rpms/opensc

Fork 0

Upstream update available: opensc 0.26.1 → 0.27.1 #1

New issue

Open

opened 2026-04-28 01:37:51 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:37:51 +03:00

Owner

Upstream update available: `opensc` `0.26.1` → `0.27.1`

Package

Package: opensc
RPM name: opensc
Branch: niceos-5.2
Current EVR: 0.26.1-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream, patch-debt

Upstream

Upstream type: github
Upstream project: OpenSC/OpenSC
Upstream URL: https://github.com/OpenSC/OpenSC
Detected version: 0.27.1
Tag/release: 0.27.1
Source: github_release_latest
Published: 2026-03-31T12:36:41Z
Release URL: https://github.com/OpenSC/OpenSC/releases/tag/0.27.1
Source URL: https://api.github.com/repos/OpenSC/OpenSC/tarball/0.27.1
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Upstream-релиз OpenSC 0.27.1 является минорным обновлением, которое исправляет критические уязвимости памяти (CVE-2025-xxxxx) и добавляет поддержку новых криптографических алгоритмов (PKCS#11 3.2, Ed448, ML-DSA). Обновление также включает значительные изменения в драйверах смарт-карт и инструментах, а также исправление ошибки с подписанными бинарниками для macOS.

2. Риск для НАЙС.ОС

medium. Несмотря на классификацию как minor, наличие нескольких активных CVE, связанных с переполнением буфера и использованием неинициализированной памяти, повышает уровень риска. Кроме того, обновление затрагивает ABI-совместимость через расширение поддержки новых ключей и атрибутов PKCS#11, что требует проверки совместимости с существующими токенами и приложениями в дистрибутиве.

3. Security/CVE

Во входных данных зафиксированы следующие уязвимости:

CVE-2025-13763: Использование потенциально неинициализированной памяти (обнаружено фаззерами).
CVE-2025-49010: Возможное написание за пределы границ буфера при обработке APDU GET RESPONSE.
CVE-2025-66215: Возможное написание за пределы границ буфера в драйвере oberthur.
CVE-2025-66038: Возможное чтение за пределы границ буфера при разборе исторических байтов в драйвере PIV.
CVE-2025-66037: Возможное переполнение буфера при разборе SPKI.
Также отмечено наличие других проблем низкого уровня при обработке конфигурации профилей.

4. ABI/API риск

Обновление вводит поддержку новых механизмов (Ed448, X448, ML-DSA, ML-KEM, SLH-DSA), новых атрибутов (CKA_PUBKEY_KEY_INFO) и расширенных функций в pkcs11-tool. Это может изменить поведение библиотеки при работе с новыми типами карт или ключами. Для библиотек, зависящих от OpenSC, требуется ручной анализ ABI/API изменений, так как автоматическая проверка может не выявить нюансы работы с новыми криптографическими примитивами.

5. Риск для RPM-сборки

Возможны проблемы со сборкой из-за изменений в системе сборки autotools ("Various refactoring"). Также требуется проверка наличия всех зависимостей (BuildRequires), особенно если были удалены устаревшие токены или изменены требования к тестам. Необходимо убедиться, что патчи для старых версий не требуются, а новые зависимости корректно разрешаются в репозитории НАЙС.ОС.

6. Проверки мейнтейнера

Проверить наличие и актуальность всех BuildRequires в spec-файле.
Выполнить локальную сборку пакета с флагом %check для выявления ошибок компиляции и тестов.
Протестировать работу pkcs11-tool с существующими токенами в окружении НАЙС.ОС.
Убедиться, что удаление устаревших токенов не ломает функциональность для пользователей, использующих их карты.
Проверить корректность обработки FIPS-режима OpenSSL в новой версии.
Валидировать сигнатуры бинарных пакетов (особенно если есть локальные патчи для macOS, хотя для Linux это менее критично).

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление содержит критически важные исправления безопасности (CVE), которые необходимо применить. Хотя присутствуют изменения в функциональности, они являются эволюционными (поддержка новых стандартов), а не ломающими (breaking changes) в базовом API. После прохождения стандартного цикла тестирования (сборка, чек, интеграционные тесты с токенами) пакет готов к публикации как кандидат на обновление. Автоматическое обновление не рекомендуется из-за наличия security-critical изменений и потенциальных ABI-сдвигов.

Upstream release notes / description

Edit 2026-04-18: Replaced the MacOS release binary due to originally uploading wrongly signed one (see #3654).

New in 0.27.1; 2026-03-31

Bugfix release to fix up infrastructure issues. There were no 0.27.0 artifacts published.

New in 0.27.0; 2026-03-30

Security

CVE-2025-13763: Several uses of potentially uninitialized memory detected by fuzzers
CVE-2025-49010: Possible write beyond buffer bounds during processing of GET RESPONSE APDU
CVE-2025-66215: Possible write beyond buffer bounds in oberthur driver
CVE-2025-66038: Possible read beyond buffer bounds when parsing historical bytes in PIV driver
CVE-2025-66037: Possible buffer overrun while parsing SPKI
More low-severity data handling issues when parsing profile configuration

General improvements

Added support for PKCS#11 3.2 in tools and pkcs11-spy and p11test(#3510)
Added support for Ed448, X448 mechanisms and improve support for
Edwards and montgomery keys in general (#3090)
Support CKA_PUBKEY_KEY_INFO PKCS#11 attribute (#3090)
Various refactoring of autotools build system
Remove obsolete tokend support (#3285)
Run tests against different software PKCS#11 tokens kryoptic and NSS softokn (#3365)
Removed internal caching for current EF/DF (#3403)
Correctly detect OS-level FIPS mode in OpenSSL automatically (#3551)
or through custom configuration file (#3525)
Added support for Brainpool twisted curves to pkcs11-tool and SC-HSM (#3601)

PC/SC

Handle case when smart card is removed and inserted between two subsequent calls to
refresh_attributes() (#2803)

EsteID

Add support for EstEID 2025 (#3392)
Implement FinEID 4.0/4.1 support (#3505)
Add Latvian IDEMIA Cosmo X card support (#3503)
Check if PIN is locked and hint CKF_USER_PIN_TO_BE_CHANGED (#3490)
Remove obsolete FinEID cards (#3522)
Add Latvian Cosmo 8.2 card support (#3521)

D-Trust

Prevent unncecessary pin prompts on pinpad readers (#3266)
Support for D-Trust Card 5.1 & 5.4 (#3137)
Implement PIN change and unblock in dtrust-tool (#3137)

Belpic

Add supports for belpic applet version 1.8 (#3308)

OpenPGP

Implement key derived PIN format (KDF-DO) as per OpenPGP card spec v3.3 (#3398)

IDPrime

Implement 5110+ FIPS and 5110 CC (940) derive support (#3483)

Windows

Update to Wix 6 (#3435)
Fix C_WaitForSlotEvent() not working in Windows (#2919)
remove pkcs11-register from autostart (#3354)

MacOS

Installer images are now notarized (#3536)

pkcs11-tool

Added support for ML-DSA, ML-KEM, SLH-DSA keys from PKCS#11 3.2 (#3510)
Improve support for Edwards and montgomery keys and
add derive key support for CKK_MONTGOMERY (#3090)
Add support for ChaCha20 and Poly1305 (#3339)
Add support for AES CTR in decrypt_data() and encrypt_data() (#3338)
Add initial support for PKCS#11 URIs (#3289)
Print more information about RSA keys (#3623)

New Contributors

@GeorgePantelakis made their first contribution in https://github.com/OpenSC/OpenSC/pull/3254
@tinyboxvk made their first contribution in https://github.com/OpenSC/OpenSC/pull/3260
@dgalling made their first contribution in https://github.com/OpenSC/OpenSC/pull/3281
@botovq made their first contribution in https://github.com/OpenSC/OpenSC/pull/3306
@tpetazzoni made their first contribution in https://github.com/OpenSC/OpenSC/pull/3303
@Mironenko made their first contribution in https://github.com/OpenSC/OpenSC/pull/3326
@cdanger made their first contribution in https://github.com/OpenSC/OpenSC/pull/3324
@D4ryus made their first contribution in https://github.com/OpenSC/OpenSC/pull/3386
@vssldmtrv made their first contribution in https://github.com/OpenSC/OpenSC/pull/3415
@hendrikdonner made their first contribution in https://github.com/OpenSC/OpenSC/pull/3405
@antimeme made their first contribution in https://github.com/OpenSC/OpenSC/pull/3428
@citypw made their first contribution in https://github.com/OpenSC/OpenSC/pull/3421
@marcwillert made their first contribution in https://github.com/OpenSC/OpenSC/pull/3445
@hardening made their first contribution in https://github.com/OpenSC/OpenSC/pull/3493
@pavelkohout396 made their first contribution in https://github.com/OpenSC/OpenSC/pull/3546
@daloic made their first contribution in https://github.com/OpenSC/OpenSC/pull/3587
@gkapetanakis made their first contribution in https://github.com/OpenSC/OpenSC/pull/3625

Full Changelog: https://github.com/OpenSC/OpenSC/compare/0.26.0...0.27.1

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-28T23:38:56Z

# Upstream update available: `opensc` `0.26.1` → `0.27.1` ## Package - Package: `opensc` - RPM name: `opensc` - Branch: `niceos-5.2` - Current EVR: `0.26.1-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream, patch-debt` ## Upstream - Upstream type: `github` - Upstream project: `OpenSC/OpenSC` - Upstream URL: https://github.com/OpenSC/OpenSC - Detected version: `0.27.1` - Tag/release: `0.27.1` - Source: `github_release_latest` - Published: `2026-03-31T12:36:41Z` - Release URL: https://github.com/OpenSC/OpenSC/releases/tag/0.27.1 - Source URL: https://api.github.com/repos/OpenSC/OpenSC/tarball/0.27.1 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Upstream-релиз OpenSC 0.27.1 является минорным обновлением, которое исправляет критические уязвимости памяти (CVE-2025-xxxxx) и добавляет поддержку новых криптографических алгоритмов (PKCS#11 3.2, Ed448, ML-DSA). Обновление также включает значительные изменения в драйверах смарт-карт и инструментах, а также исправление ошибки с подписанными бинарниками для macOS. ### 2. Риск для НАЙС.ОС **medium**. Несмотря на классификацию как `minor`, наличие нескольких активных CVE, связанных с переполнением буфера и использованием неинициализированной памяти, повышает уровень риска. Кроме того, обновление затрагивает ABI-совместимость через расширение поддержки новых ключей и атрибутов PKCS#11, что требует проверки совместимости с существующими токенами и приложениями в дистрибутиве. ### 3. Security/CVE Во входных данных зафиксированы следующие уязвимости: * **CVE-2025-13763**: Использование потенциально неинициализированной памяти (обнаружено фаззерами). * **CVE-2025-49010**: Возможное написание за пределы границ буфера при обработке APDU GET RESPONSE. * **CVE-2025-66215**: Возможное написание за пределы границ буфера в драйвере oberthur. * **CVE-2025-66038**: Возможное чтение за пределы границ буфера при разборе исторических байтов в драйвере PIV. * **CVE-2025-66037**: Возможное переполнение буфера при разборе SPKI. Также отмечено наличие других проблем низкого уровня при обработке конфигурации профилей. ### 4. ABI/API риск Обновление вводит поддержку новых механизмов (Ed448, X448, ML-DSA, ML-KEM, SLH-DSA), новых атрибутов (`CKA_PUBKEY_KEY_INFO`) и расширенных функций в `pkcs11-tool`. Это может изменить поведение библиотеки при работе с новыми типами карт или ключами. Для библиотек, зависящих от OpenSC, требуется ручной анализ ABI/API изменений, так как автоматическая проверка может не выявить нюансы работы с новыми криптографическими примитивами. ### 5. Риск для RPM-сборки Возможны проблемы со сборкой из-за изменений в системе сборки autotools ("Various refactoring"). Также требуется проверка наличия всех зависимостей (`BuildRequires`), особенно если были удалены устаревшие токены или изменены требования к тестам. Необходимо убедиться, что патчи для старых версий не требуются, а новые зависимости корректно разрешаются в репозитории НАЙС.ОС. ### 6. Проверки мейнтейнера * [ ] Проверить наличие и актуальность всех `BuildRequires` в spec-файле. * [ ] Выполнить локальную сборку пакета с флагом `%check` для выявления ошибок компиляции и тестов. * [ ] Протестировать работу `pkcs11-tool` с существующими токенами в окружении НАЙС.ОС. * [ ] Убедиться, что удаление устаревших токенов не ломает функциональность для пользователей, использующих их карты. * [ ] Проверить корректность обработки FIPS-режима OpenSSL в новой версии. * [ ] Валидировать сигнатуры бинарных пакетов (особенно если есть локальные патчи для macOS, хотя для Linux это менее критично). ### 7. Рекомендация **update candidate** ### 8. Основание рекомендации Обновление содержит критически важные исправления безопасности (CVE), которые необходимо применить. Хотя присутствуют изменения в функциональности, они являются эволюционными (поддержка новых стандартов), а не ломающими (breaking changes) в базовом API. После прохождения стандартного цикла тестирования (сборка, чек, интеграционные тесты с токенами) пакет готов к публикации как кандидат на обновление. Автоматическое обновление не рекомендуется из-за наличия security-critical изменений и потенциальных ABI-сдвигов. ## Upstream release notes / description ## Edit 2026-04-18: Replaced the MacOS release binary due to originally uploading wrongly signed one (see #3654). # New in 0.27.1; 2026-03-31 * Bugfix release to fix up infrastructure issues. There were no 0.27.0 artifacts published. # New in 0.27.0; 2026-03-30 ## Security * CVE-2025-13763: Several uses of potentially uninitialized memory detected by fuzzers * CVE-2025-49010: Possible write beyond buffer bounds during processing of GET RESPONSE APDU * CVE-2025-66215: Possible write beyond buffer bounds in oberthur driver * CVE-2025-66038: Possible read beyond buffer bounds when parsing historical bytes in PIV driver * CVE-2025-66037: Possible buffer overrun while parsing SPKI * More low-severity data handling issues when parsing profile configuration ## General improvements * Added support for PKCS#11 3.2 in tools and pkcs11-spy and p11test(#3510) * Added support for Ed448, X448 mechanisms and improve support for Edwards and montgomery keys in general (#3090) * Support CKA_PUBKEY_KEY_INFO PKCS#11 attribute (#3090) * Various refactoring of autotools build system * Remove obsolete tokend support (#3285) * Run tests against different software PKCS#11 tokens kryoptic and NSS softokn (#3365) * Removed internal caching for current EF/DF (#3403) * Correctly detect OS-level FIPS mode in OpenSSL automatically (#3551) or through custom configuration file (#3525) * Added support for Brainpool twisted curves to pkcs11-tool and SC-HSM (#3601) ## PC/SC * Handle case when smart card is removed and inserted between two subsequent calls to `refresh_attributes()` (#2803) ## EsteID * Add support for EstEID 2025 (#3392) * Implement FinEID 4.0/4.1 support (#3505) * Add Latvian IDEMIA Cosmo X card support (#3503) * Check if PIN is locked and hint CKF_USER_PIN_TO_BE_CHANGED (#3490) * Remove obsolete FinEID cards (#3522) * Add Latvian Cosmo 8.2 card support (#3521) ## D-Trust * Prevent unncecessary pin prompts on pinpad readers (#3266) * Support for D-Trust Card 5.1 & 5.4 (#3137) * Implement PIN change and unblock in dtrust-tool (#3137) ## Belpic * Add supports for belpic applet version 1.8 (#3308) ## OpenPGP * Implement key derived PIN format (KDF-DO) as per OpenPGP card spec v3.3 (#3398) ## IDPrime * Implement 5110+ FIPS and 5110 CC (940) derive support (#3483) ## Windows * Update to Wix 6 (#3435) * Fix C_WaitForSlotEvent() not working in Windows (#2919) * remove pkcs11-register from autostart (#3354) ## MacOS * Installer images are now notarized (#3536) ## pkcs11-tool * Added support for ML-DSA, ML-KEM, SLH-DSA keys from PKCS#11 3.2 (#3510) * Improve support for Edwards and montgomery keys and add derive key support for CKK_MONTGOMERY (#3090) * Add support for ChaCha20 and Poly1305 (#3339) * Add support for AES CTR in decrypt_data() and encrypt_data() (#3338) * Add initial support for PKCS#11 URIs (#3289) * Print more information about RSA keys (#3623) # New Contributors * @GeorgePantelakis made their first contribution in https://github.com/OpenSC/OpenSC/pull/3254 * @tinyboxvk made their first contribution in https://github.com/OpenSC/OpenSC/pull/3260 * @dgalling made their first contribution in https://github.com/OpenSC/OpenSC/pull/3281 * @botovq made their first contribution in https://github.com/OpenSC/OpenSC/pull/3306 * @tpetazzoni made their first contribution in https://github.com/OpenSC/OpenSC/pull/3303 * @Mironenko made their first contribution in https://github.com/OpenSC/OpenSC/pull/3326 * @cdanger made their first contribution in https://github.com/OpenSC/OpenSC/pull/3324 * @D4ryus made their first contribution in https://github.com/OpenSC/OpenSC/pull/3386 * @vssldmtrv made their first contribution in https://github.com/OpenSC/OpenSC/pull/3415 * @hendrikdonner made their first contribution in https://github.com/OpenSC/OpenSC/pull/3405 * @antimeme made their first contribution in https://github.com/OpenSC/OpenSC/pull/3428 * @citypw made their first contribution in https://github.com/OpenSC/OpenSC/pull/3421 * @marcwillert made their first contribution in https://github.com/OpenSC/OpenSC/pull/3445 * @hardening made their first contribution in https://github.com/OpenSC/OpenSC/pull/3493 * @pavelkohout396 made their first contribution in https://github.com/OpenSC/OpenSC/pull/3546 * @daloic made their first contribution in https://github.com/OpenSC/OpenSC/pull/3587 * @gkapetanakis made their first contribution in https://github.com/OpenSC/OpenSC/pull/3625 **Full Changelog**: https://github.com/OpenSC/OpenSC/compare/0.26.0...0.27.1 ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-28T23:38:56Z`

sbelikov added the

labels

2026-04-28 01:37:51 +03:00