Upstream update available: openexr 3.2.4 → 3.4.11 #2

New issue

Open

opened 2026-04-30 02:38:09 +03:00 by sbelikov · 0 comments

sbelikov commented 2026-04-30 02:38:09 +03:00

Owner

Copy link

Upstream update available: openexr 3.2.4 → 3.4.11

Package

• Package: openexr
• RPM name: openexr
• Branch: niceos-5.2
• Current EVR: 3.2.4-1
• Update class: minor
• Compare method: python_rpm
• Update policy: leaf
• Risk tags: github-upstream

Upstream

• Upstream type: github
• Upstream project: AcademySoftwareFoundation/openexr
• Upstream URL: github.com — openexr
• Detected version: 3.4.11
• Tag/release: v3.4.11
• Source: github_release_latest
• Published: 2026-04-29T22:34:26Z
• Release URL: github.com — v3.4.11
• Source URL: api.github.com — v3.4.11
• Pre-release: False

Signals

• Security-relevant keywords detected: True
• Policy blocked: False
• Policy reason: -
• Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Пакет openexr получил патч с исправлением критических уязвимостей, включая утечки данных и уязвимости в коде. Обновление класса minor, без изменений в ABI/API.

2. Риск для НАЙС.ОС

Medium
Критические уязвимости (CVE-2026-42217, CVE-2026-42216, CVE-2026-41142) требуют исправления. Обновление безопасно для использования, но рекомендуется проверить совместимость с текущей версией системы.

3. Security/CVE

Да, обнаружены уязвимости (CVE-2026-42217, CVE-2026-42216, CVE-2026-41142). Входные данные подтверждают наличие этих уязвимостей, но не указаны конкретные CVE-IDs в тексте.

4. ABI/API риск

Данные недостаточно. Нет информации о изменении ABI/API в пакете.

5. Риск для RPM-сборки

• Патч может изменить поведение сборки (например, улучшить стабильность).
• Нужно проверить совместимость с текущими spec-файлами и BuildRequires.
• Возможные проблемы с %check, если патч влияет на внутренние функции.

6. Проверки мейнтейнера

• Проверить совместимость патча с текущей версией системы.
• Убедиться, что spec-файл обновлен и соответствует измененным функциям.
• Проверить, нет ли изменений в ABI/API.
• Убедиться, что документация обновлена (например, changelog).

7. Рекомендация

Update candidate
Обновление безопасно для использования, но рекомендуется проверить совместимость с текущей версией системы. Критические уязвимости требуют исправления, но обновление класса minor допустимо.

Причина: Уязвимости значимы, но обновление минимально, и нет изменений в ABI/API.

Источники, найденные web_search

1. GitHub release API: AcademySoftwareFoundation/openexr v3.4.11
2. GitHub tag page: AcademySoftwareFoundation/openexr v3.4.11
3. GitHub releases page: AcademySoftwareFoundation/openexr
4. GitHub compare page: AcademySoftwareFoundation/openexr v3.2.4...v3.4.11
5. Amazon.it: elettronica, libri, musica, fashion, videogiochi, DVD e ...
6. Amazon.com. Spend less. Smile more.
7. OpenEXR
8. GitHub Copilot · Your AI pair programmer
9. Cách tạo hình ảnh AI bằng ChatGPT đơn giản - CellphoneS

Upstream release notes / description

Patch release that addresses the following security vulnerabilities:

• CVE-2026-42217 Shift exponent overflow in readVariableLengthInteger() (ImfIDManifest.cpp)

• CVE-2026-42216 Out-of-bounds read in IDManifest::init() during prefix expansion

• CVE-2026-41142 Integer overflow in ImageChannel::resize leads to heap OOB write via OpenEXRUtil public API

• OSS-fuzz 504280155 Heap-buffer-overflow in DwaCompressor_uncompress

• OSS-fuzz 505062709 Null-dereference READ in Imf_3_3::prefixFromLayerName

Build fixes:

• Fix Windows ARM64EC build issues and correct SIMD ARM NEON path for ARM64/EC

Also, some minor documentation updates:

• GitHub Security Advisories are the preferred way of reporting vulnerabilities, not email.
• Some clarification around handling of UFT-8 of file paths

NiceOS maintainer checklist

• Confirm that the detected version is a stable upstream release.
• Check upstream changelog for security fixes, ABI/API changes and build-system changes.
• Check ABI/API compatibility and reverse dependencies.
• Download source into NiceOS lookaside storage.
• Update Version and related fields in SPECS/*.spec only if policy allows it.
• Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
• Build SRPM/RPM in a clean NiceOS buildroot.
• Run package smoke tests.
• Link PR/build logs and close this issue after update or triage.

Bot metadata

• Tool: niceos_upstream_monitor.py 2.1.3-local-websearch-github-release-pages
• Generated at: 2026-05-24T17:37:32Z

<!-- niceos-upstream-monitor:fingerprint=upstream-update:openexr:3.4.11 --> <!-- niceos-upstream-monitor:package=openexr --> <!-- niceos-upstream-monitor:current=3.2.4 --> <!-- niceos-upstream-monitor:latest=3.4.11 --> # Upstream update available: `openexr` `3.2.4` → `3.4.11` ## Package - Package: `openexr` - RPM name: `openexr` - Branch: `niceos-5.2` - Current EVR: `3.2.4-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `AcademySoftwareFoundation/openexr` - Upstream URL: <a href="https://github.com/AcademySoftwareFoundation/openexr" target="_blank" rel="noopener noreferrer">github.com — openexr</a> - Detected version: `3.4.11` - Tag/release: `v3.4.11` - Source: `github_release_latest` - Published: `2026-04-29T22:34:26Z` - Release URL: <a href="https://github.com/AcademySoftwareFoundation/openexr/releases/tag/v3.4.11" target="_blank" rel="noopener noreferrer">github.com — v3.4.11</a> - Source URL: <a href="https://api.github.com/repos/AcademySoftwareFoundation/openexr/tarball/v3.4.11" target="_blank" rel="noopener noreferrer">api.github.com — v3.4.11</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Пакет openexr получил патч с исправлением критических уязвимостей, включая утечки данных и уязвимости в коде. Обновление класса minor, без изменений в ABI/API. ### 2. Риск для НАЙС.ОС **Medium** Критические уязвимости (CVE-2026-42217, CVE-2026-42216, CVE-2026-41142) требуют исправления. Обновление безопасно для использования, но рекомендуется проверить совместимость с текущей версией системы. ### 3. Security/CVE Да, обнаружены уязвимости (CVE-2026-42217, CVE-2026-42216, CVE-2026-41142). Входные данные подтверждают наличие этих уязвимостей, но не указаны конкретные CVE-IDs в тексте. ### 4. ABI/API риск Данные недостаточно. Нет информации о изменении ABI/API в пакете. ### 5. Риск для RPM-сборки - Патч может изменить поведение сборки (например, улучшить стабильность). - Нужно проверить совместимость с текущими spec-файлами и BuildRequires. - Возможные проблемы с %check, если патч влияет на внутренние функции. ### 6. Проверки мейнтейнера - Проверить совместимость патча с текущей версией системы. - Убедиться, что spec-файл обновлен и соответствует измененным функциям. - Проверить, нет ли изменений в ABI/API. - Убедиться, что документация обновлена (например, changelog). ### 7. Рекомендация **Update candidate** Обновление безопасно для использования, но рекомендуется проверить совместимость с текущей версией системы. Критические уязвимости требуют исправления, но обновление класса minor допустимо. **Причина:** Уязвимости значимы, но обновление минимально, и нет изменений в ABI/API. ### Источники, найденные web_search 1. <a href="https://github.com/AcademySoftwareFoundation/openexr/releases/tag/v3.4.11" target="_blank" rel="noopener noreferrer">GitHub release API: AcademySoftwareFoundation/openexr v3.4.11</a> 2. <a href="https://github.com/AcademySoftwareFoundation/openexr/tree/v3.4.11" target="_blank" rel="noopener noreferrer">GitHub tag page: AcademySoftwareFoundation/openexr v3.4.11</a> 3. <a href="https://github.com/AcademySoftwareFoundation/openexr/releases" target="_blank" rel="noopener noreferrer">GitHub releases page: AcademySoftwareFoundation/openexr</a> 4. <a href="https://github.com/AcademySoftwareFoundation/openexr/compare/v3.2.4...v3.4.11" target="_blank" rel="noopener noreferrer">GitHub compare page: AcademySoftwareFoundation/openexr v3.2.4...v3.4.11</a> 5. <a href="https://www.amazon.it/" target="_blank" rel="noopener noreferrer">Amazon.it: elettronica, libri, musica, fashion, videogiochi, DVD e ...</a> 6. <a href="https://www.amazon.com/" target="_blank" rel="noopener noreferrer">Amazon.com. Spend less. Smile more.</a> 7. <a href="https://openexr.com/en/latest/index.html" target="_blank" rel="noopener noreferrer">OpenEXR</a> 8. <a href="https://github.com/features/copilot" target="_blank" rel="noopener noreferrer">GitHub Copilot · Your AI pair programmer</a> 9. <a href="https://cellphones.com.vn/sforum/tao-hinh-anh-ai-bang-chat-gpt" target="_blank" rel="noopener noreferrer">Cách tạo hình ảnh AI bằng ChatGPT đơn giản - CellphoneS</a> ## Upstream release notes / description Patch release that addresses the following security vulnerabilities: * <a href="https://www.cve.org/CVERecord?id=CVE-2026-42217" target="_blank" rel="noopener noreferrer">CVE-2026-42217</a> Shift exponent overflow in `readVariableLengthInteger()` (`ImfIDManifest.cpp`) * <a href="https://www.cve.org/CVERecord?id=CVE-2026-42216" target="_blank" rel="noopener noreferrer">CVE-2026-42216</a> Out-of-bounds read in `IDManifest::init()` during prefix expansion * <a href="https://www.cve.org/CVERecord?id=CVE-2026-41142" target="_blank" rel="noopener noreferrer">CVE-2026-41142</a> Integer overflow in `ImageChannel::resize` leads to heap OOB write via OpenEXRUtil public API * OSS-fuzz <a href="https://issues.oss-fuzz.com/issues/504280155" target="_blank" rel="noopener noreferrer">504280155</a> Heap-buffer-overflow in `DwaCompressor_uncompress` * OSS-fuzz <a href="https://issues.oss-fuzz.com/issues/505062709" target="_blank" rel="noopener noreferrer">505062709</a> Null-dereference READ in `Imf_3_3::prefixFromLayerName` Build fixes: - Fix Windows ARM64EC build issues and correct SIMD ARM NEON path for ARM64/EC Also, some minor documentation updates: - GitHub Security Advisories are the preferred way of reporting vulnerabilities, not email. - Some clarification around handling of UFT-8 of file paths ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.3-local-websearch-github-release-pages` - Generated at: `2026-05-24T17:37:32Z`

sbelikov added the

ai-summary

bot

needs-build

needs-triage

priority/high

security-release

update/minor

upstream-update

upstream/github

labels 2026-04-30 02:38:09 +03:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

niceos-5.2

No results found.

Labels

Clear labels   

ai-summary

Issue contains local NiceSOFT AI generated preliminary analysis

  

auto-analysis

Created by niceos_cve_create_issues.py

  

bot

Created by automation

  

cve

Created by niceos_cve_create_issues.py

  

match-cpe-range

Created by niceos_cve_create_issues.py

  

needs-build

Needs build verification

  

needs-triage

Needs maintainer triage

  

priority/high

High priority

  

priority/medium

Medium priority

  

security

Created by niceos_cve_create_issues.py

  

security-release

Release notes mention security fixes or CVE

  

severity-high

Created by niceos_cve_create_issues.py

  

source-niceos-scan

Created by niceos_cve_create_issues.py

  

source-nvd

Created by niceos_cve_create_issues.py

  

update/minor

Minor update

  

upstream-update

New upstream version is available

  

upstream/github

GitHub upstream

No labels

ai-summary

auto-analysis

bot

cve

match-cpe-range

needs-build

needs-triage

priority/high

priority/medium

security

security-release

severity-high

source-niceos-scan

source-nvd

update/minor

upstream-update

upstream/github

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

rpms/openexr#2

No description provided.