rpms/podman

Fork 0

Upstream update available: podman 5.5.2 → 5.8.2 #1

New issue

Open

opened 2026-04-28 01:39:56 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:39:56 +03:00

Owner

Upstream update available: `podman` `5.5.2` → `5.8.2`

Package

Package: podman
RPM name: podman
Branch: niceos-5.2
Current EVR: 5.5.2-2
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: containers/podman
Upstream URL: https://github.com/containers/podman
Detected version: 5.8.2
Tag/release: v5.8.2
Source: github_release_latest
Published: 2026-04-14T17:56:41Z
Release URL: https://github.com/containers/podman/releases/tag/v5.8.2
Source URL: https://api.github.com/repos/containers/podman/tarball/v5.8.2
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление пакета podman с версии 5.5.2 до 5.8.2 включает критическое исправление уязвимости (CVE-2026-33414), связанной с выполнением команд PowerShell на Windows через Hyper-V. Также внесены исправления багов, затрагивающие перезапуск контейнеров, работу Quadlet файлов, стабильность на FreeBSD и корректность работы API. Обновлены зависимости: Buildah, containers/common и containers/image.

2. Риск для НАЙС.ОС

medium. Наличие исправления критической уязвимости безопасности (CVE) требует обязательного обновления для защиты системы. Однако обновление затрагивает функционал управления машинами (podman machine) на Windows, который может быть неактивен или не поддерживаться в текущей конфигурации дистрибутива. Кроме того, изменения в поведении перезапуска сервисов и работе Quadlet могут повлиять на существующие сценарии запуска контейнеров.

3. Security/CVE

Да, во входных данных зафиксирована уязвимость: CVE-2026-33414.

Описание: Возможность выполнения скомандованных пользователем команд PowerShell в сессии на хосте при использовании команды podman machine init --image с бэкендом Hyper-V на Windows.
Источник: GHSA-hc8w-h2mf-hp59.
Статус: Уязвимость подтверждена и исправлена в текущем релизе.

4. ABI/API риск

В release notes указаны исправления багов в API (Libpod System Check endpoint, remote attach API, Secret Create API). Изменения в библиотеках containers/common (v0.67.1) и containers/image (v5.39.2) могут повлиять на совместимость, если в дистрибутиве используются внешние инструменты, зависящие от специфических версий этих библиотек или их внутренних интерфейсов. Для точной оценки влияния на пользовательские скрипты и приложения требуется ручной анализ изменений в заголовочных файлах и бинарных интерфейсах обновленных зависимостей.

5. Риск для RPM-сборки

Поскольку обновлены значимые зависимости (Buildah, containers/common, containers/image), существует риск нарушения условий сборки (BuildRequires) или сбоев в проверках (%check), если эти зависимости ранее были жестко фиксированы на старых версиях в spec-файле. Также возможно изменение формата конфигурационных файлов Quadlet, что потребует проверки тестовых кейсов.

6. Проверки мейнтейнера

Проверить наличие и актуальность патчей для CVE-2026-33414 в исходном коде (git log/checksums).
Провести проверку сборки RPM с новыми версиями зависимостей (Buildah, containers/*).
Запустить %check секцию сборки и убедиться в отсутствии новых ошибок.
Проверить тесты функциональности podman machine (если применимо к архитектуре дистрибутива).
Валидация работы Quadlet контейнеров с параметрами Entrypoint="" и HealthCmd (включая двойные кавычки).
Проверка перезапуска сервисов контейнеров после имитации ребуута (тест unless-stopped).
Анализ изменений в API эндпоинтах, если в дистрибутиве есть клиенты, использующие Libpod напрямую.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление содержит исправление критической уязвимости безопасности (CVE), что является приоритетным фактором для выпуска. Хотя присутствуют изменения в поведении и обновлены зависимости, они относятся к исправлению багов и улучшению стабильности, а не к фундаментальному изменению ABI, блокирующему работу большинства приложений. Рекомендуется провести стандартную процедуру тестирования перед включением в репозиторий.

Upstream release notes / description

Security

This release addresses CVE-2026-33414, where the podman machine init --image command when run on Windows using the Hyper-V backend can run Powershell-escaped commands from the user-specified image path on in a Powershell session on the host (GHSA-hc8w-h2mf-hp59).

Bugfixes

Fixed a bug where containers with the unless-stopped restart policy would not restart after a reboot when podman-restart.service was enabled (#28152).
Fixed a bug where setting Entrypoint="" in a Quadlet .container file did not clear the container's entrypoint (#28213).
Fixed a bug where setting a HealthCmd in a Quadlet .container file to a command that included double-quotes (") would result in a nonfunctional healthcheck due to a parsing issue (#28409).
Fixed a bug where FreeBSD systems could panic when inspecting containers created with the host network mode (#28289).

API

Fixed a bug where the Libpod System Check endpoint could perform operations with bad data after returning a 400 error (#28350).
Fixed a bug where the remote attach API for containers (Libpod & Compat) could panic due to a rare race condition (#28277).
Fixed a bug where the Secret Create API could not create functional secrets using the shell driver due to options from the default driver being improperly added.

Misc

Updated Buildah to v1.43.1
Updated the containers/common library to v0.67.1
Updated the containers/image library to v5.39.2

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-28T15:58:43Z

# Upstream update available: `podman` `5.5.2` → `5.8.2` ## Package - Package: `podman` - RPM name: `podman` - Branch: `niceos-5.2` - Current EVR: `5.5.2-2` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `containers/podman` - Upstream URL: https://github.com/containers/podman - Detected version: `5.8.2` - Tag/release: `v5.8.2` - Source: `github_release_latest` - Published: `2026-04-14T17:56:41Z` - Release URL: https://github.com/containers/podman/releases/tag/v5.8.2 - Source URL: https://api.github.com/repos/containers/podman/tarball/v5.8.2 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление пакета `podman` с версии 5.5.2 до 5.8.2 включает критическое исправление уязвимости (CVE-2026-33414), связанной с выполнением команд PowerShell на Windows через Hyper-V. Также внесены исправления багов, затрагивающие перезапуск контейнеров, работу Quadlet файлов, стабильность на FreeBSD и корректность работы API. Обновлены зависимости: Buildah, containers/common и containers/image. ### 2. Риск для НАЙС.ОС **medium**. Наличие исправления критической уязвимости безопасности (CVE) требует обязательного обновления для защиты системы. Однако обновление затрагивает функционал управления машинами (podman machine) на Windows, который может быть неактивен или не поддерживаться в текущей конфигурации дистрибутива. Кроме того, изменения в поведении перезапуска сервисов и работе Quadlet могут повлиять на существующие сценарии запуска контейнеров. ### 3. Security/CVE Да, во входных данных зафиксирована уязвимость: **CVE-2026-33414**. * **Описание:** Возможность выполнения скомандованных пользователем команд PowerShell в сессии на хосте при использовании команды `podman machine init --image` с бэкендом Hyper-V на Windows. * **Источник:** GHSA-hc8w-h2mf-hp59. * **Статус:** Уязвимость подтверждена и исправлена в текущем релизе. ### 4. ABI/API риск В release notes указаны исправления багов в API (Libpod System Check endpoint, remote attach API, Secret Create API). Изменения в библиотеках `containers/common` (v0.67.1) и `containers/image` (v5.39.2) могут повлиять на совместимость, если в дистрибутиве используются внешние инструменты, зависящие от специфических версий этих библиотек или их внутренних интерфейсов. Для точной оценки влияния на пользовательские скрипты и приложения требуется ручной анализ изменений в заголовочных файлах и бинарных интерфейсах обновленных зависимостей. ### 5. Риск для RPM-сборки Поскольку обновлены значимые зависимости (`Buildah`, `containers/common`, `containers/image`), существует риск нарушения условий сборки (`BuildRequires`) или сбоев в проверках (`%check`), если эти зависимости ранее были жестко фиксированы на старых версиях в spec-файле. Также возможно изменение формата конфигурационных файлов Quadlet, что потребует проверки тестовых кейсов. ### 6. Проверки мейнтейнера - [ ] Проверить наличие и актуальность патчей для CVE-2026-33414 в исходном коде (git log/checksums). - [ ] Провести проверку сборки RPM с новыми версиями зависимостей (Buildah, containers/*). - [ ] Запустить `%check` секцию сборки и убедиться в отсутствии новых ошибок. - [ ] Проверить тесты функциональности `podman machine` (если применимо к архитектуре дистрибутива). - [ ] Валидация работы Quadlet контейнеров с параметрами `Entrypoint=""` и `HealthCmd` (включая двойные кавычки). - [ ] Проверка перезапуска сервисов контейнеров после имитации ребуута (тест `unless-stopped`). - [ ] Анализ изменений в API эндпоинтах, если в дистрибутиве есть клиенты, использующие Libpod напрямую. ### 7. Рекомендация update candidate ### 8. Основание рекомендации Обновление содержит исправление критической уязвимости безопасности (CVE), что является приоритетным фактором для выпуска. Хотя присутствуют изменения в поведении и обновлены зависимости, они относятся к исправлению багов и улучшению стабильности, а не к фундаментальному изменению ABI, блокирующему работу большинства приложений. Рекомендуется провести стандартную процедуру тестирования перед включением в репозиторий. ## Upstream release notes / description ### Security - This release addresses CVE-2026-33414, where the `podman machine init --image` command when run on Windows using the Hyper-V backend can run Powershell-escaped commands from the user-specified image path on in a Powershell session on the host ([GHSA-hc8w-h2mf-hp59](https://github.com/containers/podman/security/advisories/GHSA-hc8w-h2mf-hp59)). ### Bugfixes - Fixed a bug where containers with the `unless-stopped` restart policy would not restart after a reboot when `podman-restart.service` was enabled ([#28152](https://github.com/containers/podman/issues/28152)). - Fixed a bug where setting `Entrypoint=""` in a Quadlet `.container` file did not clear the container's entrypoint ([#28213](https://github.com/containers/podman/issues/28213)). - Fixed a bug where setting a `HealthCmd` in a Quadlet `.container` file to a command that included double-quotes (`"`) would result in a nonfunctional healthcheck due to a parsing issue ([#28409](https://github.com/containers/podman/issues/28409)). - Fixed a bug where FreeBSD systems could panic when inspecting containers created with the `host` network mode ([#28289](https://github.com/containers/podman/issues/28289)). ### API - Fixed a bug where the Libpod System Check endpoint could perform operations with bad data after returning a 400 error ([#28350](https://github.com/containers/podman/issues/28350)). - Fixed a bug where the remote attach API for containers (Libpod & Compat) could panic due to a rare race condition ([#28277](https://github.com/containers/podman/issues/28277)). - Fixed a bug where the Secret Create API could not create functional secrets using the `shell` driver due to options from the default driver being improperly added. ### Misc - Updated Buildah to v1.43.1 - Updated the containers/common library to v0.67.1 - Updated the containers/image library to v5.39.2 ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-28T15:58:43Z`

sbelikov added the

labels

2026-04-28 01:39:56 +03:00