rpms/sssd
1
0
Fork 0
Code Issues 1 Pull requests Projects Releases Packages Wiki Activity Actions

Upstream update available: sssd 2.11.1 → 2.13.0 #1

New issue
Open
opened 2026-04-28 02:18:58 +03:00 by sbelikov · 0 comments
sbelikov commented 2026-04-28 02:18:58 +03:00
Owner
Copy link

Upstream update available: sssd 2.11.12.13.0

Package

  • Package: sssd
  • RPM name: sssd
  • Branch: niceos-5.2
  • Current EVR: 2.11.1-1
  • Update class: minor
  • Compare method: python_rpm
  • Update policy: leaf
  • Risk tags: github-upstream

Upstream

Signals

  • Security-relevant keywords detected: True
  • Policy blocked: False
  • Policy reason: -
  • Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление пакета sssd с версии 2.11.1 до 2.13.0 включает критические исправления уязвимостей (out-of-bounds read, use-after-free, mem leak), а также значительные изменения в коде и тестовой инфраструктуре. Обновление классифицировано как minor, но наличие security-ключевых слов и исправлений памяти требует тщательной проверки перед применением.

2. Риск для НАЙС.ОС

medium. Несмотря на классификацию minor, обновление содержит исправления критических уязвимостей безопасности (CVE-подобные патчи) и изменения в логике работы модулей PAM/Kerberos. Автоматическое применение рискованно из-за потенциальных изменений в ABI библиотеки и зависимости от внешних компонентов (Samba, Fedora 44).

3. Security/CVE

Во входных данных присутствуют явные признаки исправлений уязвимостей безопасности, хотя конкретные CVE-идентификаторы не указаны:

  • pam: fix out-of-bounds read in pam_passkey_child_read_data (PR #8622).
  • KCM: fix use-after-free in kcm_read_options() (PR #8592).
  • KRB5: fix mem leak in authenticate_stored_users() (PR #8517).
  • src/sss_client/common.c: Use getpwnam_r to avoid clobbering struct passwd (PR #8487).
  • sdap: eliminate O(N^2) loop (PR #8454) — оптимизация, влияющая на стабильность при больших группах.
    Скрипт детектировал security-ключевые слова (security_keywords_detected_by_script: True).

4. ABI/API риск

Данных для точного определения ABI/API изменений недостаточно в предоставленном списке изменений.

  • Упоминается изменение поведения memberOf плагина и оптимизации sdap_add_incomplete_groups.
  • Изменения в pam модуле (PAC indicators, SIDs) могут повлиять на интеграцию с PAM-стеком.
  • Зависимость от samba-ndr-libs (начиная с Fedora 44) может потребовать обновления зависимостей в дистрибутиве.
    Необходим ручной ABI/API анализ перед утверждением.

5. Риск для RPM-сборки

  • Зависимости: PR #8372 указывает на необходимость наличия пакета samba-ndr-libs (для Fedora 44+). Если НАЙС.ОС использует более старые версии Samba или не имеет этого пакета, сборка может провалиться.
  • Платформенные спецификации: Изменения в platform.m4 и поддержка FreeBSD могут повлиять на кроссплатформенную сборку, если она поддерживается.
  • Тесты: Множество изменений в тестах (pytest, ipatests, GDM) могут привести к провалу %check этапа, если окружение тестирования не обновлено соответствующими версиями инструментов (например, Python black 26.1.0).

6. Проверки мейнтейнера

  • Проверить наличие пакета samba-ndr-libs в репозиториях НАЙС.ОС и совместимость с текущей версией Samba.
  • Провести полную сборку пакета (rpmbuild -ba) в изолированном окружении.
  • Запустить %check этап сборки и убедиться, что новые тесты проходят (особенно тесты PAM, Kerberos и LDAP).
  • Сравнить бинарные файлы ключевых компонентов (sssd, sssd_kcm, sssd_pam) с предыдущей версией на предмет изменений в интерфейсах.
  • Проверить логи сборки на наличие предупреждений о новых заголовках или отсутствующих символах.
  • Вручную протестировать функциональность PAM-аутентификации и Kerberos-билета в тестовом домене.

7. Рекомендация

blocked manual review

8. Основание рекомендации

Наличие критических исправлений памяти (use-after-free, out-of-bounds read) делает обновление важным, однако отсутствие конкретных CVE-номеров, потенциальные конфликты зависимостей (samba-ndr-libs) и необходимость проверки ABI/API для библиотеки sssd требуют обязательного ручного анализа мейнтейнером перед включением в репозиторий. Автоматическое обновление запрещено политикой для security-critical пакетов без подтверждения безопасности.

Upstream release notes / description

See full release notes here.

What's Changed

...[truncated 3468 chars]

NiceOS maintainer checklist

  • Confirm that the detected version is a stable upstream release.
  • Check upstream changelog for security fixes, ABI/API changes and build-system changes.
  • Check ABI/API compatibility and reverse dependencies.
  • Download source into NiceOS lookaside storage.
  • Update Version and related fields in SPECS/*.spec only if policy allows it.
  • Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
  • Build SRPM/RPM in a clean NiceOS buildroot.
  • Run package smoke tests.
  • Link PR/build logs and close this issue after update or triage.

Bot metadata

  • Tool: niceos_upstream_monitor.py 1.4
  • Generated at: 2026-04-27T23:18:58Z
<!-- niceos-upstream-monitor:fingerprint=upstream-update:sssd:2.13.0 --> <!-- niceos-upstream-monitor:package=sssd --> <!-- niceos-upstream-monitor:current=2.11.1 --> <!-- niceos-upstream-monitor:latest=2.13.0 --> # Upstream update available: `sssd` `2.11.1` → `2.13.0` ## Package - Package: `sssd` - RPM name: `sssd` - Branch: `niceos-5.2` - Current EVR: `2.11.1-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `SSSD/sssd` - Upstream URL: https://github.com/SSSD/sssd - Detected version: `2.13.0` - Tag/release: `2.13.0` - Source: `github_release_latest` - Published: `2026-04-27T13:22:58Z` - Release URL: https://github.com/SSSD/sssd/releases/tag/2.13.0 - Source URL: https://api.github.com/repos/SSSD/sssd/tarball/2.13.0 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление пакета `sssd` с версии 2.11.1 до 2.13.0 включает критические исправления уязвимостей (out-of-bounds read, use-after-free, mem leak), а также значительные изменения в коде и тестовой инфраструктуре. Обновление классифицировано как minor, но наличие security-ключевых слов и исправлений памяти требует тщательной проверки перед применением. ### 2. Риск для НАЙС.ОС **medium**. Несмотря на классификацию `minor`, обновление содержит исправления критических уязвимостей безопасности (CVE-подобные патчи) и изменения в логике работы модулей PAM/Kerberos. Автоматическое применение рискованно из-за потенциальных изменений в ABI библиотеки и зависимости от внешних компонентов (Samba, Fedora 44). ### 3. Security/CVE Во входных данных присутствуют явные признаки исправлений уязвимостей безопасности, хотя конкретные CVE-идентификаторы не указаны: - `pam: fix out-of-bounds read in pam_passkey_child_read_data` (PR #8622). - `KCM: fix use-after-free in kcm_read_options()` (PR #8592). - `KRB5: fix mem leak in authenticate_stored_users()` (PR #8517). - `src/sss_client/common.c: Use getpwnam_r to avoid clobbering struct passwd` (PR #8487). - `sdap: eliminate O(N^2) loop` (PR #8454) — оптимизация, влияющая на стабильность при больших группах. Скрипт детектировал security-ключевые слова (`security_keywords_detected_by_script: True`). ### 4. ABI/API риск Данных для точного определения ABI/API изменений недостаточно в предоставленном списке изменений. - Упоминается изменение поведения `memberOf` плагина и оптимизации `sdap_add_incomplete_groups`. - Изменения в `pam` модуле (PAC indicators, SIDs) могут повлиять на интеграцию с PAM-стеком. - Зависимость от `samba-ndr-libs` (начиная с Fedora 44) может потребовать обновления зависимостей в дистрибутиве. **Необходим ручной ABI/API анализ** перед утверждением. ### 5. Риск для RPM-сборки - **Зависимости**: PR #8372 указывает на необходимость наличия пакета `samba-ndr-libs` (для Fedora 44+). Если НАЙС.ОС использует более старые версии Samba или не имеет этого пакета, сборка может провалиться. - **Платформенные спецификации**: Изменения в `platform.m4` и поддержка FreeBSD могут повлиять на кроссплатформенную сборку, если она поддерживается. - **Тесты**: Множество изменений в тестах (`pytest`, `ipatests`, `GDM`) могут привести к провалу `%check` этапа, если окружение тестирования не обновлено соответствующими версиями инструментов (например, Python black 26.1.0). ### 6. Проверки мейнтейнера - [ ] Проверить наличие пакета `samba-ndr-libs` в репозиториях НАЙС.ОС и совместимость с текущей версией Samba. - [ ] Провести полную сборку пакета (`rpmbuild -ba`) в изолированном окружении. - [ ] Запустить `%check` этап сборки и убедиться, что новые тесты проходят (особенно тесты PAM, Kerberos и LDAP). - [ ] Сравнить бинарные файлы ключевых компонентов (sssd, sssd_kcm, sssd_pam) с предыдущей версией на предмет изменений в интерфейсах. - [ ] Проверить логи сборки на наличие предупреждений о новых заголовках или отсутствующих символах. - [ ] Вручную протестировать функциональность PAM-аутентификации и Kerberos-билета в тестовом домене. ### 7. Рекомендация **blocked manual review** ### 8. Основание рекомендации Наличие критических исправлений памяти (use-after-free, out-of-bounds read) делает обновление важным, однако отсутствие конкретных CVE-номеров, потенциальные конфликты зависимостей (`samba-ndr-libs`) и необходимость проверки ABI/API для библиотеки `sssd` требуют обязательного ручного анализа мейнтейнером перед включением в репозиторий. Автоматическое обновление запрещено политикой для security-critical пакетов без подтверждения безопасности. ## Upstream release notes / description [**See full release notes here.**](https://sssd.io/release-notes/sssd-2.13.0.html) ## What's Changed * removing netgroup intg test by @danlavu in https://github.com/SSSD/sssd/pull/8356 * Update version in version.m4 to track the next release by @pbrezina in https://github.com/SSSD/sssd/pull/8359 * Tests: Handle SELinux in proxy provider tests by @aborah-sudo in https://github.com/SSSD/sssd/pull/8348 * SPEC: since Fedora 44 Samba provides dedicated 'samba-ndr-libs' package by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8372 * SBUS: increase SBUS_MESSAGE_TIMEOUT to 5 mins by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8367 * tests: python black 26.1.0 style changes by @justin-stephenson in https://github.com/SSSD/sssd/pull/8379 * Add GDM Smartcard tests by @spoore1 in https://github.com/SSSD/sssd/pull/8216 * Makefile cleanup by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8354 * FreeBSD CI: Switch to 15.0-RELEASE and enable testing by @arrowd in https://github.com/SSSD/sssd/pull/8306 * scripts: fetch branch before checkout in release script by @pbrezina in https://github.com/SSSD/sssd/pull/8394 * Add OAuth2 prompting config by @eisenmann-b1 in https://github.com/SSSD/sssd/pull/8251 * krb5_child: fix enterprise principal parsing in keep-alive sessions by @ikerexxe in https://github.com/SSSD/sssd/pull/8351 * Config rules: allow 'ldap_subuid_*' attrs by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8403 * krb5: check for PIN locked in error message by @sumit-bose in https://github.com/SSSD/sssd/pull/8398 * RESPONDER: fix `responder_set_fd_limit()` by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8371 * platform.m4: Fix case when we have to source /etc/os-release by @arrowd in https://github.com/SSSD/sssd/pull/8397 * PO: remove stray </arg> from translation by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8413 * Fix libini_config related includes. by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8409 * Refactor sdap_cli_connect by @pbrezina in https://github.com/SSSD/sssd/pull/8282 * Test: Update misc ipa tests to work correctly on stig by @jakub-vavra-cz in https://github.com/SSSD/sssd/pull/8421 * CHILD HELPERS: use less severe debug level by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8416 * man: add details about 'an2ln' by @sumit-bose in https://github.com/SSSD/sssd/pull/8396 * updating subid test case to test provider_ldap config by @danlavu in https://github.com/SSSD/sssd/pull/8400 * sdap: do not require GID for non-POSIX group by @sumit-bose in https://github.com/SSSD/sssd/pull/8442 * Bunch of assorted perf improvements of hot path functions by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8447 * tests: reorganize infopipe tests by interface by @aborah-sudo in https://github.com/SSSD/sssd/pull/8451 * systemd: relaunch sssd after unclean exit by @Squiddim in https://github.com/SSSD/sssd/pull/8407 * ci: Skip GPG checks when installing sssd build by @justin-stephenson in https://github.com/SSSD/sssd/pull/8465 * Fix compilation errors by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8469 * sdap: eliminate O(N^2) loop in `sdap_add_incomplete_groups()` by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8454 * tests: Fix test_sudo__case_sensitive_false: use /bin/ls and /bin/cat instead of less/more by @madhuriupadhye in https://github.com/SSSD/sssd/pull/8449 * FreeBSD CI: Pass correct paths to adcli and realm programs by @arrowd in https://github.com/SSSD/sssd/pull/8472 * sdap_select_principal_from_keytab_sync: waitpid() synchronously by @arrowd in https://github.com/SSSD/sssd/pull/8473 * get_client_cred: Pass correct option level value on FreeBSD by @arrowd in https://github.com/SSSD/sssd/pull/8471 * LDAP: free tmp var within the loop by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8484 * adding sss_ssh_knownhosts test case by @danlavu in https://github.com/SSSD/sssd/pull/8448 * ci: load kernel module for passkey testing with vfido by @ikerexxe in https://github.com/SSSD/sssd/pull/8489 * src/sss_client/common.c: Use getpwnam_r to avoid clobbering struct passwd by @salahcoronya in https://github.com/SSSD/sssd/pull/8487 * ci: bump actions/upload-artifact from 6 to 7 by @dependabot[bot] in https://github.com/SSSD/sssd/pull/8486 * memberOf plugin :: mbof_add_operation() optimizations by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8464 * Add support for Plasma Login Manager as a supported PAM service by @Conan-Kudo in https://github.com/SSSD/sssd/pull/8506 * updated kcm flaky test by @danlavu in https://github.com/SSSD/sssd/pull/8508 * Use macro rather than shell expansion for string processing in spec file by @nforro in https://github.com/SSSD/sssd/pull/8511 * Generalize combined user and group lookup by @sumit-bose in https://github.com/SSSD/sssd/pull/8127 * Tests: Fix ipa multihost test_authentication_indicators by @aborah-sudo in https://github.com/SSSD/sssd/pull/8525 * KRB5: fix mem leak in `authenticate_stored_users()` by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8517 * SDAP: reduce logger load in the hot paths by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8540 * KRB5: log level adjusted by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8548 * Test: combine gdm tests into one file by @spoore1 in https://github.com/SSSD/sssd/pull/8543 * Honor ldap filters by @ondrejv2 in https://github.com/SSSD/sssd/pull/8534 * krb5: improve reporting failure on reading keytab by @257 in https://github.com/SSSD/sssd/pull/8530 * Improve the performance when using enumeration by @aplopez in https://github.com/SSSD/sssd/pull/8395 * memberOf plugin: avoid `ldb_dn_compare()` in `mbof_append_addop()` by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8546 * memberOf plugin: `mbof_append_muop()` optimization by @alexey-tikhonov in https://github.com/SSSD/sssd/pull/8551 * Tests: Add integration tests validating SS ...[truncated 3468 chars] ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T23:18:58Z`
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
niceos-5.2
No results found.
Labels
Clear labels   
ai-summary
Issue contains local NiceSOFT AI generated preliminary analysis

  
bot
Created by automation

  
needs-build
Needs build verification

  
needs-triage
Needs maintainer triage

  
priority/high
High priority

  
security-release
Release notes mention security fixes or CVE

  
update/minor
Minor update

  
upstream-update
New upstream version is available

  
upstream/github
GitHub upstream

No labels
ai-summary
bot
needs-build
needs-triage
priority/high
security-release
update/minor
upstream-update
upstream/github
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
rpms/sssd#1
No description provided.