rpms/nghttp2
1
0
Fork 0
Code Issues 1 Pull requests Projects Releases Packages Wiki Activity Actions

Upstream update available: nghttp2 1.66.0 → 1.69.0 #1

New issue
Open
opened 2026-04-28 01:35:10 +03:00 by sbelikov · 0 comments
sbelikov commented 2026-04-28 01:35:10 +03:00
Owner
Copy link

Upstream update available: nghttp2 1.66.01.69.0

Package

  • Package: nghttp2
  • RPM name: nghttp2
  • Branch: niceos-5.2
  • Current EVR: 1.66.0-1
  • Update class: minor
  • Compare method: python_rpm
  • Update policy: leaf
  • Risk tags: github-upstream, network-facing

Upstream

Signals

  • Security-relevant keywords detected: False
  • Policy blocked: False
  • Policy reason: -
  • Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление nghttp2 с версии 1.66.0 до 1.69.0 представляет собой минорную ветку, содержащую множество внутренних рефакторингов, оптимизаций производительности и обновлений зависимостей (включая OpenSSL 4.0.0 beta). В release notes зафиксировано исправление совместимости с OpenSSL 4.0.0 и устранение регрессий, связанных с OpenSSL 3.0, но отсутствуют явные указания на исправление уязвимостей безопасности.

2. Риск для НАЙС.ОС

medium. Пакет является сетевым (network-facing) и используется как библиотека. Обновление затрагивает критически важные зависимости (OpenSSL, ngtcp2) и меняет внутреннюю структуру кода (рефакторинг через std::span, удаление макросов, изменение поведения глитч-детекции). Хотя это минорная версия, изменения в алгоритмах обработки пакетов и памяти могут повлиять на стабильность работы сервисов, зависящих от HTTP/2 или QUIC.

3. Security/CVE

Во входных данных нет признаков security/CVE. Поле security_keywords_detected_by_script равно False, а в списке изменений (changelog) отсутствует упоминание исправления конкретных уязвимостей (CVE), только исправление багов и совместимости с новыми версиями OpenSSL.

4. ABI/API риск

Нужен ручной ABI/API анализ.
В release notes отмечены следующие потенциально рискованные изменения:

  • Удаление неиспользуемых макросов и enum'ов (Remove unused macros and enums).
  • Рефакторинг использования std::span в nghttpx, nghttpd и nghttp (Refactor with std::span). Это может изменить сигнатуры функций или требования к вызовам, если пакеты используют эти функции напрямую.
  • Изменение логики глитч-детекции (Increase default glitch rate limit, Remove glitch detection for ignored DATA frame). Это может изменить поведение при обработке некорректных пакетов.
  • Обновление OpenSSL до 4.0.0 beta (Gha: Bump openssl to v4.0.0). Это требует проверки, корректно ли работает сборка с новой версией криптографической библиотеки.

5. Риск для RPM-сборки

  • BuildRequires: Возможно потребуется обновление openssl-devel до версии 4.0.0 (или соответствующего бета-выпуска), так как в upstream обновлен OpenSSL.
  • %check: Тесты могут провалиться из-за изменений в логике глитч-детекции или новых требований к памяти (Modernize allocator).
  • Патчи: Если в дистрибутиве есть патчи, затрагивающие удаленные макросы или измененные структуры данных, они потребуют обновления.
  • Зависимости: Обновление ngtcp2 (до v1.22.1) и llhttp (до v9.3.1) может потребовать пересмотра зависимостей пакета nghttp2.

6. Проверки мейнтейнера

  1. Проверить наличие в spec файла зависимости от openssl-devel >= 4.0.0 (или актуальной версии для бета).
  2. Запустить %check секцию сборки локально, чтобы убедиться в отсутствии падений тестов из-за изменений в логике обработки ошибок.
  3. Провести сравнение ABI (например, через rpmdev-inspect или анализ .so файлов) для выявления изменений в публичном интерфейсе библиотеки.
  4. Проверить, не используются ли в других пакетах дистрибутива удаленные макросы или enum'ы nghttp2.
  5. Убедиться, что патчи, применяемые к исходному коду, не конфликтуют с новыми изменениями в коде (особенно в части std::span и аллокаторов).

7. Рекомендация

blocked manual review

8. Основание рекомендации

Несмотря на то, что это минорное обновление, оно содержит глубокие изменения в реализации (рефакторинг на std::span, обновление OpenSSL до бета-версии 4.0.0, изменение алгоритмов защиты от глитчей). Автоматическое обновление рискованно из-за возможного нарушения ABI для зависимых пакетов и нестабильности бета-версии OpenSSL. Требуется ручная проверка совместимости и тестирования перед включением в репозиторий.

Upstream release notes / description

What's Changed

...[truncated 8069 chars]

NiceOS maintainer checklist

  • Confirm that the detected version is a stable upstream release.
  • Check upstream changelog for security fixes, ABI/API changes and build-system changes.
  • Check ABI/API compatibility and reverse dependencies.
  • Download source into NiceOS lookaside storage.
  • Update Version and related fields in SPECS/*.spec only if policy allows it.
  • Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
  • Build SRPM/RPM in a clean NiceOS buildroot.
  • Run package smoke tests.
  • Link PR/build logs and close this issue after update or triage.

Bot metadata

  • Tool: niceos_upstream_monitor.py 1.4
  • Generated at: 2026-04-28T23:36:31Z
<!-- niceos-upstream-monitor:fingerprint=upstream-update:nghttp2:1.69.0 --> <!-- niceos-upstream-monitor:package=nghttp2 --> <!-- niceos-upstream-monitor:current=1.66.0 --> <!-- niceos-upstream-monitor:latest=1.69.0 --> # Upstream update available: `nghttp2` `1.66.0` → `1.69.0` ## Package - Package: `nghttp2` - RPM name: `nghttp2` - Branch: `niceos-5.2` - Current EVR: `1.66.0-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream, network-facing` ## Upstream - Upstream type: `github` - Upstream project: `nghttp2/nghttp2` - Upstream URL: https://github.com/nghttp2/nghttp2 - Detected version: `1.69.0` - Tag/release: `v1.69.0` - Source: `github_release_latest` - Published: `2026-04-19T09:19:07Z` - Release URL: https://github.com/nghttp2/nghttp2/releases/tag/v1.69.0 - Source URL: https://api.github.com/repos/nghttp2/nghttp2/tarball/v1.69.0 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление `nghttp2` с версии 1.66.0 до 1.69.0 представляет собой минорную ветку, содержащую множество внутренних рефакторингов, оптимизаций производительности и обновлений зависимостей (включая OpenSSL 4.0.0 beta). В release notes зафиксировано исправление совместимости с OpenSSL 4.0.0 и устранение регрессий, связанных с OpenSSL 3.0, но отсутствуют явные указания на исправление уязвимостей безопасности. ### 2. Риск для НАЙС.ОС **medium**. Пакет является сетевым (`network-facing`) и используется как библиотека. Обновление затрагивает критически важные зависимости (OpenSSL, ngtcp2) и меняет внутреннюю структуру кода (рефакторинг через `std::span`, удаление макросов, изменение поведения глитч-детекции). Хотя это минорная версия, изменения в алгоритмах обработки пакетов и памяти могут повлиять на стабильность работы сервисов, зависящих от HTTP/2 или QUIC. ### 3. Security/CVE Во входных данных **нет признаков security/CVE**. Поле `security_keywords_detected_by_script` равно `False`, а в списке изменений (changelog) отсутствует упоминание исправления конкретных уязвимостей (CVE), только исправление багов и совместимости с новыми версиями OpenSSL. ### 4. ABI/API риск **Нужен ручной ABI/API анализ.** В release notes отмечены следующие потенциально рискованные изменения: * Удаление неиспользуемых макросов и enum'ов (`Remove unused macros and enums`). * Рефакторинг использования `std::span` в `nghttpx`, `nghttpd` и `nghttp` (`Refactor with std::span`). Это может изменить сигнатуры функций или требования к вызовам, если пакеты используют эти функции напрямую. * Изменение логики глитч-детекции (`Increase default glitch rate limit`, `Remove glitch detection for ignored DATA frame`). Это может изменить поведение при обработке некорректных пакетов. * Обновление OpenSSL до 4.0.0 beta (`Gha: Bump openssl to v4.0.0`). Это требует проверки, корректно ли работает сборка с новой версией криптографической библиотеки. ### 5. Риск для RPM-сборки * **BuildRequires**: Возможно потребуется обновление `openssl-devel` до версии 4.0.0 (или соответствующего бета-выпуска), так как в upstream обновлен OpenSSL. * **%check**: Тесты могут провалиться из-за изменений в логике глитч-детекции или новых требований к памяти (`Modernize allocator`). * **Патчи**: Если в дистрибутиве есть патчи, затрагивающие удаленные макросы или измененные структуры данных, они потребуют обновления. * **Зависимости**: Обновление `ngtcp2` (до v1.22.1) и `llhttp` (до v9.3.1) может потребовать пересмотра зависимостей пакета `nghttp2`. ### 6. Проверки мейнтейнера 1. Проверить наличие в `spec` файла зависимости от `openssl-devel >= 4.0.0` (или актуальной версии для бета). 2. Запустить `%check` секцию сборки локально, чтобы убедиться в отсутствии падений тестов из-за изменений в логике обработки ошибок. 3. Провести сравнение ABI (например, через `rpmdev-inspect` или анализ `.so` файлов) для выявления изменений в публичном интерфейсе библиотеки. 4. Проверить, не используются ли в других пакетах дистрибутива удаленные макросы или enum'ы `nghttp2`. 5. Убедиться, что патчи, применяемые к исходному коду, не конфликтуют с новыми изменениями в коде (особенно в части `std::span` и аллокаторов). ### 7. Рекомендация **blocked manual review** ### 8. Основание рекомендации Несмотря на то, что это минорное обновление, оно содержит глубокие изменения в реализации (рефакторинг на `std::span`, обновление OpenSSL до бета-версии 4.0.0, изменение алгоритмов защиты от глитчей). Автоматическое обновление рискованно из-за возможного нарушения ABI для зависимых пакетов и нестабильности бета-версии OpenSSL. Требуется ручная проверка совместимости и тестирования перед включением в репозиторий. ## Upstream release notes / description ## What's Changed * src: Simplify format_hex and format_upper_hex by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2545 * build(deps): bump actions/upload-artifact from 4 to 5 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2546 * hpack: Optimize huffman decoding a bit by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2548 * Port ngtcp2_map changes by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2549 * Remove unused macros and enums by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2550 * src: Rewrite defer by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2552 * src: Remove empty parameter list from lambda by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2553 * src: Remove noexcept from ~Defer by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2554 * src: Adopt EVP_PKEY_get0_EC_KEY by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2555 * nghttpx: Avoid separate allocation for QUIC tx buffer by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2556 * src: Workaround performance regression since OpenSSL 3.0 by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2557 * integration: Cope with os.ErrProcessDone by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2560 * build(deps): bump github.com/quic-go/quic-go from 0.55.0 to 0.56.0 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2559 * src: Simplify DList::remove by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2561 * src: Remove the duplicated test by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2562 * lib/CMakeLists.txt: Fix NGHTTP2_CONFIG_INSTALL_DIR path by @trukna in https://github.com/nghttp2/nghttp2/pull/2551 * GHA: Cancel stale job by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2563 * nghttpx: Ensure resetting downstream h2 stream by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2564 * build(deps): bump golang.org/x/crypto from 0.43.0 to 0.45.0 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2566 * Gha ubuntu arm by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2567 * src: Generate lowcase_tbl by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2568 * examples: Remove redundant cast in lowcase by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2569 * build(deps): bump actions/checkout from 5 to 6 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2570 * build(deps): bump github.com/quic-go/quic-go from 0.56.0 to 0.57.0 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2571 * Bump ngtcp2 and its dependencies by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2574 * build(deps): bump github.com/quic-go/quic-go from 0.57.0 to 0.57.1 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2575 * Fix union usage in nghttp2_data_provider_wrap by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2576 * Remove union from WorkerID by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2577 * Cancel sending RST_STREAM if stream is not found by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2578 * nghttpx: Remove stream_closed_ from Http2DownstreamConnection by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2579 * Remove extraneous semicolon by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2580 * src: Rewrite Address with std::variant by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2581 * build(deps): bump actions/upload-artifact from 5 to 6 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2587 * build(deps): bump actions/cache from 4 to 5 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2588 * build(deps): bump golang.org/x/net from 0.47.0 to 0.48.0 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2589 * build(deps): bump github.com/quic-go/quic-go from 0.57.1 to 0.58.0 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2591 * Rewrite Dockerfile with heredoc syntax by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2592 * src: Avoid strict aliasing violation by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2593 * Introduce nghttp2_strlen_lit by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2594 * build(deps): bump github.com/quic-go/quic-go from 0.58.0 to 0.59.0 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2595 * Increase default glitch rate limit to 10x by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2599 * build(deps): bump golang.org/x/net from 0.48.0 to 0.49.0 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2596 * GHA: Fix main branch in cancel-in-progress by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2600 * Remove glitch detection for ignored DATA frame by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2598 * Bump ngtcp2 and its dependencies by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2601 * Revert "src: Avoid strict aliasing violation" by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2602 * build(deps): bump golang.org/x/net from 0.49.0 to 0.50.0 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2605 * Check nghttp2_is_fatal first by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2607 * altsvc: Avoid pointer arithmetic against NULL by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2608 * Ensure typedefs use named structs and unions by @cbarrick in https://github.com/nghttp2/nghttp2/pull/2609 * Revert "Ensure typedefs use named structs and unions" by @tatsuhiro-t in https://github.com/nghttp2/nghttp2/pull/2610 * build(deps): bump actions/upload-artifact from 6 to 7 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2611 * build(deps): bump golang.org/x/net from 0.50.0 to 0.51.0 by @dependabot[bot] in https://github.com/nghttp2/nghttp2/pull/2612 * h2load: Fix bug that h2load does not ...[truncated 8069 chars] ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-28T23:36:31Z`
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
niceos-5.2
No results found.
Labels
Clear labels   
ai-summary
Issue contains local NiceSOFT AI generated preliminary analysis

  
bot
Created by automation

  
needs-build
Needs build verification

  
needs-triage
Needs maintainer triage

  
priority/medium
Medium priority

  
update/minor
Minor update

  
upstream-update
New upstream version is available

  
upstream/github
GitHub upstream

No labels
ai-summary
bot
needs-build
needs-triage
priority/medium
update/minor
upstream-update
upstream/github
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
rpms/nghttp2#1
No description provided.