rpms/python3-PyNaCl
1
0
Fork 0
Code Issues 1 Pull requests Projects Releases Packages Wiki Activity Actions

Upstream update available: python3-PyNaCl 1.5.0 → 1.6.2 #1

New issue
Open
opened 2026-04-28 01:42:30 +03:00 by sbelikov · 0 comments
sbelikov commented 2026-04-28 01:42:30 +03:00
Owner
Copy link

Upstream update available: python3-PyNaCl 1.5.01.6.2

Package

  • Package: python3-PyNaCl
  • RPM name: python3-PyNaCl
  • Branch: niceos-5.2
  • Current EVR: 1.5.0-1
  • Update class: minor
  • Compare method: python_rpm
  • Update policy: leaf
  • Risk tags: standard

Upstream

Signals

  • Security-relevant keywords detected: True
  • Policy blocked: False
  • Policy reason: -
  • Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/pypi

NiceSOFT AI preliminary analysis

1. Краткий вывод

Upstream обновил PyNaCl с 1.5.0 до 1.6.2, включив исправление уязвимости CVE-2025-69277 через обновление зависимости libsodium до версии 1.0.20-stable. Обновление также содержит изменения в поддержке версий Python (удаление 3.6/3.7, добавление 3.14) и новых архитектурных платформ. Текущая версия дистрибутива (1.5.0) не поддерживает Python 3.14, но совместима с Python 3.8+.

2. Риск для НАЙС.ОС

medium.
Обновление критически важно для безопасности (исправление CVE), однако оно меняет требования к окружению сборки и исполнению. Если НАЙС.ОС использует Python 3.14 или планирует его поддержку, обновление необходимо. Если дистрибутив ограничен Python 3.8–3.12, обновление функционально возможно, но требует проверки совместимости с текущей вертой libsodium в системе, так как PyNaCl теперь жестко привязан к 1.0.20-stable.

3. Security/CVE

Во входных данных явно указано исправление уязвимости CVE-2025-69277 в разделе changelog версии 1.6.2. Уязвимость связана с библиотекой libsodium, которая является ядром криптографических функций PyNaCl.

4. ABI/API риск

В changelog версии 1.6.0 указано: "BACKWARDS INCOMPATIBLE: Removed support for Python 3.6 and 3.7". Версия 1.5.0 (текущая) уже не поддерживает Python 2.7 и 3.5. Переход на 1.6.2 не отменяет поддержку Python 3.8+, но добавляет поддержку Python 3.14. Поскольку PyNaCl связывается с C-библиотекой libsodium, изменение версии этой библиотеки (с 1.0.18 на 1.0.20) может повлиять на ABI, если в системе используется системная libsodium, отличная от встроенной. Необходим ручной анализ совместимости ABI между встроенным libsodium в пакете и системным, если используется опция SODIUM_INSTALL=system.

5. Риск для RPM-сборки

Пакет PyNaCl часто содержит встроенную копию libsodium. Обновление до 1.6.2 требует наличия GNU Make (gmake) для сборки (упомянуто в release notes). В spec-файле необходимо проверить наличие BuildRequires: make (или gmake) и убедиться, что переменные окружения (LIBSODIUM_MAKE_ARGS, MAKE) корректно обрабатываются при сборке. Также нужно проверить, не конфликтует ли новая версия встроенного libsodium с системными заголовками или библиотеками, если они используются другими пакетами.

6. Проверки мейнтейнера

  • Проверить версию Python в дистрибутиве НАЙС.ОС (должна быть >= 3.8).
  • Проверить наличие gmake в BuildRequires spec-файла.
  • Протестировать сборку пакета с текущими зависимостями системы.
  • Проверить работу %check секции (если есть тесты).
  • Убедиться, что при установке не возникает конфликта с системной libsodium, если в spec-файле есть логика использования системной версии.
  • Проверить наличие CVE-2025-69277 в базе данных уязвимостей дистрибутива после обновления.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление содержит исправление критической уязвимости (CVE-2025-69277), что делает его обязательным для безопасности. Несмотря на изменения в поддержке версий Python, текущая версия дистрибутива (1.5.0) полностью совместима с минимальной поддерживаемой версией Python 3.8 для новой версии (1.6.2). Риск слома сборки минимален при наличии gmake, а функциональные изменения (поддержка 3.14) не нарушают работу на существующих версиях Python. Автоматическое обновление безопасно после стандартной проверки сборки.

Upstream release notes / description

Python binding to the Networking and Cryptography (NaCl) library

===============================================
PyNaCl: Python binding to the libsodium library

.. image:: https://img.shields.io/pypi/v/pynacl.svg
:target: https://pypi.org/project/PyNaCl/
:alt: Latest Version

PyNaCl is a Python binding to libsodium, which is a fork of the
Networking and Cryptography library. These libraries have a stated goal of
improving usability, security and speed. It supports Python 3.8+ as well as
PyPy 3.

.. _libsodium: https://github.com/jedisct1/libsodium
.. _Networking and Cryptography library: https://nacl.cr.yp.to/

Features

  • Digital signatures
  • Secret-key encryption
  • Public-key encryption
  • Hashing and message authentication
  • Password based key derivation and password hashing

Changelog_

.. _Changelog: https://pynacl.readthedocs.io/en/latest/changelog/

Installation

Binary wheel install

PyNaCl ships as a binary wheel on macOS, Windows and Linux manylinux1 [#many]_ ,
so all dependencies are included. Make sure you have an up-to-date pip
and run:

.. code-block:: console

$ pip install pynacl

Faster wheel build

You can define the environment variable LIBSODIUM_MAKE_ARGS to pass arguments to make
and enable parallelization_:

.. code-block:: console

$ LIBSODIUM_MAKE_ARGS=-j4 pip install pynacl

Linux source build

PyNaCl relies on libsodium_, a portable C library. A copy is bundled
with PyNaCl so to install you can run:

.. code-block:: console

$ pip install pynacl

If you'd prefer to use the version of libsodium provided by your
distribution, you can disable the bundled copy during install by running:

.. code-block:: console

$ SODIUM_INSTALL=system pip install pynacl

.. warning:: Usage of the legacy easy_install command provided by setuptools
is generally discouraged, and is completely unsupported in PyNaCl's case.

.. _parallelization: https://www.gnu.org/software/make/manual/html_node/Parallel.html

.. _libsodium: https://github.com/jedisct1/libsodium

.. [#many] manylinux1 wheels <https://www.python.org/dev/peps/pep-0513/>_
are built on a baseline linux environment based on Centos 5.11
and should work on most x86 and x86_64 glibc based linux environments.

GNU Make (gmake) may be required for newer versions of PyNaCl. You can
set the binary to use by setting the MAKE environment variable:

.. code-block:: console

$ MAKE=gmake pip install pynacl

Changelog

1.6.2 (2026-01-01)

  • Updated libsodium to 1.0.20-stable (2025-12-31 build) to resolve
    CVE-2025-69277.

1.6.1 (2025-11-10)

  • The MAKE environment variable can now be used to specify the make
    binary that should be used in the build process.

1.6.0 (2025-09-11)

  • BACKWARDS INCOMPATIBLE: Removed support for Python 3.6 and 3.7.
  • Added support for the low level AEAD AES bindings.
  • Added support for crypto_core_ed25519_from_uniform.
  • Update libsodium to 1.0.20-stable (2025-08-27 build).
  • Added support for free-threaded Python 3.14.
  • Added support for Windows on ARM wheels.

1.5.0 (2022-01-07)

  • BACKWARDS INCOMPATIBLE: Removed support for Python 2.7 and Python 3.5.
  • BACKWARDS INCOMPATIBLE: We no longer distribute manylinux1
    wheels.
  • Added manylinux2014, manylinux_2_24, musllinux, and macOS
    universal2 wheels (the latter supports macOS arm64).
  • Update libsodium to 1.0.18-stable (July 25, 2021 release).
  • Add inline type hints.

1.4.0 (2020-05-25)

  • Update libsodium to 1.0.18.
  • BACKWARDS INCOMPATIBLE: We no longer distribute 32-bit manylinux1
    wheels. Continuing to produce them was a maintenance burden.
  • Added support for Python 3.8, and removed support for Python 3.4.
  • Add low level bindings for extracting the seed and t

NiceOS maintainer checklist

  • Confirm that the detected version is a stable upstream release.
  • Check upstream changelog for security fixes, ABI/API changes and build-system changes.
  • Check ABI/API compatibility and reverse dependencies.
  • Download source into NiceOS lookaside storage.
  • Update Version and related fields in SPECS/*.spec only if policy allows it.
  • Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
  • Build SRPM/RPM in a clean NiceOS buildroot.
  • Run package smoke tests.
  • Link PR/build logs and close this issue after update or triage.

Bot metadata

  • Tool: niceos_upstream_monitor.py 1.4
  • Generated at: 2026-04-28T16:00:56Z
<!-- niceos-upstream-monitor:fingerprint=upstream-update:python3-PyNaCl:1.6.2 --> <!-- niceos-upstream-monitor:package=python3-PyNaCl --> <!-- niceos-upstream-monitor:current=1.5.0 --> <!-- niceos-upstream-monitor:latest=1.6.2 --> # Upstream update available: `python3-PyNaCl` `1.5.0` → `1.6.2` ## Package - Package: `python3-PyNaCl` - RPM name: `python3-PyNaCl` - Branch: `niceos-5.2` - Current EVR: `1.5.0-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `standard` ## Upstream - Upstream type: `pypi` - Upstream project: `-` - Upstream URL: https://files.pythonhosted.org/packages/a7/22/27582568be639dfe22ddb3902225f91f2f17ceff88ce80e4db396c8986da/PyNaCl-1.5.0.tar.gz - Detected version: `1.6.2` - Tag/release: `1.6.2` - Source: `pypi_json` - Published: `2026-01-01T17:48:10.851767Z` - Release URL: https://pypi.org/project/PyNaCl/ - Source URL: https://files.pythonhosted.org/packages/d9/9a/4019b524b03a13438637b11538c82781a5eda427394380381af8f04f467a/pynacl-1.6.2.tar.gz - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/pypi` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Upstream обновил PyNaCl с 1.5.0 до 1.6.2, включив исправление уязвимости CVE-2025-69277 через обновление зависимости libsodium до версии 1.0.20-stable. Обновление также содержит изменения в поддержке версий Python (удаление 3.6/3.7, добавление 3.14) и новых архитектурных платформ. Текущая версия дистрибутива (1.5.0) не поддерживает Python 3.14, но совместима с Python 3.8+. ### 2. Риск для НАЙС.ОС **medium**. Обновление критически важно для безопасности (исправление CVE), однако оно меняет требования к окружению сборки и исполнению. Если НАЙС.ОС использует Python 3.14 или планирует его поддержку, обновление необходимо. Если дистрибутив ограничен Python 3.8–3.12, обновление функционально возможно, но требует проверки совместимости с текущей вертой libsodium в системе, так как PyNaCl теперь жестко привязан к 1.0.20-stable. ### 3. Security/CVE Во входных данных явно указано исправление уязвимости **CVE-2025-69277** в разделе changelog версии 1.6.2. Уязвимость связана с библиотекой `libsodium`, которая является ядром криптографических функций PyNaCl. ### 4. ABI/API риск В changelog версии 1.6.0 указано: "**BACKWARDS INCOMPATIBLE**: Removed support for Python 3.6 and 3.7". Версия 1.5.0 (текущая) уже не поддерживает Python 2.7 и 3.5. Переход на 1.6.2 не отменяет поддержку Python 3.8+, но добавляет поддержку Python 3.14. Поскольку PyNaCl связывается с C-библиотекой libsodium, изменение версии этой библиотеки (с 1.0.18 на 1.0.20) может повлиять на ABI, если в системе используется системная libsodium, отличная от встроенной. Необходим ручной анализ совместимости ABI между встроенным libsodium в пакете и системным, если используется опция `SODIUM_INSTALL=system`. ### 5. Риск для RPM-сборки Пакет PyNaCl часто содержит встроенную копию libsodium. Обновление до 1.6.2 требует наличия `GNU Make (gmake)` для сборки (упомянуто в release notes). В spec-файле необходимо проверить наличие `BuildRequires: make` (или `gmake`) и убедиться, что переменные окружения (`LIBSODIUM_MAKE_ARGS`, `MAKE`) корректно обрабатываются при сборке. Также нужно проверить, не конфликтует ли новая версия встроенного libsodium с системными заголовками или библиотеками, если они используются другими пакетами. ### 6. Проверки мейнтейнера - [ ] Проверить версию Python в дистрибутиве НАЙС.ОС (должна быть >= 3.8). - [ ] Проверить наличие `gmake` в `BuildRequires` spec-файла. - [ ] Протестировать сборку пакета с текущими зависимостями системы. - [ ] Проверить работу `%check` секции (если есть тесты). - [ ] Убедиться, что при установке не возникает конфликта с системной `libsodium`, если в spec-файле есть логика использования системной версии. - [ ] Проверить наличие CVE-2025-69277 в базе данных уязвимостей дистрибутива после обновления. ### 7. Рекомендация **update candidate** ### 8. Основание рекомендации Обновление содержит исправление критической уязвимости (CVE-2025-69277), что делает его обязательным для безопасности. Несмотря на изменения в поддержке версий Python, текущая версия дистрибутива (1.5.0) полностью совместима с минимальной поддерживаемой версией Python 3.8 для новой версии (1.6.2). Риск слома сборки минимален при наличии `gmake`, а функциональные изменения (поддержка 3.14) не нарушают работу на существующих версиях Python. Автоматическое обновление безопасно после стандартной проверки сборки. ## Upstream release notes / description Python binding to the Networking and Cryptography (NaCl) library =============================================== PyNaCl: Python binding to the libsodium library =============================================== .. image:: https://img.shields.io/pypi/v/pynacl.svg :target: https://pypi.org/project/PyNaCl/ :alt: Latest Version PyNaCl is a Python binding to `libsodium`_, which is a fork of the `Networking and Cryptography library`_. These libraries have a stated goal of improving usability, security and speed. It supports Python 3.8+ as well as PyPy 3. .. _libsodium: https://github.com/jedisct1/libsodium .. _Networking and Cryptography library: https://nacl.cr.yp.to/ Features -------- * Digital signatures * Secret-key encryption * Public-key encryption * Hashing and message authentication * Password based key derivation and password hashing `Changelog`_ ------------ .. _Changelog: https://pynacl.readthedocs.io/en/latest/changelog/ Installation ============ Binary wheel install -------------------- PyNaCl ships as a binary wheel on macOS, Windows and Linux ``manylinux1`` [#many]_ , so all dependencies are included. Make sure you have an up-to-date pip and run: .. code-block:: console $ pip install pynacl Faster wheel build ------------------ You can define the environment variable ``LIBSODIUM_MAKE_ARGS`` to pass arguments to ``make`` and enable `parallelization`_: .. code-block:: console $ LIBSODIUM_MAKE_ARGS=-j4 pip install pynacl Linux source build ------------------ PyNaCl relies on `libsodium`_, a portable C library. A copy is bundled with PyNaCl so to install you can run: .. code-block:: console $ pip install pynacl If you'd prefer to use the version of ``libsodium`` provided by your distribution, you can disable the bundled copy during install by running: .. code-block:: console $ SODIUM_INSTALL=system pip install pynacl .. warning:: Usage of the legacy ``easy_install`` command provided by setuptools is generally discouraged, and is completely unsupported in PyNaCl's case. .. _parallelization: https://www.gnu.org/software/make/manual/html_node/Parallel.html .. _libsodium: https://github.com/jedisct1/libsodium .. [#many] `manylinux1 wheels <https://www.python.org/dev/peps/pep-0513/>`_ are built on a baseline linux environment based on Centos 5.11 and should work on most x86 and x86_64 glibc based linux environments. GNU Make (gmake) may be required for newer versions of PyNaCl. You can set the binary to use by setting the ``MAKE`` environment variable: .. code-block:: console $ MAKE=gmake pip install pynacl Changelog ========= 1.6.2 (2026-01-01) ------------------ * Updated ``libsodium`` to 1.0.20-stable (2025-12-31 build) to resolve ``CVE-2025-69277``. 1.6.1 (2025-11-10) ------------------ * The ``MAKE`` environment variable can now be used to specify the ``make`` binary that should be used in the build process. 1.6.0 (2025-09-11) ------------------ * **BACKWARDS INCOMPATIBLE:** Removed support for Python 3.6 and 3.7. * Added support for the low level AEAD AES bindings. * Added support for ``crypto_core_ed25519_from_uniform``. * Update ``libsodium`` to 1.0.20-stable (2025-08-27 build). * Added support for free-threaded Python 3.14. * Added support for Windows on ARM wheels. 1.5.0 (2022-01-07) ------------------ * **BACKWARDS INCOMPATIBLE:** Removed support for Python 2.7 and Python 3.5. * **BACKWARDS INCOMPATIBLE:** We no longer distribute ``manylinux1`` wheels. * Added ``manylinux2014``, ``manylinux_2_24``, ``musllinux``, and macOS ``universal2`` wheels (the latter supports macOS ``arm64``). * Update ``libsodium`` to 1.0.18-stable (July 25, 2021 release). * Add inline type hints. 1.4.0 (2020-05-25) ------------------ * Update ``libsodium`` to 1.0.18. * **BACKWARDS INCOMPATIBLE:** We no longer distribute 32-bit ``manylinux1`` wheels. Continuing to produce them was a maintenance burden. * Added support for Python 3.8, and removed support for Python 3.4. * Add low level bindings for extracting the seed and t ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-28T16:00:56Z`
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
niceos-5.2
No results found.
Labels
Clear labels   
ai-summary
Issue contains local NiceSOFT AI generated preliminary analysis

  
bot
Created by automation

  
needs-build
Needs build verification

  
needs-triage
Needs maintainer triage

  
priority/high
High priority

  
security-release
Release notes mention security fixes or CVE

  
update/minor
Minor update

  
upstream-update
New upstream version is available

  
upstream/pypi
PyPI upstream

No labels
ai-summary
bot
needs-build
needs-triage
priority/high
security-release
update/minor
upstream-update
upstream/pypi
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
rpms/python3-PyNaCl#1
No description provided.