-стабильности это локальный patch-level bump для leaf-пакета, без видимых изменений CLI/API/ABI и без объявленных функциональных новшеств. При этом есть упоминание security-fix и изменение, затрагивающее OpenSSL >= 3.0, поэтому для консервативной политики RHEL-подобного дистрибутива нужен ручной контроль spec/rebuild, но признаков высокого риска по upstream-описанию нет. ### 3. Что изменилось upstream Проверяемые факты по `v0.10.2`: - опубликован релиз `v0.10.2` на GitHub; - релизные заметки содержат только два пункта: - `tpm2: Fix memory leak by freeing KDF context` - `tpm2: Fix retrieval of updated IV when using OpenSSL >= 3.0 (CVE-2026-21444)` - compare `v0.10.1...v0.10.2` показывает **5 commits**, **7 files changed**, **1 contributor**; - среди видимых коммитов есть: - commit с `build-sys` для `v0.10.2`, - обновление `CHANGES`, - обновление changelog для `rpm/debian`. ### 4. Security/CVE Подтверждённый upstream CVE: - **CVE-2026-21444** — упомянут upstream в релизных заметках для фикса получения IV при OpenSSL >= 3.0. Других подтверждённых CVE в релизных заметках и compare summary не найдено. ### 5. ABI/API/CLI/config риск По доступным источникам: - явных изменений **ABI/API/CLI/config** upstream не объявлял; - нет признаков изменения soname, новых опций, удаления опций или смены defaults; - исправление связано с внутренней TPM2-логикой и OpenSSL-совместимостью, а не с внешним интерфейсом пакета. Итог: **риск ABI/API/CLI/config низкий, но не полностью верифицирован** из-за неполного просмотра файлового diff в compare. ### 6. Риск для RPM-сборки и dist-git Что стоит проверить в НАЙС.ОС: - `SPECS/libtpms.spec` - только ли меняется `Version:` / `Release:`; - не появились ли новые `Patch`/`Source` ссылки; - не изменились ли `BuildRequires`/`Requires`; - нет ли дополнительных условий для OpenSSL >= 3.0; - `SOURCES/` - обновление `sources.lock.json`; - соответствие SHA256/GOST новым исходникам; - `%build` / `%check` - не сломал ли upstream `build-sys` commit сборочные сценарии; - не нужны ли дополнительные флаги для OpenSSL 3.x; - SBOM - обновление версии и контроль хэшей артефактов; - патчи - проверить, не конфликтуют ли существующие downstream-патчи с `v0.10.2`. Фактический risk: **unknown/manual review**, потому что spec diff и полный file diff upstream не были полностью просмотрены. ### 7. Риск для системы и зависимых компонентов Вероятное влияние на runtime: - затронуты TPM2-кодовые пути; - исправление утечки памяти может улучшить поведение при долгоживущем использовании vTPM; - исправление IV retrieval важно при сборке/работе с OpenSSL >= 3.0; - upstream не сообщает о новых сервисах, изменённых defaults или пользовательских интерфейсах. Для зависимых компонентов риск выглядит **низким**, но возможна чувствительность у тех, кто использует libtpms вместе с OpenSSL 3.x или держит TPM2-нагрузку длительное время. ### 8. Проверки мейнтейнера Перед PR/merge: - [ ] сравнить `SPECS/libtpms.spec` с текущим релизом; - [ ] убедиться, что обновление — это только version bump, если так задумано; - [ ] обновить `sources.lock.json` и проверить хэши; - [ ] проверить, не нужен ли новый/изменённый `BuildRequires` для OpenSSL 3.x; - [ ] прогнать rebuild в целевой среде; - [ ] выполнить `%check`, если он включён; - [ ] проверить, не появился ли конфликт downstream-патчей; - [ ] сверить SBOM/metadata; - [ ] при наличии тестового стенда проверить сценарии TPM2/vTPM; - [ ] отдельно убедиться, что `CVE-2026-21444` подтверждается внутренними policy-источниками, если требуется формальная CVE-валидация. ### 9. Рекомендация **blocked manual review** ### 10. Источники - <a href="https://github.com/stefanberger/libtpms/releases/tag/v0.10.2" target="_blank" rel="noopener noreferrer">GitHub release v0.10.2</a> - <a href="https://github.com/stefanberger/libtpms/compare/v0.10.1...v0.10.2" target="_blank" rel="noopener noreferrer">GitHub compare v0.10.1...v0.10.2</a> - <a href="https://github.com/stefanberger/libtpms" target="_blank" rel="noopener noreferrer">GitHub libtpms repository</a> - <a href="https://github.com/stefanberger/libtpms/security/advisories/GHSA-25w5-6fjj-hf8g" target="_blank" rel="noopener noreferrer">GitHub advisory GHSA-25w5-6fjj-hf8g</a> - <a href="https://specs.niceos.ru/rpms/libtpms" target="_blank" rel="noopener noreferrer">NiceOS dist-git package page</a> - <a href="https://specs.niceos.ru/rpms/libtpms/src/branch/niceos-5.2/SPECS" target="_blank" rel="noopener noreferrer">NiceOS dist-git SPECS branch</a> - <a href="https://specs.niceos.ru/rpms/libtpms/src/branch/niceos-5.2/SOURCES" target="_blank" rel="noopener noreferrer">NiceOS dist-git SOURCES branch</a> ### Источники, найденные web_search 1. <a href="https://github.com/stefanberger/swtpm/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 2. <a href="https://github.com/zigzap/zap/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 3. <a href="https://github.com/projectcapsule/capsule/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 4. <a href="https://github.com/stefanberger/libtpms" target="_blank" rel="noopener noreferrer">github.com — libtpms</a> 5. <a href="https://github.com/stefanberger/libtpms/security/advisories/GHSA-25w5-6fjj-hf8g" target="_blank" rel="noopener noreferrer">github.com — GHSA 25w5 6fjj hf8g</a> 6. <a href="https://github.com/openssl" target="_blank" rel="noopener noreferrer">github.com — openssl</a> 7. <a href="https://github.com/thetimewalker/wallpanel-android/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 8. <a href="https://github.com/sigstore/gitsign/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 9. <a href="https://github.com/openssl/openssl/" target="_blank" rel="noopener noreferrer">github.com — openssl</a> 10. <a href="https://github.com/phiresky/ripgrep-all/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 11. <a href="https://github.com/confidential-containers/trustee/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 12. <a href="https://github.com/openssl/openssl/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> ## Upstream release notes / description version 0.10.2: - tpm2: Fix memory leak by freeing KDF context - tpm2: Fix retrieval of updated IV when using OpenSSL >= 3.0 (CVE-2026-21444) **Full Changelog**: <a href="https://github.com/stefanberger/libtpms/compare/v0.10.1...v0.10.2" target="_blank" rel="noopener noreferrer">github.com — v0.10.1...v0.10.2</a> ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.2-openai-deep` - Generated at: `2026-05-09T20:55:50Z`

sbelikov added the

labels

2026-05-09 23:55:55 +03:00

sbelikov commented

2026-05-10 00:07:21 +03:00

Author

Owner

Package version is now 0.10.2 and target version was 0.10.2. Closing as resolved.\n\n_Closed by niceos_upstream_monitor.py 1.5 at 2026-05-09T21:07:20Z._

Package version is now `0.10.2` and target version was `0.10.2`. Closing as resolved.\n\n_Closed by `niceos_upstream_monitor.py 1.5` at `2026-05-09T21:07:20Z`._

sbelikov closed this issue

2026-05-10 00:07:22 +03:00