Upstream update available: procps-ng 4.0.5 → 4.0.6 #1

New issue

Open

opened 2026-04-28 01:41:17 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:41:17 +03:00

Owner

Upstream update available: `procps-ng` `4.0.5` → `4.0.6`

Package

Package: procps-ng
RPM name: procps-ng
Branch: niceos-5.2
Current EVR: 4.0.5-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: standard

Upstream

Upstream type: gitlab
Upstream project: procps-ng/procps
Upstream URL: https://gitlab.com/procps-ng/procps
Detected version: 4.0.6
Tag/release: v4.0.6
Source: gitlab_release
Published: 2026-01-29T10:30:17.000Z
Release URL: https://gitlab.com/procps-ng/procps/-/releases/v4.0.6
Source URL: -
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/gitlab

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление procps-ng с версии 4.0.5 до 4.0.6 классифицируется как патч, содержащий исправления уязвимостей (race conditions, legacy config), улучшения безопасности (openat, pidfd) и функциональные изменения утилит ps, pgrep, top. Обновление затрагивает критически важные системные инструменты мониторинга процессов.

2. Риск для НАЙС.ОС

medium.
Несмотря на статус patch, обновление включает исправления потенциальных утечек памяти и условий гонки (segfault), а также изменения в парсинге конфигурационных файлов (top). Изменения в API sd_booted и использование openat могут повлиять на поведение скриптов, зависящих от старых сигнатур или путей /proc/<PID>.

3. Security/CVE

Во входных данных нет явных идентификаторов CVE.
Присутствуют следующие признаки безопасности:

security_keywords_detected_by_script: True
Упоминания "potential race leading to segfault" (issue #380, #390).
Исправление "legacy configuration file vulnerability" (issue #384).
Использование openat вместо open для доступа к /proc/<PID> (улучшение изоляции).
Возврат ошибок при EPERM/EISDIR в sysctl.

4. ABI/API риск

Нужен ручной ABI/API анализ.
В release notes отмечены внутренние изменения:

internal: Use openat for files under /proc/<PID> — может изменить поведение при доступе к файлам процесса, если клиентский код ожидает специфического поведения open.
internal: Don't check for sd_booted — изменение логики инициализации systemd, которое может повлиять на запуск подсистем, ожидающих этот флаг.
Добавлены новые опции (--delimiter, -k, --quiet, --follow), которые не ломают ABI, но меняют поведение CLI.

5. Риск для RPM-сборки

Вероятны проблемы со следующими компонентами сборки:

%check: Исправления race conditions (#380, #390) могут изменить поведение тестов, ранее проваливавшихся или игнорировавшихся.
BuildRequires: Возможно добавление новых зависимостей (не указано явно, но часто сопровождает такие обновления).
Патчи: Патч "guard SIGPOLL for MacOS" может конфликтовать с макросами или условиями сборки для платформ, отличных от Linux/MacOS, если они не учтены в %ifarch или %if.
Конфигурация: Изменения в парсинге --help и --system в sysctl могут повлиять на скрипты инициализации, вызывающие эти команды.

6. Проверки мейнтейнера

Запустить rpmlint на новом RPM-пакете.
Протестировать утилиты ps, pgrep, top, w в окружении контейнера и нативном (проверка регрессий в выводах).
Проверить работу скриптов, использующих sd_booted или доступ к /proc/<PID> напрямую.
Выполнить make check внутри исходного дерева (если возможно) или проверить наличие новых тестовых кейсов.
Убедиться, что патч для MacOS не вызывает ошибок компиляции на целевых архитектурах дистрибутива.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление содержит критические исправления безопасности (гонки, уязвимости конфигов) и стабильности (segfault), которые важны для поддержки. Хотя есть изменения в поведении, они описаны как улучшения и исправления багов, а не фундаментальные переработки ядра библиотеки. Статус patch и отсутствие блокирующих политик позволяют рекомендовать обновление как кандидата после стандартных проверок.

Upstream release notes / description

library
version: inc revision to 1 now 1:1:0
internal: Use openat for files under /proc/
internal: Don't check for sd_booted Debian #1108549
internal: Address potential race leading to segfault issues #380, #390
- local: guard SIGPOLL for MacOS merge !246
- pgrep: Fix unhex breakage for signal numbers issue #369
- pgrep: Match on process ID Debian #612146
- pgrep: Add process_mrelease merge !250
- pgrep: Add shell quoting merge !248
- pgrep: Use pidfd_send_signal() issue #207
- pgrep.1: Note that we can only go to 100th of second issue #376
- pgrep: Add --quiet option issue #404
- pmap: add -k option to print raw names from kernel merge !251
- ps: parse --help correctly issue #381
- ps: Add --delimiter option issue #118
- ps: ps f forest works under pid 1 issue #102
- ps: no longer fails with many pids & the 'p' option issue #387
- ps.1: cols and collums alias width option Debian #926361
- ps.1: Add format equivalents Debian #925437
- ps: avoid potential segfault due to library race issue #380
- ps: Fix -ad option conflict issue #395
- ps: ppid of 0 is ok, fix parser issue #405
- slabtop: Increase column width Debian #959375
- sysctl: Return error if EPERM or EISDIR merge !228
- sysctl: Use options after --system Debian #978989
- top: provides for ignoring configuration file(s) issue #365
- top: fix legacy configuration file vulnerability issue #384
- top: added a new help screen for specialized keys
- top: avoid potential segfault due to library race issue #390
- top: new feature to show physical core percentages
- w: Add terminal mode to show all terminal sessions issue #375
- w: Use process TTY as backup for user TTY Debian #1080335
- w: Use correct return value for sd_get_sessions Debian #1068904
- w: Don't check for sd_booted Debian #1108549
- w: Don't crash with pids in terminal mode issue #407
- watch: Add --follow option Debian #469156
- watch: 256 color support issue #44
- watch.1: Warn about -d permanent option Debian #883638

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-28T15:59:47Z

# Upstream update available: `procps-ng` `4.0.5` → `4.0.6` ## Package - Package: `procps-ng` - RPM name: `procps-ng` - Branch: `niceos-5.2` - Current EVR: `4.0.5-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `standard` ## Upstream - Upstream type: `gitlab` - Upstream project: `procps-ng/procps` - Upstream URL: https://gitlab.com/procps-ng/procps - Detected version: `4.0.6` - Tag/release: `v4.0.6` - Source: `gitlab_release` - Published: `2026-01-29T10:30:17.000Z` - Release URL: https://gitlab.com/procps-ng/procps/-/releases/v4.0.6 - Source URL: - - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/gitlab` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление `procps-ng` с версии 4.0.5 до 4.0.6 классифицируется как патч, содержащий исправления уязвимостей (race conditions, legacy config), улучшения безопасности (`openat`, `pidfd`) и функциональные изменения утилит `ps`, `pgrep`, `top`. Обновление затрагивает критически важные системные инструменты мониторинга процессов. ### 2. Риск для НАЙС.ОС **medium**. Несмотря на статус `patch`, обновление включает исправления потенциальных утечек памяти и условий гонки (segfault), а также изменения в парсинге конфигурационных файлов (`top`). Изменения в API `sd_booted` и использование `openat` могут повлиять на поведение скриптов, зависящих от старых сигнатур или путей `/proc/<PID>`. ### 3. Security/CVE Во входных данных **нет явных идентификаторов CVE**. Присутствуют следующие признаки безопасности: - `security_keywords_detected_by_script: True` - Упоминания "potential race leading to segfault" (issue #380, #390). - Исправление "legacy configuration file vulnerability" (issue #384). - Использование `openat` вместо `open` для доступа к `/proc/<PID>` (улучшение изоляции). - Возврат ошибок при `EPERM`/`EISDIR` в `sysctl`. ### 4. ABI/API риск **Нужен ручной ABI/API анализ.** В release notes отмечены внутренние изменения: - `internal: Use openat for files under /proc/<PID>` — может изменить поведение при доступе к файлам процесса, если клиентский код ожидает специфического поведения `open`. - `internal: Don't check for sd_booted` — изменение логики инициализации systemd, которое может повлиять на запуск подсистем, ожидающих этот флаг. - Добавлены новые опции (`--delimiter`, `-k`, `--quiet`, `--follow`), которые не ломают ABI, но меняют поведение CLI. ### 5. Риск для RPM-сборки Вероятны проблемы со следующими компонентами сборки: - **%check**: Исправления race conditions (#380, #390) могут изменить поведение тестов, ранее проваливавшихся или игнорировавшихся. - **BuildRequires**: Возможно добавление новых зависимостей (не указано явно, но часто сопровождает такие обновления). - **Патчи**: Патч "guard SIGPOLL for MacOS" может конфликтовать с макросами или условиями сборки для платформ, отличных от Linux/MacOS, если они не учтены в `%ifarch` или `%if`. - **Конфигурация**: Изменения в парсинге `--help` и `--system` в `sysctl` могут повлиять на скрипты инициализации, вызывающие эти команды. ### 6. Проверки мейнтейнера - [ ] Запустить `rpmlint` на новом RPM-пакете. - [ ] Протестировать утилиты `ps`, `pgrep`, `top`, `w` в окружении контейнера и нативном (проверка регрессий в выводах). - [ ] Проверить работу скриптов, использующих `sd_booted` или доступ к `/proc/<PID>` напрямую. - [ ] Выполнить `make check` внутри исходного дерева (если возможно) или проверить наличие новых тестовых кейсов. - [ ] Убедиться, что патч для MacOS не вызывает ошибок компиляции на целевых архитектурах дистрибутива. ### 7. Рекомендация **update candidate** ### 8. Основание рекомендации Обновление содержит критические исправления безопасности (гонки, уязвимости конфигов) и стабильности (segfault), которые важны для поддержки. Хотя есть изменения в поведении, они описаны как улучшения и исправления багов, а не фундаментальные переработки ядра библиотеки. Статус `patch` и отсутствие блокирующих политик позволяют рекомендовать обновление как кандидата после стандартных проверок. ## Upstream release notes / description * library version: inc revision to 1 now 1:1:0 internal: Use openat for files under /proc/<PID> internal: Don't check for sd_booted Debian #1108549 internal: Address potential race leading to segfault issues #380, #390 * local: guard SIGPOLL for MacOS merge !246 * pgrep: Fix unhex breakage for signal numbers issue #369 * pgrep: Match on process ID Debian #612146 * pgrep: Add process_mrelease merge !250 * pgrep: Add shell quoting merge !248 * pgrep: Use pidfd_send_signal() issue #207 * pgrep.1: Note that we can only go to 100th of second issue #376 * pgrep: Add --quiet option issue #404 * pmap: add -k option to print raw names from kernel merge !251 * ps: parse --help correctly issue #381 * ps: Add --delimiter option issue #118 * ps: ps f forest works under pid 1 issue #102 * ps: no longer fails with many pids & the 'p' option issue #387 * ps.1: cols and collums alias width option Debian #926361 * ps.1: Add format equivalents Debian #925437 * ps: avoid potential segfault due to library race issue #380 * ps: Fix -ad option conflict issue #395 * ps: ppid of 0 is ok, fix parser issue #405 * slabtop: Increase column width Debian #959375 * sysctl: Return error if EPERM or EISDIR merge !228 * sysctl: Use options after --system Debian #978989 * top: provides for ignoring configuration file(s) issue #365 * top: fix legacy configuration file vulnerability issue #384 * top: added a new help screen for specialized keys * top: avoid potential segfault due to library race issue #390 * top: new feature to show physical core percentages * w: Add terminal mode to show all terminal sessions issue #375 * w: Use process TTY as backup for user TTY Debian #1080335 * w: Use correct return value for sd_get_sessions Debian #1068904 * w: Don't check for sd_booted Debian #1108549 * w: Don't crash with pids in terminal mode issue #407 * watch: Add --follow option Debian #469156 * watch: 256 color support issue #44 * watch.1: Warn about -d permanent option Debian #883638 ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-28T15:59:47Z`

sbelikov added the

labels

2026-04-28 01:41:17 +03:00