Upstream update available: openexr 3.2.4 → 3.4.10 #1

New issue

Open

opened 2026-04-28 01:36:54 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:36:54 +03:00

Owner

Upstream update available: `openexr` `3.2.4` → `3.4.10`

Package

Package: openexr
RPM name: openexr
Branch: niceos-5.2
Current EVR: 3.2.4-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: AcademySoftwareFoundation/openexr
Upstream URL: https://github.com/AcademySoftwareFoundation/openexr
Detected version: 3.4.10
Tag/release: v3.4.10
Source: github_release_latest
Published: 2026-04-17T19:51:53Z
Release URL: https://github.com/AcademySoftwareFoundation/openexr/releases/tag/v3.4.10
Source URL: https://api.github.com/repos/AcademySoftwareFoundation/openexr/tarball/v3.4.10
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Upstream-пакет openexr обновляется с версии 3.2.4 до 3.4.10, что классифицируется как минорное обновление, но содержит исправления критических уязвимостей безопасности. Обновление затрагивает декодеры HTJ2K и DWA, устраняя переполнения целых чисел, ведущие к потенциальному выполнению произвольного кода. Несмотря на статус "minor", наличие security-critical патчей требует тщательной проверки перед внедрением.

2. Риск для НАЙС.ОС

medium. Хотя версия меняется незначительно (minor), исправляемые уязвимости (CVE-2026-39886, CVE-2026-40244, CVE-2026-40250) относятся к категории критических (integer overflows в декодерах). Это создает высокий риск эксплуатации при обработке поврежденных файлов. Однако отсутствие информации о конкретных изменениях в публичном API или ABI в предоставленных данных не позволяет оценить полную совместимость с зависимыми приложениями без ручного анализа.

3. Security/CVE

Во входных данных явно указаны три CVE:

CVE-2026-39886: HTJ2K Signed Integer Overflow в ht_undo_impl().
CVE-2026-40244: Integer overflow в DWA setupChannelData planarUncRle pointer arithmetic.
CVE-2026-40250: Integer overflow в DWA decoder outBufferEnd pointer arithmetic.
Все они связаны с переполнениями буфера/целых чисел в коде декодирования изображений.

4. ABI/API риск

Данных недостаточно для точной оценки изменений ABI/API. В release notes указано лишь, что это patch-релиз, но не перечислены измененные символы или структуры данных. Поскольку openexr является библиотекой, используемой множеством приложений, любые скрытые изменения в сигнатурах функций или размерах структур могут нарушить работу зависимостей. Требуется ручной анализ diff исходного кода или проверка логов сборки на предмет ошибок линковки.

5. Риск для RPM-сборки

Возможен риск поломки сборки из-за изменений в зависимостях (BuildRequires) или сбоев в тестировании (%check). Уязвимости связаны с обработкой памяти, поэтому %check (например, valgrind или ASAN) может начать выдавать новые предупреждения или ошибки, если тестовые данные включают специфические паттерны, ранее игнорируемые или если логика обработки изменилась. Также возможно изменение требований к компилятору или системным библиотекам, если upstream добавил новые зависимости для проверки безопасности.

6. Проверки мейнтейнера

Сравнить diff исходного кода между 3.2.4 и 3.4.10 на предмет изменений в публичных заголовочных файлах (.h).
Проверить логи сборки (rpmbuild) на наличие новых предупреждений -Werror или ошибок линковки.
Запустить %check секцию spec-файла и проанализировать новые отчеты о памяти (valgrind/asan), особенно в модулях HtJ2k и Dwa.
Убедиться, что все новые зависимости (если есть) доступны в репозитории НАЙС.ОС.
Проверить, не изменился ли размер структур данных, используемых в публичном API.

7. Рекомендация

update candidate

8. Основание рекомендации

Несмотря на наличие security-critical уязвимостей, которые требуют немедленного исправления, обновление классифицировано как minor, а политика обновления (update_policy: leaf) разрешает его применение. Уязвимости исправлены upstream, и отсутствие явных признаков разрушительных изменений ABI в кратком описании позволяет рекомендовать обновление как кандидата, при условии выполнения обязательных проверок мейнтейнера (особенно касающихся ABI и тестов памяти). Автоматическое обновление не рекомендуется из-за необходимости ручной верификации безопасности и совместимости.

Upstream release notes / description

Patch release that addresses the following security vulnerabilities:

CVE-2026-39886 HTJ2K Signed Integer Overflow in ht_undo_impl()
CVE-2026-40244 Integer overflow in DWA setupChannelData planarUncRle pointer arithmetic (missed variant of CVE-2026-34589)
CVE-2026-40250 Integer overflow in DWA decoder outBufferEnd pointer arithmetic (missed variant of CVE-2026-34589)

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-28T23:38:06Z

# Upstream update available: `openexr` `3.2.4` → `3.4.10` ## Package - Package: `openexr` - RPM name: `openexr` - Branch: `niceos-5.2` - Current EVR: `3.2.4-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `AcademySoftwareFoundation/openexr` - Upstream URL: https://github.com/AcademySoftwareFoundation/openexr - Detected version: `3.4.10` - Tag/release: `v3.4.10` - Source: `github_release_latest` - Published: `2026-04-17T19:51:53Z` - Release URL: https://github.com/AcademySoftwareFoundation/openexr/releases/tag/v3.4.10 - Source URL: https://api.github.com/repos/AcademySoftwareFoundation/openexr/tarball/v3.4.10 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Upstream-пакет `openexr` обновляется с версии 3.2.4 до 3.4.10, что классифицируется как минорное обновление, но содержит исправления критических уязвимостей безопасности. Обновление затрагивает декодеры HTJ2K и DWA, устраняя переполнения целых чисел, ведущие к потенциальному выполнению произвольного кода. Несмотря на статус "minor", наличие security-critical патчей требует тщательной проверки перед внедрением. ### 2. Риск для НАЙС.ОС **medium**. Хотя версия меняется незначительно (minor), исправляемые уязвимости (CVE-2026-39886, CVE-2026-40244, CVE-2026-40250) относятся к категории критических (integer overflows в декодерах). Это создает высокий риск эксплуатации при обработке поврежденных файлов. Однако отсутствие информации о конкретных изменениях в публичном API или ABI в предоставленных данных не позволяет оценить полную совместимость с зависимыми приложениями без ручного анализа. ### 3. Security/CVE Во входных данных явно указаны три CVE: - CVE-2026-39886: HTJ2K Signed Integer Overflow в `ht_undo_impl()`. - CVE-2026-40244: Integer overflow в DWA `setupChannelData` `planarUncRle` pointer arithmetic. - CVE-2026-40250: Integer overflow в DWA decoder `outBufferEnd` pointer arithmetic. Все они связаны с переполнениями буфера/целых чисел в коде декодирования изображений. ### 4. ABI/API риск Данных недостаточно для точной оценки изменений ABI/API. В release notes указано лишь, что это patch-релиз, но не перечислены измененные символы или структуры данных. Поскольку `openexr` является библиотекой, используемой множеством приложений, любые скрытые изменения в сигнатурах функций или размерах структур могут нарушить работу зависимостей. Требуется ручной анализ diff исходного кода или проверка логов сборки на предмет ошибок линковки. ### 5. Риск для RPM-сборки Возможен риск поломки сборки из-за изменений в зависимостях (`BuildRequires`) или сбоев в тестировании (`%check`). Уязвимости связаны с обработкой памяти, поэтому `%check` (например, valgrind или ASAN) может начать выдавать новые предупреждения или ошибки, если тестовые данные включают специфические паттерны, ранее игнорируемые или если логика обработки изменилась. Также возможно изменение требований к компилятору или системным библиотекам, если upstream добавил новые зависимости для проверки безопасности. ### 6. Проверки мейнтейнера - [ ] Сравнить `diff` исходного кода между 3.2.4 и 3.4.10 на предмет изменений в публичных заголовочных файлах (`.h`). - [ ] Проверить логи сборки (`rpmbuild`) на наличие новых предупреждений `-Werror` или ошибок линковки. - [ ] Запустить `%check` секцию spec-файла и проанализировать новые отчеты о памяти (valgrind/asan), особенно в модулях `HtJ2k` и `Dwa`. - [ ] Убедиться, что все новые зависимости (если есть) доступны в репозитории НАЙС.ОС. - [ ] Проверить, не изменился ли размер структур данных, используемых в публичном API. ### 7. Рекомендация update candidate ### 8. Основание рекомендации Несмотря на наличие security-critical уязвимостей, которые требуют немедленного исправления, обновление классифицировано как minor, а политика обновления (`update_policy: leaf`) разрешает его применение. Уязвимости исправлены upstream, и отсутствие явных признаков разрушительных изменений ABI в кратком описании позволяет рекомендовать обновление как кандидата, при условии выполнения обязательных проверок мейнтейнера (особенно касающихся ABI и тестов памяти). Автоматическое обновление не рекомендуется из-за необходимости ручной верификации безопасности и совместимости. ## Upstream release notes / description Patch release that addresses the following security vulnerabilities: * [CVE-2026-39886](https://www.cve.org/CVERecord?id=CVE-2026-39886) HTJ2K Signed Integer Overflow in `ht_undo_impl()` * [CVE-2026-40244](https://www.cve.org/CVERecord?id=CVE-2026-40244) Integer overflow in DWA `setupChannelData` `planarUncRle` pointer arithmetic (missed variant of CVE-2026-34589) * [CVE-2026-40250](https://www.cve.org/CVERecord?id=CVE-2026-40250) Integer overflow in DWA decoder `outBufferEnd` pointer arithmetic (missed variant of CVE-2026-34589) ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-28T23:38:06Z`

sbelikov added the

labels

2026-04-28 01:36:54 +03:00