Upstream update available: libxmlb 0.3.21 → 0.3.26 #1

New issue

Open

opened 2026-04-28 01:32:11 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:32:11 +03:00

Owner

Upstream update available: `libxmlb` `0.3.21` → `0.3.26`

Package

Package: libxmlb
RPM name: libxmlb
Branch: niceos-5.2
Current EVR: 0.3.21-1
Update class: patch
Compare method: python_rpm
Update policy: library
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: hughsie/libxmlb
Upstream URL: https://github.com/hughsie/libxmlb
Detected version: 0.3.26
Tag/release: 0.3.26
Source: github_release_latest
Published: 2026-04-14T10:47:52Z
Release URL: https://github.com/hughsie/libxmlb/releases/tag/0.3.26
Source URL: https://api.github.com/repos/hughsie/libxmlb/tarball/0.3.26
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление libxmlb с версии 0.3.21 до 0.3.26 классифицируется как патч-уровня и содержит критические исправления уязвимостей, связанных с переполнением буфера (OOB read), рекурсивным переполнением стека и некорректной обработкой атрибутов. Обновление также включает новые функции парсинга CDATA и улучшения совместимости с платформами illumos/Solaris.

2. Риск для НАЙС.ОС

medium. Несмотря на классификацию patch, наличие исправлений OOB read и защиты от переполнения стека делает это обновление критически важным для безопасности. Однако, так как это библиотека, изменения могут повлиять на ABI, если сигнатуры функций или структура данных изменились неявно, что требует проверки зависимых пакетов перед массовым обновлением.

3. Security/CVE

Во входных данных нет явных указаний на конкретные CVE (например, CVE-YYYY-XXXX). Упоминания "bounds check to prevent OOB read" и "prevent stack overflow" указывают на наличие уязвимостей, которые были исправлены, но формальные идентификаторы CVE в предоставленном тексте отсутствуют.

4. ABI/API риск

В release notes указано добавление новой функции ("Parse CDATA as text") и изменение поведения при обработке атрибутов (>63 attrs). Для библиотеки это потенциальный риск изменения ABI, если новая функция экспортирует новые символы или меняет семантику существующих вызовов. Нужен ручной ABI/API анализ для подтверждения отсутствия бинарной несовместимости с уже установленными клиентами библиотеки.

5. Риск для RPM-сборки

Вероятность поломки сборки низкая, так как это обновление внутри мажорной ветки (0.3.x). Однако стоит проверить:

Изменения в BuildRequires (например, новые зависимости для тестов или платформ illumos/Solaris).
Актуальность патчей в спецификации, если они касаются логики парсинга, которую трогали авторы.
Результат %check после обновления, учитывая новые тесты на рекурсию и атрибуты.

6. Проверки мейнтейнера

Запустить rpmlint на обновленном RPM.
Провести сравнение символов (objdump/nm) между старой и новой версией для выявления изменений в публичном API.
Проверить вывод %check (особенно тесты на рекурсию и атрибуты).
Убедиться, что зависимости illumos/Solaris не влияют на сборку для целевых архитектур НАЙС.ОС (если они не поддерживаются).
Проверить отсутствие новых Requires или Conflicts в обновленном RPM.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление содержит критические исправления безопасности (OOB read, stack overflow), которые должны быть применены как можно скорее. Классификация patch и отсутствие блокировок в политике позволяют рекомендовать обновление как кандидата. Необходимый ABI-анализ является частью процесса проверки кандидата, а не причиной для блокировки, особенно учитывая, что это библиотека с низким уровнем риска для прямых зависимостей по сравнению с ядром или runtime.

Upstream release notes / description

New Features:

Parse CDATA as text (Milan Crha)

Bugfixes:

Add bounds check to prevent OOB read in token index lookup (Richard Hughes)
Do not write an invalid silo when more than 63 attrs on one node (Richard Hughes)
No inotify for illumos and Solaris (Marcel Telka)
Prevent stack overflow from unbounded recursion in export (Richard Hughes)

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-28T23:33:31Z

# Upstream update available: `libxmlb` `0.3.21` → `0.3.26` ## Package - Package: `libxmlb` - RPM name: `libxmlb` - Branch: `niceos-5.2` - Current EVR: `0.3.21-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `library` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `hughsie/libxmlb` - Upstream URL: https://github.com/hughsie/libxmlb - Detected version: `0.3.26` - Tag/release: `0.3.26` - Source: `github_release_latest` - Published: `2026-04-14T10:47:52Z` - Release URL: https://github.com/hughsie/libxmlb/releases/tag/0.3.26 - Source URL: https://api.github.com/repos/hughsie/libxmlb/tarball/0.3.26 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление `libxmlb` с версии 0.3.21 до 0.3.26 классифицируется как патч-уровня и содержит критические исправления уязвимостей, связанных с переполнением буфера (OOB read), рекурсивным переполнением стека и некорректной обработкой атрибутов. Обновление также включает новые функции парсинга CDATA и улучшения совместимости с платформами illumos/Solaris. ### 2. Риск для НАЙС.ОС **medium**. Несмотря на классификацию `patch`, наличие исправлений OOB read и защиты от переполнения стека делает это обновление критически важным для безопасности. Однако, так как это библиотека, изменения могут повлиять на ABI, если сигнатуры функций или структура данных изменились неявно, что требует проверки зависимых пакетов перед массовым обновлением. ### 3. Security/CVE Во входных данных **нет явных указаний на конкретные CVE** (например, CVE-YYYY-XXXX). Упоминания "bounds check to prevent OOB read" и "prevent stack overflow" указывают на наличие уязвимостей, которые были исправлены, но формальные идентификаторы CVE в предоставленном тексте отсутствуют. ### 4. ABI/API риск В release notes указано добавление новой функции ("Parse CDATA as text") и изменение поведения при обработке атрибутов (>63 attrs). Для библиотеки это потенциальный риск изменения ABI, если новая функция экспортирует новые символы или меняет семантику существующих вызовов. **Нужен ручной ABI/API анализ** для подтверждения отсутствия бинарной несовместимости с уже установленными клиентами библиотеки. ### 5. Риск для RPM-сборки Вероятность поломки сборки низкая, так как это обновление внутри мажорной ветки (0.3.x). Однако стоит проверить: - Изменения в `BuildRequires` (например, новые зависимости для тестов или платформ illumos/Solaris). - Актуальность патчей в спецификации, если они касаются логики парсинга, которую трогали авторы. - Результат `%check` после обновления, учитывая новые тесты на рекурсию и атрибуты. ### 6. Проверки мейнтейнера - [ ] Запустить `rpmlint` на обновленном RPM. - [ ] Провести сравнение символов (`objdump`/`nm`) между старой и новой версией для выявления изменений в публичном API. - [ ] Проверить вывод `%check` (особенно тесты на рекурсию и атрибуты). - [ ] Убедиться, что зависимости `illumos`/`Solaris` не влияют на сборку для целевых архитектур НАЙС.ОС (если они не поддерживаются). - [ ] Проверить отсутствие новых `Requires` или `Conflicts` в обновленном RPM. ### 7. Рекомендация **update candidate** ### 8. Основание рекомендации Обновление содержит критические исправления безопасности (OOB read, stack overflow), которые должны быть применены как можно скорее. Классификация `patch` и отсутствие блокировок в политике позволяют рекомендовать обновление как кандидата. Необходимый ABI-анализ является частью процесса проверки кандидата, а не причиной для блокировки, особенно учитывая, что это библиотека с низким уровнем риска для прямых зависимостей по сравнению с ядром или runtime. ## Upstream release notes / description New Features: - Parse CDATA as text (Milan Crha) Bugfixes: - Add bounds check to prevent OOB read in token index lookup (Richard Hughes) - Do not write an invalid silo when more than 63 attrs on one node (Richard Hughes) - No inotify for illumos and Solaris (Marcel Telka) - Prevent stack overflow from unbounded recursion in export (Richard Hughes) ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-28T23:33:31Z`

sbelikov added the

labels

2026-04-28 01:32:11 +03:00