rpms/runc

Fork 0

Upstream update available: runc 1.3.0 → 1.4.2 #1

New issue

Open

opened 2026-04-28 02:13:12 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 02:13:12 +03:00

Owner

Upstream update available: `runc` `1.3.0` → `1.4.2`

Package

Package: runc
RPM name: runc
Branch: niceos-5.2
Current EVR: 1.3.0-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: opencontainers/runc
Upstream URL: https://github.com/opencontainers/runc
Detected version: 1.4.2
Tag/release: v1.4.2
Source: github_release_latest
Published: 2026-04-03T00:18:14Z
Release URL: https://github.com/opencontainers/runc/releases/tag/v1.4.2
Source URL: https://api.github.com/repos/opencontainers/runc/tarball/v1.4.2
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Это второе патч-обновление серии 1.4.x, решающее регрессию в запуске контейнеров (runc exec/run) и оптимизирующее управление файловыми дескрипторами при монтировании. Обновление включает статически скомпилированную версию libseccomp под лицензией LGPL-2.1, что требует внимания к соблюдению условий лицензии в дистрибутиве.

2. Риск для НАЙС.ОС

medium.
Обновление исправляет критические функциональные баги (зависание процессов), что повышает стабильность системы. Однако наличие статически встроенной версии libseccomp (библиотека безопасности) в бинарнике создает риски нарушения условий лицензии LGPL-2.1 (§6(a)) и потенциальные проблемы с обновлением самой библиотеки безопасности через стандартные механизмы RPM-репозиториев.

3. Security/CVE

Во входных данных нет явных упоминаний конкретных CVE или идентификаторов уязвимостей. Упоминание security_keywords_detected_by_script: True указывает на то, что скрипт обнаружил потенциально опасные паттерны (вероятно, связанные с исправлением уязвимости в libseccomp или логике запуска), но конкретные номера уязвимостей в тексте релизов не указаны. Требуется проверка истории коммитов upstream для подтверждения наличия закрытых CVE.

4. ABI/API риск

Для самого бинарного файла runc (CLI-инструмент) риск минимален, так как это обновление патч-уровня внутри мажорной ветки. Однако статическая компиляция libseccomp означает, что обновления этой библиотеки безопасности не будут применяться автоматически через обновление зависимостей RPM. Необходим ручной анализ совместимости интерфейсов, если в будущем планируется динамическое использование libseccomp или изменение сигнатур вызовов внутри runc.

5. Риск для RPM-сборки

Возможен конфликт с текущей версией libseccomp, установленной в системе сборки, если она отличается от той, которая была использована при статической линковке в upstream. В specfile может потребоваться проверка %check на корректность работы с новыми условиями монтирования. Также необходимо убедиться, что в License или LicenseExceptions полях RPM-пакета корректно отражено использование LGPL-2.1 кода.

6. Проверки мейнтейнера

Проверить историю коммитов upstream между 1.3.0 и 1.4.2 на наличие закрытых CVE (особенно связанных с libseccomp).
Убедиться, что в specfile нет жесткой привязки к конкретной версии libseccomp в BuildRequires, если используется статическая сборка (или наоборот, проверить логику сборки).
Проверить соблюдение условий LGPL-2.1: наличие исходного кода libseccomp в источниках пакета или указание на возможность его получения.
Протестировать сценарии runc exec и runc run с коротким временем жизни процесса в тестовой среде.
Проверить лимит открытых файлов (ulimit) при запуске контейнеров с большим количеством монтирований.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление является патч-версией (minor), решающей критические баги стабильности и производительности. Несмотря на наличие статического компонента безопасности, это стандартная практика для runc, а условия лицензии соблюдены (источник кода прилагается). Риски автоматического обновления минимальны, так как это не major-обновление toolchain и не замена критических системных библиотек динамически. Рекомендуется включить в цикл обновлений после прохождения стандартных тестов.

Upstream release notes / description

This is the second patch release of the 1.4.z release series of runc.

Fixed

A regression in runc v1.3.0 which can result in a stuck runc exec or
runc run when the container process runs for a short time. (#5208,
#5210, #5216)
Mount sources that need to be open on the host are now closed earlier during
container start, reducing the total amount of used file descriptors and
helping to avoid hitting the open files limit when handling many such mounts.
(#5177, #5201)

Static Linking Notices

The runc binary distributed with this release are statically linked with
the following GNU LGPL-2.1 licensed libraries, with runc acting
as a "work that uses the Library":

libseccomp

The versions of these libraries were not modified from their upstream versions,
but in order to comply with the LGPL-2.1 (§6(a)), we have attached the
complete source code for those libraries which (when combined with the attached
runc source code) may be used to exercise your rights under the LGPL-2.1.

However we strongly suggest that you make use of your distribution's packages
or download them from the authoritative upstream sources, especially since
these libraries are related to the security of your containers.

Thanks to the following contributors for making this release possible:

Ayato Tokubi atokubi@redhat.com
Akihiro Suda akihiro.suda.cz@hco.ntt.co.jp
Aleksa Sarai cyphar@cyphar.com
Kir Kolyshkin kolyshkin@gmail.com
Li Fubang lifubang@acmcoder.com
Rodrigo Campos Catelin rodrigo@amutable.com

Signed-off-by: Kir Kolyshkin kolyshkin@gmail.com

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T23:13:12Z

# Upstream update available: `runc` `1.3.0` → `1.4.2` ## Package - Package: `runc` - RPM name: `runc` - Branch: `niceos-5.2` - Current EVR: `1.3.0-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `opencontainers/runc` - Upstream URL: https://github.com/opencontainers/runc - Detected version: `1.4.2` - Tag/release: `v1.4.2` - Source: `github_release_latest` - Published: `2026-04-03T00:18:14Z` - Release URL: https://github.com/opencontainers/runc/releases/tag/v1.4.2 - Source URL: https://api.github.com/repos/opencontainers/runc/tarball/v1.4.2 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Это второе патч-обновление серии 1.4.x, решающее регрессию в запуске контейнеров (`runc exec/run`) и оптимизирующее управление файловыми дескрипторами при монтировании. Обновление включает статически скомпилированную версию `libseccomp` под лицензией LGPL-2.1, что требует внимания к соблюдению условий лицензии в дистрибутиве. ### 2. Риск для НАЙС.ОС **medium**. Обновление исправляет критические функциональные баги (зависание процессов), что повышает стабильность системы. Однако наличие статически встроенной версии `libseccomp` (библиотека безопасности) в бинарнике создает риски нарушения условий лицензии LGPL-2.1 (§6(a)) и потенциальные проблемы с обновлением самой библиотеки безопасности через стандартные механизмы RPM-репозиториев. ### 3. Security/CVE Во входных данных **нет** явных упоминаний конкретных CVE или идентификаторов уязвимостей. Упоминание `security_keywords_detected_by_script: True` указывает на то, что скрипт обнаружил потенциально опасные паттерны (вероятно, связанные с исправлением уязвимости в `libseccomp` или логике запуска), но конкретные номера уязвимостей в тексте релизов не указаны. Требуется проверка истории коммитов upstream для подтверждения наличия закрытых CVE. ### 4. ABI/API риск Для самого бинарного файла `runc` (CLI-инструмент) риск минимален, так как это обновление патч-уровня внутри мажорной ветки. Однако статическая компиляция `libseccomp` означает, что обновления этой библиотеки безопасности не будут применяться автоматически через обновление зависимостей RPM. Необходим ручной анализ совместимости интерфейсов, если в будущем планируется динамическое использование `libseccomp` или изменение сигнатур вызовов внутри `runc`. ### 5. Риск для RPM-сборки Возможен конфликт с текущей версией `libseccomp`, установленной в системе сборки, если она отличается от той, которая была использована при статической линковке в upstream. В `specfile` может потребоваться проверка `%check` на корректность работы с новыми условиями монтирования. Также необходимо убедиться, что в `License` или `LicenseExceptions` полях RPM-пакета корректно отражено использование LGPL-2.1 кода. ### 6. Проверки мейнтейнера - [ ] Проверить историю коммитов upstream между 1.3.0 и 1.4.2 на наличие закрытых CVE (особенно связанных с `libseccomp`). - [ ] Убедиться, что в `specfile` нет жесткой привязки к конкретной версии `libseccomp` в `BuildRequires`, если используется статическая сборка (или наоборот, проверить логику сборки). - [ ] Проверить соблюдение условий LGPL-2.1: наличие исходного кода `libseccomp` в источниках пакета или указание на возможность его получения. - [ ] Протестировать сценарии `runc exec` и `runc run` с коротким временем жизни процесса в тестовой среде. - [ ] Проверить лимит открытых файлов (`ulimit`) при запуске контейнеров с большим количеством монтирований. ### 7. Рекомендация **update candidate** ### 8. Основание рекомендации Обновление является патч-версией (minor), решающей критические баги стабильности и производительности. Несмотря на наличие статического компонента безопасности, это стандартная практика для `runc`, а условия лицензии соблюдены (источник кода прилагается). Риски автоматического обновления минимальны, так как это не major-обновление toolchain и не замена критических системных библиотек динамически. Рекомендуется включить в цикл обновлений после прохождения стандартных тестов. ## Upstream release notes / description This is the second patch release of the 1.4.z release series of runc. ### Fixed ### - A regression in runc v1.3.0 which can result in a stuck `runc exec` or `runc run` when the container process runs for a short time. (#5208, #5210, #5216) - Mount sources that need to be open on the host are now closed earlier during container start, reducing the total amount of used file descriptors and helping to avoid hitting the open files limit when handling many such mounts. (#5177, #5201) ### Static Linking Notices ### The `runc` binary distributed with this release are *statically linked* with the following [GNU LGPL-2.1][lgpl-2.1] licensed libraries, with `runc` acting as a "work that uses the Library": [lgpl-2.1]: https://www.gnu.org/licenses/old-licenses/lgpl-2.1.en.html - [libseccomp](https://github.com/seccomp/libseccomp) The versions of these libraries were not modified from their upstream versions, but in order to comply with the LGPL-2.1 (§6(a)), we have attached the complete source code for those libraries which (when combined with the attached runc source code) may be used to exercise your rights under the LGPL-2.1. However we strongly suggest that you make use of your distribution's packages or download them from the authoritative upstream sources, especially since these libraries are related to the security of your containers. ---- Thanks to the following contributors for making this release possible: * Ayato Tokubi <atokubi@redhat.com> * Akihiro Suda <akihiro.suda.cz@hco.ntt.co.jp> * Aleksa Sarai <cyphar@cyphar.com> * Kir Kolyshkin <kolyshkin@gmail.com> * Li Fubang <lifubang@acmcoder.com> * Rodrigo Campos Catelin <rodrigo@amutable.com> Signed-off-by: Kir Kolyshkin <kolyshkin@gmail.com> ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T23:13:12Z`

sbelikov added the

labels

2026-04-28 02:13:12 +03:00