rpms/procps-ng

Fork 0

Upstream update available: procps-ng 4.0.5 → 4.0.6 #1

New issue

Closed

opened 2026-04-28 01:41:17 +03:00 by sbelikov · 1 comment

sbelikov commented

2026-04-28 01:41:17 +03:00

Owner

Upstream update available: `procps-ng` `4.0.5` → `4.0.6`

Package

Package: procps-ng
RPM name: procps-ng
Branch: niceos-5.2
Current EVR: 4.0.5-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: standard

Upstream

Upstream type: gitlab
Upstream project: procps-ng/procps
Upstream URL: https://gitlab.com/procps-ng/procps
Detected version: 4.0.6
Tag/release: v4.0.6
Source: gitlab_release
Published: 2026-01-29T10:30:17.000Z
Release URL: https://gitlab.com/procps-ng/procps/-/releases/v4.0.6
Source URL: -
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/gitlab

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление procps-ng с версии 4.0.5 до 4.0.6 классифицируется как патч, содержащий исправления уязвимостей (security-critical), связанных с обработкой сигналов, конфигурационных файлов и потенциальными гонками условий приводящими к сегментации памяти. Обновление также включает улучшения функциональности утилит pgrep, ps, top и watch, а также изменения в работе с /proc.

2. Риск для НАЙС.ОС

medium.
Несмотря на то, что обновление помечено как patch, наличие тегов security_keywords_detected_by_script: True и явных упоминаний исправлений "potential segfault" и "legacy configuration file vulnerability" повышает уровень риска. Исправление уязвимости конфигурационного файла в top требует обязательной проверки, так как это может повлиять на поведение системных утилит при наличии старых конфигов. Однако отсутствие прямых указаний на утечку данных или отказ в обслуживании снижает риск до среднего уровня.

3. Security/CVE

Во входных данных нет явных идентификаторов CVE (например, CVE-YYYY-XXXX).
Признаки безопасности присутствуют в тексте релизов:

Упоминание исправления "legacy configuration file vulnerability" в утилите top (issue #384).
Упоминание исправления "potential race leading to segfault" (issues #380, #390).
Флаг security_keywords_detected_by_script: True.
Так как конкретных CVE не указано, фактов о том, какие именно уязвимости закрыты, недостаточно для детального анализа без доступа к внешним базам данных.

4. ABI/API риск

В релиз-нотах указаны внутренние изменения:

Использование openat вместо open для файлов под /proc/<PID> (internal change).
Отказ от вызова sd_booted (Debian #1108549).
Добавление новых опций (--delimiter, -k, --quiet, --follow).
Для библиотеки libprocps.so изменение механизма открытия файлов через openat может теоретически повлиять на бинарные файлы, жестко зависящие от старого API, хотя в рамках одного дистрибутива это маловероятно. Изменение поведения sd_booted затрагивает интеграцию со systemd. Нужен ручной ABI/API анализ для подтверждения отсутствия скрытых изменений в сигнатурах экспортируемых функций библиотеки, так как данные релиз-нот ограничены описанием логики, а не изменением заголовков.

5. Риск для RPM-сборки

Вероятные риски для сборки RPM:

BuildRequires: Возможно добавление новых зависимостей (не указано явно, но часто сопровождает новые функции).
%check: Исправления гонок условий (#380, #390) могут изменить поведение тестов, если они зависят от таймингов или специфических состояний /proc.
Патчи: Локальные патчи НАЙС.ОС могут конфликтовать с изменениями в обработке сигналов (SIGPOLL) или парсингом --help в ps.
Конфигурация: Изменение обработки конфигурационных файлов в top может привести к ошибкам сборки или выполнения, если в системе есть нестандартные конфиги, которые теперь будут отвергаться с ошибкой EPERM или EISDIR.

6. Проверки мейнтейнера

Чеклист для проверки перед обновлением:

Запустить rpmlint на новом RPM-пакете.
Проверить наличие новых BuildRequires и их доступность в репозиториях.
Выполнить %check этап сборки локально.
Протестировать утилиту top с существующими конфигурационными файлами системы (проверить, не блокирует ли новая логика их чтение).
Проверить работу pgrep с сигналами и PID-фильтрацией (issue #369, #207).
Убедиться, что локальные патчи НАЙС.ОС не конфликтуют с изменениями в парсинге опций ps и sysctl.
Проверить отсутствие регрессий в работе с /proc через скрипты мониторинга системы.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление содержит критические исправления безопасности (закрытие уязвимости в top, устранение гонок условий) и важные стабильностные фиксы (segfaults). Несмотря на необходимость проверки локальных патчей и конфигураций, отсутствие прямых блокирующих факторов (policy_blocked: False) и статус patch позволяют рекомендовать обновление как кандидата. Автоматическое применение не рекомендуется из-за необходимости ручного верификации ABI-изменений в библиотеке и проверки работы с legacy-конфигами, но статус "кандидат" позволяет включить его в план ручного обновления.

Upstream release notes / description

library
version: inc revision to 1 now 1:1:0
internal: Use openat for files under /proc/
internal: Don't check for sd_booted Debian #1108549
internal: Address potential race leading to segfault issues #380, #390
- local: guard SIGPOLL for MacOS merge !246
- pgrep: Fix unhex breakage for signal numbers issue #369
- pgrep: Match on process ID Debian #612146
- pgrep: Add process_mrelease merge !250
- pgrep: Add shell quoting merge !248
- pgrep: Use pidfd_send_signal() issue #207
- pgrep.1: Note that we can only go to 100th of second issue #376
- pgrep: Add --quiet option issue #404
- pmap: add -k option to print raw names from kernel merge !251
- ps: parse --help correctly issue #381
- ps: Add --delimiter option issue #118
- ps: ps f forest works under pid 1 issue #102
- ps: no longer fails with many pids & the 'p' option issue #387
- ps.1: cols and collums alias width option Debian #926361
- ps.1: Add format equivalents Debian #925437
- ps: avoid potential segfault due to library race issue #380
- ps: Fix -ad option conflict issue #395
- ps: ppid of 0 is ok, fix parser issue #405
- slabtop: Increase column width Debian #959375
- sysctl: Return error if EPERM or EISDIR merge !228
- sysctl: Use options after --system Debian #978989
- top: provides for ignoring configuration file(s) issue #365
- top: fix legacy configuration file vulnerability issue #384
- top: added a new help screen for specialized keys
- top: avoid potential segfault due to library race issue #390
- top: new feature to show physical core percentages
- w: Add terminal mode to show all terminal sessions issue #375
- w: Use process TTY as backup for user TTY Debian #1080335
- w: Use correct return value for sd_get_sessions Debian #1068904
- w: Don't check for sd_booted Debian #1108549
- w: Don't crash with pids in terminal mode issue #407
- watch: Add --follow option Debian #469156
- watch: 256 color support issue #44
- watch.1: Warn about -d permanent option Debian #883638

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.5
Generated at: 2026-04-29T23:42:10Z

# Upstream update available: `procps-ng` `4.0.5` → `4.0.6` ## Package - Package: `procps-ng` - RPM name: `procps-ng` - Branch: `niceos-5.2` - Current EVR: `4.0.5-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `standard` ## Upstream - Upstream type: `gitlab` - Upstream project: `procps-ng/procps` - Upstream URL: https://gitlab.com/procps-ng/procps - Detected version: `4.0.6` - Tag/release: `v4.0.6` - Source: `gitlab_release` - Published: `2026-01-29T10:30:17.000Z` - Release URL: https://gitlab.com/procps-ng/procps/-/releases/v4.0.6 - Source URL: - - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/gitlab` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление `procps-ng` с версии 4.0.5 до 4.0.6 классифицируется как патч, содержащий исправления уязвимостей (security-critical), связанных с обработкой сигналов, конфигурационных файлов и потенциальными гонками условий приводящими к сегментации памяти. Обновление также включает улучшения функциональности утилит `pgrep`, `ps`, `top` и `watch`, а также изменения в работе с `/proc`. ### 2. Риск для НАЙС.ОС **medium**. Несмотря на то, что обновление помечено как `patch`, наличие тегов `security_keywords_detected_by_script: True` и явных упоминаний исправлений "potential segfault" и "legacy configuration file vulnerability" повышает уровень риска. Исправление уязвимости конфигурационного файла в `top` требует обязательной проверки, так как это может повлиять на поведение системных утилит при наличии старых конфигов. Однако отсутствие прямых указаний на утечку данных или отказ в обслуживании снижает риск до среднего уровня. ### 3. Security/CVE Во входных данных **нет** явных идентификаторов CVE (например, CVE-YYYY-XXXX). Признаки безопасности присутствуют в тексте релизов: - Упоминание исправления "legacy configuration file vulnerability" в утилите `top` (issue #384). - Упоминание исправления "potential race leading to segfault" (issues #380, #390). - Флаг `security_keywords_detected_by_script: True`. Так как конкретных CVE не указано, фактов о том, какие именно уязвимости закрыты, недостаточно для детального анализа без доступа к внешним базам данных. ### 4. ABI/API риск В релиз-нотах указаны внутренние изменения: - Использование `openat` вместо `open` для файлов под `/proc/<PID>` (internal change). - Отказ от вызова `sd_booted` (Debian #1108549). - Добавление новых опций (`--delimiter`, `-k`, `--quiet`, `--follow`). Для библиотеки `libprocps.so` изменение механизма открытия файлов через `openat` может теоретически повлиять на бинарные файлы, жестко зависящие от старого API, хотя в рамках одного дистрибутива это маловероятно. Изменение поведения `sd_booted` затрагивает интеграцию со systemd. **Нужен ручной ABI/API анализ** для подтверждения отсутствия скрытых изменений в сигнатурах экспортируемых функций библиотеки, так как данные релиз-нот ограничены описанием логики, а не изменением заголовков. ### 5. Риск для RPM-сборки Вероятные риски для сборки RPM: - **BuildRequires**: Возможно добавление новых зависимостей (не указано явно, но часто сопровождает новые функции). - **%check**: Исправления гонок условий (#380, #390) могут изменить поведение тестов, если они зависят от таймингов или специфических состояний `/proc`. - **Патчи**: Локальные патчи НАЙС.ОС могут конфликтовать с изменениями в обработке сигналов (`SIGPOLL`) или парсингом `--help` в `ps`. - **Конфигурация**: Изменение обработки конфигурационных файлов в `top` может привести к ошибкам сборки или выполнения, если в системе есть нестандартные конфиги, которые теперь будут отвергаться с ошибкой `EPERM` или `EISDIR`. ### 6. Проверки мейнтейнера Чеклист для проверки перед обновлением: - [ ] Запустить `rpmlint` на новом RPM-пакете. - [ ] Проверить наличие новых `BuildRequires` и их доступность в репозиториях. - [ ] Выполнить `%check` этап сборки локально. - [ ] Протестировать утилиту `top` с существующими конфигурационными файлами системы (проверить, не блокирует ли новая логика их чтение). - [ ] Проверить работу `pgrep` с сигналами и PID-фильтрацией (issue #369, #207). - [ ] Убедиться, что локальные патчи НАЙС.ОС не конфликтуют с изменениями в парсинге опций `ps` и `sysctl`. - [ ] Проверить отсутствие регрессий в работе с `/proc` через скрипты мониторинга системы. ### 7. Рекомендация **update candidate** ### 8. Основание рекомендации Обновление содержит критические исправления безопасности (закрытие уязвимости в `top`, устранение гонок условий) и важные стабильностные фиксы (segfaults). Несмотря на необходимость проверки локальных патчей и конфигураций, отсутствие прямых блокирующих факторов (policy_blocked: False) и статус `patch` позволяют рекомендовать обновление как кандидата. Автоматическое применение не рекомендуется из-за необходимости ручного верификации ABI-изменений в библиотеке и проверки работы с legacy-конфигами, но статус "кандидат" позволяет включить его в план ручного обновления. ## Upstream release notes / description * library version: inc revision to 1 now 1:1:0 internal: Use openat for files under /proc/<PID> internal: Don't check for sd_booted Debian #1108549 internal: Address potential race leading to segfault issues #380, #390 * local: guard SIGPOLL for MacOS merge !246 * pgrep: Fix unhex breakage for signal numbers issue #369 * pgrep: Match on process ID Debian #612146 * pgrep: Add process_mrelease merge !250 * pgrep: Add shell quoting merge !248 * pgrep: Use pidfd_send_signal() issue #207 * pgrep.1: Note that we can only go to 100th of second issue #376 * pgrep: Add --quiet option issue #404 * pmap: add -k option to print raw names from kernel merge !251 * ps: parse --help correctly issue #381 * ps: Add --delimiter option issue #118 * ps: ps f forest works under pid 1 issue #102 * ps: no longer fails with many pids & the 'p' option issue #387 * ps.1: cols and collums alias width option Debian #926361 * ps.1: Add format equivalents Debian #925437 * ps: avoid potential segfault due to library race issue #380 * ps: Fix -ad option conflict issue #395 * ps: ppid of 0 is ok, fix parser issue #405 * slabtop: Increase column width Debian #959375 * sysctl: Return error if EPERM or EISDIR merge !228 * sysctl: Use options after --system Debian #978989 * top: provides for ignoring configuration file(s) issue #365 * top: fix legacy configuration file vulnerability issue #384 * top: added a new help screen for specialized keys * top: avoid potential segfault due to library race issue #390 * top: new feature to show physical core percentages * w: Add terminal mode to show all terminal sessions issue #375 * w: Use process TTY as backup for user TTY Debian #1080335 * w: Use correct return value for sd_get_sessions Debian #1068904 * w: Don't check for sd_booted Debian #1108549 * w: Don't crash with pids in terminal mode issue #407 * watch: Add --follow option Debian #469156 * watch: 256 color support issue #44 * watch.1: Warn about -d permanent option Debian #883638 ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.5` - Generated at: `2026-04-29T23:42:10Z`

sbelikov added the

labels

2026-04-28 01:41:17 +03:00

sbelikov commented

2026-05-10 01:40:10 +03:00

Author

Owner

Package version is now 4.0.6 and target version was 4.0.6. Closing as resolved.\n\n_Closed by niceos_upstream_monitor.py 1.5 at 2026-05-09T22:40:10Z._

Package version is now `4.0.6` and target version was `4.0.6`. Closing as resolved.\n\n_Closed by `niceos_upstream_monitor.py 1.5` at `2026-05-09T22:40:10Z`._

sbelikov closed this issue

2026-05-10 01:40:11 +03:00