Upstream update available: libwmf 0.2.13 → 0.2.15 #1

New issue

Open

opened 2026-04-28 01:31:25 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:31:25 +03:00

Owner

Upstream update available: `libwmf` `0.2.13` → `0.2.15`

Package

Package: libwmf
RPM name: libwmf
Branch: niceos-5.2
Current EVR: 0.2.13-1
Update class: patch
Compare method: python_rpm
Update policy: library
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: caolanm/libwmf
Upstream URL: https://github.com/caolanm/libwmf
Detected version: 0.2.15
Tag/release: v0.2.15
Source: github_release_latest
Published: 2026-04-05T14:12:54Z
Release URL: https://github.com/caolanm/libwmf/releases/tag/v0.2.15
Source URL: https://api.github.com/repos/caolanm/libwmf/tarball/v0.2.15
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление пакета libwmf с версии 0.2.13 до 0.2.15 классифицируется как патч, содержащий исправления уязвимостей переполнения буфера и истощения ресурсов при обработке изображений BMP. Обновление также включает улучшения тестирования и исправления сборки под MSVC, но не затрагивает функциональность ядра библиотеки напрямую. Текущая политика обновления для библиотек разрешает применение таких изменений без блокировки.

2. Риск для НАЙС.ОС

Оценка: medium
Обоснование: Хотя класс обновления помечен как "patch", исправления касаются критических векторов атак (переполнение буфера, RLE-декодер, стек DC), что потенциально позволяет выполнение кода или Denial of Service. Для системной библиотеки это требует осторожного подхода, так как изменения логики обработки данных могут повлиять на совместимость с существующими приложениями, использующими старые форматы файлов.

3. Security/CVE

Во входных данных отсутствуют явные упоминания CVE или флаги security_keywords_detected_by_script. Однако описание релиза ("BMP image parsing fixes", "limit DC stack depth") явно указывает на исправление классов уязвимостей (buffer overflow, DoS). Фактические номера CVE отсутствуют в предоставленном контексте.

4. ABI/API риск

В описании релиза не указаны изменения в публичном API или ABI (например, изменение сигнатур функций, удаление символов). Тем не менее, изменения в логике декодирования (RLE, полилинии) могут теоретически изменить поведение библиотеки при обработке специфичных битых файлов. Необходим ручной анализ дампов символов (nm, objdump) и проверка бинарных интерфейсов перед утверждением.

5. Риск для RPM-сборки

Упоминание "MSVC build fixes" в release notes может указывать на внутренние изменения кода, которые иногда требуют корректировки скриптов сборки или патчей, если исходный код был рефакторирован. Также добавление базового тестового набора (add basic test suite) может потребовать проверки соответствия %check секции spec-файла новым тестам, чтобы избежать провала сборки при включении опций тестирования.

6. Проверки мейнтейнера

Сравнить хеш-суммы исходного кода с ожидаемыми значениями для версии 0.2.15.
Выполнить локальную сборку пакета и убедиться в отсутствии ошибок линковки и компиляции.
Запустить новый тестовый набор (%check) и убедиться в его прохождении.
Провести сравнение дампов символов (ABI check) между версиями 0.2.13 и 0.2.15.
Проверить наличие новых зависимостей в BuildRequires или Requires.
Убедиться, что патчи, применяемые к исходному коду, актуальны для новой версии.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление классифицировано как патч с исправлениями безопасности критической важности (обрабатываемые изображения, защита от истощения ресурсов), что оправдывает обновление. Политика library не блокирует такие изменения. Отсутствие явных ABI-разрывов в описании и наличие тестов позволяют рекомендовать обновление как кандидата после стандартных проверок сборки и ABI.

Upstream release notes / description

BMP image parsing fixes in embedded DIBs
record size validation for polyline, polygon, polypolygon and text records
fix RLE decoder row-stride mismatch
limit DC stack depth to prevent resource exhaustion
add basic test suite
MSVC build fixes

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-28T23:32:40Z

# Upstream update available: `libwmf` `0.2.13` → `0.2.15` ## Package - Package: `libwmf` - RPM name: `libwmf` - Branch: `niceos-5.2` - Current EVR: `0.2.13-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `library` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `caolanm/libwmf` - Upstream URL: https://github.com/caolanm/libwmf - Detected version: `0.2.15` - Tag/release: `v0.2.15` - Source: `github_release_latest` - Published: `2026-04-05T14:12:54Z` - Release URL: https://github.com/caolanm/libwmf/releases/tag/v0.2.15 - Source URL: https://api.github.com/repos/caolanm/libwmf/tarball/v0.2.15 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление пакета `libwmf` с версии 0.2.13 до 0.2.15 классифицируется как патч, содержащий исправления уязвимостей переполнения буфера и истощения ресурсов при обработке изображений BMP. Обновление также включает улучшения тестирования и исправления сборки под MSVC, но не затрагивает функциональность ядра библиотеки напрямую. Текущая политика обновления для библиотек разрешает применение таких изменений без блокировки. ### 2. Риск для НАЙС.ОС **Оценка:** medium **Обоснование:** Хотя класс обновления помечен как "patch", исправления касаются критических векторов атак (переполнение буфера, RLE-декодер, стек DC), что потенциально позволяет выполнение кода или Denial of Service. Для системной библиотеки это требует осторожного подхода, так как изменения логики обработки данных могут повлиять на совместимость с существующими приложениями, использующими старые форматы файлов. ### 3. Security/CVE Во входных данных отсутствуют явные упоминания CVE или флаги `security_keywords_detected_by_script`. Однако описание релиза ("BMP image parsing fixes", "limit DC stack depth") явно указывает на исправление классов уязвимостей (buffer overflow, DoS). Фактические номера CVE отсутствуют в предоставленном контексте. ### 4. ABI/API риск В описании релиза не указаны изменения в публичном API или ABI (например, изменение сигнатур функций, удаление символов). Тем не менее, изменения в логике декодирования (RLE, полилинии) могут теоретически изменить поведение библиотеки при обработке специфичных битых файлов. Необходим ручной анализ дампов символов (`nm`, `objdump`) и проверка бинарных интерфейсов перед утверждением. ### 5. Риск для RPM-сборки Упоминание "MSVC build fixes" в release notes может указывать на внутренние изменения кода, которые иногда требуют корректировки скриптов сборки или патчей, если исходный код был рефакторирован. Также добавление базового тестового набора (`add basic test suite`) может потребовать проверки соответствия `%check` секции spec-файла новым тестам, чтобы избежать провала сборки при включении опций тестирования. ### 6. Проверки мейнтейнера - [ ] Сравнить хеш-суммы исходного кода с ожидаемыми значениями для версии 0.2.15. - [ ] Выполнить локальную сборку пакета и убедиться в отсутствии ошибок линковки и компиляции. - [ ] Запустить новый тестовый набор (`%check`) и убедиться в его прохождении. - [ ] Провести сравнение дампов символов (ABI check) между версиями 0.2.13 и 0.2.15. - [ ] Проверить наличие новых зависимостей в `BuildRequires` или `Requires`. - [ ] Убедиться, что патчи, применяемые к исходному коду, актуальны для новой версии. ### 7. Рекомендация update candidate ### 8. Основание рекомендации Обновление классифицировано как патч с исправлениями безопасности критической важности (обрабатываемые изображения, защита от истощения ресурсов), что оправдывает обновление. Политика `library` не блокирует такие изменения. Отсутствие явных ABI-разрывов в описании и наличие тестов позволяют рекомендовать обновление как кандидата после стандартных проверок сборки и ABI. ## Upstream release notes / description * BMP image parsing fixes in embedded DIBs * record size validation for polyline, polygon, polypolygon and text records * fix RLE decoder row-stride mismatch * limit DC stack depth to prevent resource exhaustion * add basic test suite * MSVC build fixes ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-28T23:32:40Z`

sbelikov added the

labels

2026-04-28 01:31:25 +03:00