rpms/libwmf

Fork 0

Upstream update available: libwmf 0.2.13 → 0.2.15 #2

New issue

Closed

opened 2026-05-10 00:18:08 +03:00 by sbelikov · 1 comment

sbelikov commented

2026-05-10 00:18:08 +03:00

Owner

Upstream update available: `libwmf` `0.2.13` → `0.2.15`

Package

Package: libwmf
RPM name: libwmf
Branch: niceos-5.2
Current EVR: 0.2.13-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: caolanm/libwmf
Upstream URL: github.com — libwmf
Detected version: 0.2.15
Tag/release: v0.2.15
Source: github_release_latest
Published: 2026-04-05T14:12:54Z
Release URL: github.com — v0.2.15
Source URL: api.github.com — v0.2.15
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Upstream-обновление libwmf с 0.2.13 до 0.2.15 выглядит как patch-level maintenance update с упором на парсинг, hardening и тест/сборочные правки. По доступным данным это candidate / manual review для НАЙС.ОС: явных признаков ABI/API-break, новых зависимостей или изменения CLI не найдено. При этом нужен обычный ручной контроль сборки и проверки патча из dist-git.

2. Риск для НАЙС.ОС

Risk: low.
Обновление затрагивает в основном обработку WMF/BMP/DIB и валидацию записей, то есть участки кода, важные для устойчивости к malformed input, но не указывает на feature overhaul или incompatibility changes. Для enterprise-политики это выглядит приемлемо, особенно для leaf-пакета; однако из-за правок в парсере остаётся умеренный риск выявления скрытых багов у downstream-потребителей, которые могли опираться на более permissive behavior.

3. Что изменилось upstream

Проверяемые факты по v0.2.15:

исправления парсинга BMP в embedded DIBs;
validation размера записей для polyline, polygon, polypolygon, text records;
исправление mismatch row-stride в RLE decoder;
ограничение глубины DC stack для предотвращения resource exhaustion;
добавлен basic test suite;
исправления сборки для MSVC.

Также по compare page между v0.2.13...v0.2.15 видно, что изменения не ограничиваются только release-note bullets: upstream сообщает о 43 commits и 57 files changed. Однако полная покомпонентная оценка diff здесь недоступна, поэтому точный file-by-file impact — unknown/manual review.

4. Security/CVE

Подтверждённых CVE, прямо связанных с 0.2.15, в найденных upstream release notes не указано.
При этом релиз содержит security-relevant hardening:

record size validation;
fix RLE decoder row-stride mismatch;
limit DC stack depth to prevent resource exhaustion.

Это повышает устойчивость к malformed-input атакам, но не является подтверждением конкретного CVE.

5. ABI/API/CLI/config риск

По доступным upstream-данным:

явных сообщений об ABI breaks нет;
явных сообщений об API changes нет;
явных сообщений об изменениях CLI, defaults, config files, SONAME, symbol removals нет;
новых обязательных runtime dependency changes не отмечено.

Итого: риск по ABI/API/CLI/config выглядит низким, но на уровне enterprise-проверки всё равно нужен sanity-check на совпадение SONAME и состава установленных файлов.

6. Риск для RPM-сборки и dist-git

Что следует проверить в SPECS, SOURCES, патчах и сборке:

применимость Patch0 из Fedora rawhide к 0.2.15;
корректность Source0 и обновление versioned tarball/lock metadata, если используется;
не сломались ли BuildRequires/Requires после upstream build/test правок;
проходит ли %check, особенно если в upstream появился basic test suite;
не изменились ли пути установки libwmf, libwmflite, gdk-pixbuf loader modules;
нет ли необходимости обновить/пересмотреть SBOM и source lock;
не появились ли новые файлы, которые надо исключать или отдельно упаковывать;
не изменился ли набор installed docs/examples/licenses;
не требуется ли пересмотр --with-libxml2, --disable-static и custom Ghostscript font directory.

7. Риск для системы и зависимых компонентов

libwmf — leaf package, поэтому системный blast radius ограничен.
Тем не менее обновление затрагивает runtime parsing paths, значит могут быть затронуты:

приложения, которые читают WMF/BMP/DIB через libwmf;
gdk-pixbuf loader path, если он используется в графических окружениях;
downstream scripts/конвертеры, если они зависят от старого permissive parsing behavior.

Ожидаемое влияние — улучшение устойчивости и безопасности, а не изменение функциональности. Явных сведений о сервисах, пользовательских CLI-изменениях или reverse dependency breakage upstream не дал.

8. Проверки мейнтейнера

Перед PR/merge рекомендуется:

обновить Version на 0.2.15;
проверить, что Source0 (<a href="https://github.com/caolanm/libwmf/archive/v%{version}.tar.gz" target="_blank" rel="noopener noreferrer">github.com — v%{version}.tar.gz`) доступен и соответствует версии;
убедиться, что Patch0 применяется без fuzz / offset, либо зафиксировать необходимость обновления патча;
прогнать build в чистом mock/chroot;
прогнать %check, если он есть и если upstream basic test suite реально собирается/запускается;
проверить soname и список экспортируемых символов;
сравнить список установленных файлов до/после;
проверить, не поменялись ли BuildRequires/Requires;
проверить, что libwmf и libwmflite пакуются как раньше;
проверить gdk-pixbuf loader и install paths;
зафиксировать результаты в spec/changelog;
при необходимости отметить manual review для parser-hardening изменений.

9. Рекомендация

candidate / manual review

10. Источники

Источники, найденные web_search

Upstream release notes / description

BMP image parsing fixes in embedded DIBs
record size validation for polyline, polygon, polypolygon and text records
fix RLE decoder row-stride mismatch
limit DC stack depth to prevent resource exhaustion
add basic test suite
MSVC build fixes

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 2.1.2-openai-deep
Generated at: 2026-05-09T21:18:03Z

# Upstream update available: `libwmf` `0.2.13` → `0.2.15` ## Package - Package: `libwmf` - RPM name: `libwmf` - Branch: `niceos-5.2` - Current EVR: `0.2.13-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `caolanm/libwmf` - Upstream URL: <a href="https://github.com/caolanm/libwmf" target="_blank" rel="noopener noreferrer">github.com — libwmf</a> - Detected version: `0.2.15` - Tag/release: `v0.2.15` - Source: `github_release_latest` - Published: `2026-04-05T14:12:54Z` - Release URL: <a href="https://github.com/caolanm/libwmf/releases/tag/v0.2.15" target="_blank" rel="noopener noreferrer">github.com — v0.2.15</a> - Source URL: <a href="https://api.github.com/repos/caolanm/libwmf/tarball/v0.2.15" target="_blank" rel="noopener noreferrer">api.github.com — v0.2.15</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Upstream-обновление `libwmf` с `0.2.13` до `0.2.15` выглядит как **patch-level maintenance update** с упором на парсинг, hardening и тест/сборочные правки. По доступным данным это **candidate / manual review** для НАЙС.ОС: явных признаков ABI/API-break, новых зависимостей или изменения CLI не найдено. При этом нужен обычный ручной контроль сборки и проверки патча из dist-git. ### 2. Риск для НАЙС.ОС **Risk: low**. Обновление затрагивает в основном обработку WMF/BMP/DIB и валидацию записей, то есть участки кода, важные для устойчивости к malformed input, но не указывает на feature overhaul или incompatibility changes. Для enterprise-политики это выглядит приемлемо, особенно для leaf-пакета; однако из-за правок в парсере остаётся умеренный риск выявления скрытых багов у downstream-потребителей, которые могли опираться на более permissive behavior. ### 3. Что изменилось upstream Проверяемые факты по `v0.2.15`: - исправления парсинга BMP в embedded DIBs; - validation размера записей для `polyline`, `polygon`, `polypolygon`, `text` records; - исправление mismatch row-stride в RLE decoder; - ограничение глубины DC stack для предотвращения resource exhaustion; - добавлен basic test suite; - исправления сборки для MSVC. Также по compare page между `v0.2.13...v0.2.15` видно, что изменения не ограничиваются только release-note bullets: upstream сообщает о **43 commits** и **57 files changed**. Однако полная покомпонентная оценка diff здесь недоступна, поэтому точный file-by-file impact — **unknown/manual review**. ### 4. Security/CVE Подтверждённых CVE, прямо связанных с `0.2.15`, в найденных upstream release notes **не указано**. При этом релиз содержит security-relevant hardening: - record size validation; - fix RLE decoder row-stride mismatch; - limit DC stack depth to prevent resource exhaustion. Это повышает устойчивость к malformed-input атакам, но **не является подтверждением конкретного CVE**. ### 5. ABI/API/CLI/config риск По доступным upstream-данным: - явных сообщений об **ABI breaks** нет; - явных сообщений об **API changes** нет; - явных сообщений об изменениях CLI, defaults, config files, SONAME, symbol removals нет; - новых обязательных runtime dependency changes не отмечено. Итого: риск по ABI/API/CLI/config выглядит **низким**, но на уровне enterprise-проверки всё равно нужен sanity-check на совпадение SONAME и состава установленных файлов. ### 6. Риск для RPM-сборки и dist-git Что следует проверить в `SPECS`, `SOURCES`, патчах и сборке: - применимость `Patch0` из Fedora rawhide к `0.2.15`; - корректность `Source0` и обновление versioned tarball/lock metadata, если используется; - не сломались ли `BuildRequires`/`Requires` после upstream build/test правок; - проходит ли `%check`, особенно если в upstream появился basic test suite; - не изменились ли пути установки `libwmf`, `libwmflite`, gdk-pixbuf loader modules; - нет ли необходимости обновить/пересмотреть `SBOM` и source lock; - не появились ли новые файлы, которые надо исключать или отдельно упаковывать; - не изменился ли набор installed docs/examples/licenses; - не требуется ли пересмотр `--with-libxml2`, `--disable-static` и custom Ghostscript font directory. ### 7. Риск для системы и зависимых компонентов `libwmf` — leaf package, поэтому системный blast radius ограничен. Тем не менее обновление затрагивает runtime parsing paths, значит могут быть затронуты: - приложения, которые читают WMF/BMP/DIB через `libwmf`; - gdk-pixbuf loader path, если он используется в графических окружениях; - downstream scripts/конвертеры, если они зависят от старого permissive parsing behavior. Ожидаемое влияние — **улучшение устойчивости и безопасности**, а не изменение функциональности. Явных сведений о сервисах, пользовательских CLI-изменениях или reverse dependency breakage upstream не дал. ### 8. Проверки мейнтейнера Перед PR/merge рекомендуется: - [ ] обновить `Version` на `0.2.15`; - [ ] проверить, что `Source0` (`<a href="https://github.com/caolanm/libwmf/archive/v%{version}.tar.gz`" target="_blank" rel="noopener noreferrer">github.com — v%{version}.tar.gz`</a>) доступен и соответствует версии; - [ ] убедиться, что `Patch0` применяется без fuzz / offset, либо зафиксировать необходимость обновления патча; - [ ] прогнать build в чистом mock/chroot; - [ ] прогнать `%check`, если он есть и если upstream basic test suite реально собирается/запускается; - [ ] проверить `soname` и список экспортируемых символов; - [ ] сравнить список установленных файлов до/после; - [ ] проверить, не поменялись ли `BuildRequires`/`Requires`; - [ ] проверить, что `libwmf` и `libwmflite` пакуются как раньше; - [ ] проверить gdk-pixbuf loader и install paths; - [ ] зафиксировать результаты в `spec`/changelog; - [ ] при необходимости отметить manual review для parser-hardening изменений. ### 9. Рекомендация **candidate / manual review** ### 10. Источники - <a href="https://github.com/caolanm/libwmf" target="_blank" rel="noopener noreferrer">GitHub repository: caolanm/libwmf</a> - <a href="https://github.com/caolanm/libwmf/releases/tag/v0.2.15" target="_blank" rel="noopener noreferrer">Release v0.2.15</a> - <a href="https://github.com/caolanm/libwmf/compare/v0.2.13...v0.2.15" target="_blank" rel="noopener noreferrer">Compare v0.2.13...v0.2.15</a> - <a href="https://specs.niceos.ru/rpms/libwmf" target="_blank" rel="noopener noreferrer">NiceOS package page: libwmf</a> - <a href="https://specs.niceos.ru/rpms/libwmf/src/branch/niceos-5.2/SPECS/libwmf.spec" target="_blank" rel="noopener noreferrer">NiceOS spec: libwmf.spec</a> - <a href="https://security-tracker.debian.org/tracker/source-package/libwmf" target="_blank" rel="noopener noreferrer">Debian security tracker: libwmf</a> ### Источники, найденные web_search 1. <a href="https://github.com/caolanm/libwmf" target="_blank" rel="noopener noreferrer">github.com — libwmf</a> 2. <a href="https://github.com/amnezia-vpn/amneziawg-go/actions" target="_blank" rel="noopener noreferrer">github.com — actions</a> 3. <a href="https://github.com/3MFConsortium/lib3mf/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 4. <a href="https://github.com/mypaint/libmypaint" target="_blank" rel="noopener noreferrer">github.com — libmypaint</a> 5. <a href="https://gist.github.com/ecavazos/278614" target="_blank" rel="noopener noreferrer">gist.github.com — 278614</a> 6. <a href="https://github.com/lima-vm" target="_blank" rel="noopener noreferrer">github.com — lima vm</a> 7. <a href="https://github.com/futurepress/epub.js/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 8. <a href="https://github.com/vifm/vifm" target="_blank" rel="noopener noreferrer">github.com — vifm</a> 9. <a href="https://github.com/vllm-project/vllm/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 10. <a href="https://github.com/mltframework/mlt/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 11. <a href="https://github.com/lima-vm/lima" target="_blank" rel="noopener noreferrer">github.com — lima</a> 12. <a href="https://github.com/scottprahl/RigolWFM" target="_blank" rel="noopener noreferrer">github.com — RigolWFM</a> ## Upstream release notes / description * BMP image parsing fixes in embedded DIBs * record size validation for polyline, polygon, polypolygon and text records * fix RLE decoder row-stride mismatch * limit DC stack depth to prevent resource exhaustion * add basic test suite * MSVC build fixes ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.2-openai-deep` - Generated at: `2026-05-09T21:18:03Z`

sbelikov added the

labels

2026-05-10 00:18:08 +03:00

sbelikov referenced this issue

2026-05-10 00:20:57 +03:00

libwmf: update to 0.2.15 #3

sbelikov commented

2026-05-10 00:52:27 +03:00

Author

Owner

Package version is now 0.2.15 and target version was 0.2.15. Closing as resolved.\n\n_Closed by niceos_upstream_monitor.py 1.5 at 2026-05-09T21:52:26Z._

Package version is now `0.2.15` and target version was `0.2.15`. Closing as resolved.\n\n_Closed by `niceos_upstream_monitor.py 1.5` at `2026-05-09T21:52:26Z`._

sbelikov closed this issue

2026-05-10 00:52:28 +03:00