Upstream update available: radcli 1.4.0 → 1.5.0 #1

New issue

Open

opened 2026-04-28 02:10:53 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 02:10:53 +03:00

Owner

Upstream update available: `radcli` `1.4.0` → `1.5.0`

Package

Package: radcli
RPM name: radcli
Branch: niceos-5.2
Current EVR: 1:1.4.0-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: radcli/radcli
Upstream URL: https://github.com/radcli/radcli
Detected version: 1.5.0
Tag/release: 1.5.0
Source: github_release_latest
Published: 2026-04-06T16:56:48Z
Release URL: https://github.com/radcli/radcli/releases/tag/1.5.0
Source URL: https://api.github.com/repos/radcli/radcli/tarball/1.5.0
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление пакета radcli с версии 1.4.0 до 1.5.0 включает критические исправления безопасности, связанные с аутентификацией RADIUS (CVE-2024-3596), а также исправления стабильности для работы с TLS и словарями атрибутов. Обновление классифицировано как minor, но содержит security-critical изменения, требующие внимания при обновлении конфигурации клиентов.

2. Риск для НАЙС.ОС

medium.
Обновление затрагивает логику обработки сетевых ответов (RADIUS), что может повлиять на совместимость с устаревшими серверами, если не будет изменена конфигурация (require-message-authenticator). Хотя это minor-обновление, наличие CVE и изменение поведения по умолчанию (отклонение ответов без аутентификатора) создает риск нарушения доступности сервисов, зависящих от legacy-серверов, если пользователи не обновят конфиги.

3. Security/CVE

Во входных данных явно указан CVE-2024-3596 (BLAST RADIUS). Обновление вводит обязательную проверку атрибута Message-Authenticator в полученных ответах и отклоняет ответы, не содержащие его, что является прямым исправлением уязвимости. Также отмечено, что скрипт обнаружил security-ключевые слова.

4. ABI/API риск

Данных недостаточно для автоматического анализа ABI/API.
Изменения касаются логики обработки протокола (отказ в приеме ответов без атрибута) и поддержки больших имен атрибутов в словарях. Для клиентских утилит это может потребовать изменения конфигурационных файлов, но прямых изменений в публичном API C-библиотеки или заголовочных файлах в release notes не указано. Требуется проверка diff исходного кода на предмет изменений в публичных интерфейсах.

5. Риск для RPM-сборки

Возможен риск в секции %check, если тесты зависят от конкретных версий словарей или поведения по умолчанию, которое изменилось. Изменение логики отклонения ответов (discard responses that lack...) может вызвать падение тестов, имитирующих работу с legacy-серверами, если они не настроены корректно. Также стоит проверить, не требуются ли новые зависимости для поддержки новых форматов атрибутов (хотя в notes это не указано явно).

6. Проверки мейнтейнера

Проверить diff исходного кода между 1.4.0 и 1.5.0 на предмет изменений в публичных заголовочных файлах (ABI/API).
Убедиться, что тесты (%check) проходят локально, особенно те, что проверяют обработку ошибок сети и TLS.
Проверить конфигурационные примеры в пакете: убедиться, что параметр require-message-authenticator документирован и имеет значение по умолчанию, соответствующее новой политике безопасности.
Подтвердить, что обновление не требует смены мажорной версии пакета в репозитории (согласно политике minor).

7. Рекомендация

update candidate

8. Основание рекомендации

Несмотря на наличие CVE и изменение поведения по умолчанию, обновление классифицировано как minor, политика leaf разрешает обновление, и policy_blocked равен False. Исправление безопасности критически важно для защиты от атак типа BLAST RADIUS. Риск блокировки legacy-серверов управляем через конфигурацию клиента, а не через отказ от обновления. Рекомендуется включить в кандидаты после прохождения ручных проверок конфигурации.

Upstream release notes / description

Send Message-Authenticator message unconditionally (#107)
Validate the Message-Authenticator attribute in received responses.
Per draft-ietf-radext-deprecating-radius (CVE-2024-3596 / BLAST RADIUS),
servers MUST include Message-Authenticator in all Access-Request responses
and clients MUST discard responses that lack or fail it. Responses missing
the attribute are therefore rejected by default. Set
'require-message-authenticator = no' in the client config to allow
responses from legacy servers that do not include this attribute.
Fix reconnection to a server that has closed the TLS connection (#89)
Allow large attribute names in dictionaries (#77)

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T23:10:53Z

# Upstream update available: `radcli` `1.4.0` → `1.5.0` ## Package - Package: `radcli` - RPM name: `radcli` - Branch: `niceos-5.2` - Current EVR: `1:1.4.0-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `radcli/radcli` - Upstream URL: https://github.com/radcli/radcli - Detected version: `1.5.0` - Tag/release: `1.5.0` - Source: `github_release_latest` - Published: `2026-04-06T16:56:48Z` - Release URL: https://github.com/radcli/radcli/releases/tag/1.5.0 - Source URL: https://api.github.com/repos/radcli/radcli/tarball/1.5.0 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление пакета `radcli` с версии 1.4.0 до 1.5.0 включает критические исправления безопасности, связанные с аутентификацией RADIUS (CVE-2024-3596), а также исправления стабильности для работы с TLS и словарями атрибутов. Обновление классифицировано как minor, но содержит security-critical изменения, требующие внимания при обновлении конфигурации клиентов. ### 2. Риск для НАЙС.ОС **medium**. Обновление затрагивает логику обработки сетевых ответов (RADIUS), что может повлиять на совместимость с устаревшими серверами, если не будет изменена конфигурация (`require-message-authenticator`). Хотя это minor-обновление, наличие CVE и изменение поведения по умолчанию (отклонение ответов без аутентификатора) создает риск нарушения доступности сервисов, зависящих от legacy-серверов, если пользователи не обновят конфиги. ### 3. Security/CVE Во входных данных явно указан **CVE-2024-3596** (BLAST RADIUS). Обновление вводит обязательную проверку атрибута `Message-Authenticator` в полученных ответах и отклоняет ответы, не содержащие его, что является прямым исправлением уязвимости. Также отмечено, что скрипт обнаружил security-ключевые слова. ### 4. ABI/API риск Данных недостаточно для автоматического анализа ABI/API. Изменения касаются логики обработки протокола (отказ в приеме ответов без атрибута) и поддержки больших имен атрибутов в словарях. Для клиентских утилит это может потребовать изменения конфигурационных файлов, но прямых изменений в публичном API C-библиотеки или заголовочных файлах в release notes не указано. Требуется проверка diff исходного кода на предмет изменений в публичных интерфейсах. ### 5. Риск для RPM-сборки Возможен риск в секции `%check`, если тесты зависят от конкретных версий словарей или поведения по умолчанию, которое изменилось. Изменение логики отклонения ответов (`discard responses that lack...`) может вызвать падение тестов, имитирующих работу с legacy-серверами, если они не настроены корректно. Также стоит проверить, не требуются ли новые зависимости для поддержки новых форматов атрибутов (хотя в notes это не указано явно). ### 6. Проверки мейнтейнера - [ ] Проверить `diff` исходного кода между 1.4.0 и 1.5.0 на предмет изменений в публичных заголовочных файлах (ABI/API). - [ ] Убедиться, что тесты (`%check`) проходят локально, особенно те, что проверяют обработку ошибок сети и TLS. - [ ] Проверить конфигурационные примеры в пакете: убедиться, что параметр `require-message-authenticator` документирован и имеет значение по умолчанию, соответствующее новой политике безопасности. - [ ] Подтвердить, что обновление не требует смены мажорной версии пакета в репозитории (согласно политике minor). ### 7. Рекомендация update candidate ### 8. Основание рекомендации Несмотря на наличие CVE и изменение поведения по умолчанию, обновление классифицировано как minor, политика `leaf` разрешает обновление, и `policy_blocked` равен False. Исправление безопасности критически важно для защиты от атак типа BLAST RADIUS. Риск блокировки legacy-серверов управляем через конфигурацию клиента, а не через отказ от обновления. Рекомендуется включить в кандидаты после прохождения ручных проверок конфигурации. ## Upstream release notes / description - Send Message-Authenticator message unconditionally (#107) - Validate the Message-Authenticator attribute in received responses. Per draft-ietf-radext-deprecating-radius (CVE-2024-3596 / BLAST RADIUS), servers MUST include Message-Authenticator in all Access-Request responses and clients MUST discard responses that lack or fail it. Responses missing the attribute are therefore rejected by default. Set 'require-message-authenticator = no' in the client config to allow responses from legacy servers that do not include this attribute. - Fix reconnection to a server that has closed the TLS connection (#89) - Allow large attribute names in dictionaries (#77) ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T23:10:53Z`

sbelikov added the

labels

2026-04-28 02:10:53 +03:00