rpms/tpm2-pkcs11
1
0
Fork 0
Code Issues 1 Pull requests Projects Releases Packages Wiki Activity Actions

Upstream update available: tpm2-pkcs11 1.9.1 → 1.9.2 #1

New issue
Open
opened 2026-04-28 02:21:56 +03:00 by sbelikov · 0 comments
sbelikov commented 2026-04-28 02:21:56 +03:00
Owner
Copy link

Upstream update available: tpm2-pkcs11 1.9.11.9.2

Package

  • Package: tpm2-pkcs11
  • RPM name: tpm2-pkcs11
  • Branch: niceos-5.2
  • Current EVR: 1.9.1-1
  • Update class: patch
  • Compare method: python_rpm
  • Update policy: leaf
  • Risk tags: github-upstream

Upstream

Signals

  • Security-relevant keywords detected: False
  • Policy blocked: False
  • Policy reason: -
  • Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление пакета tpm2-pkcs11 с версии 1.9.1 до 1.9.2 классифицируется как патч-уровня и содержит исправления критических ошибок, включая утечку памяти и отсутствие механизма SHA1-RSA-PKCS. Обновление также добавляет функциональность импорта постоянных ключей TPM2 через tpm2_ptool. Автоматическое применение не рекомендуется без предварительной проверки ABI и тестирования сборки.

2. Риск для НАЙС.ОС

Оценка: medium
Обоснование: Хотя обновление помечено как patch, наличие исправления утечки памяти (Fix memory leak) и добавления нового криптографического механизма (SHA1-RSA-PKCS) повышает уровень риска. Изменение логики работы tpm2_ptool (успешное уничтожение команд, импорт ключей) может повлиять на поведение приложений, зависящих от этих утилит. Отсутствие явных тегов безопасности в скрипте анализа не исключает потенциальных уязвимостей, требующих ручного аудита кода.

3. Security/CVE

Во входных данных отсутствуют явные указания на наличие CVE или прямые признаки уязвимостей безопасности (security_keywords_detected_by_script: False). Однако исправление "Missing SHA1-RSA-PKCS" и "memory leak" косвенно указывает на проблемы с безопасностью и стабильностью, которые могут быть связаны с уязвимостями, но конкретные CVE не идентифицированы в предоставленном тексте.

4. ABI/API риск

Нужен ручной ABI/API анализ.
В release notes указано добавление поддержки импорта постоянных ключей (Add support for importing persistent TPM2 keys) и изменение логики обработки команд (destroy, --label). Для библиотеки PKCS#11 это может означать изменения в структуре объектов или поведении функций, что потенциально нарушает ABI-совместимость для клиентов, ожидающих строгого поведения старых версий. Исправление утечки памяти также требует проверки, чтобы оно не изменило сигнатуры функций или порядок освобождения ресурсов в публичном API.

5. Риск для RPM-сборки

Вероятны проблемы со сборкой из-за изменений в конфигурации и зависимостях:

  • Configure: Упомянуты исправления обнаружения javac и модуля Python pkcs11. Если в системе сборки отсутствуют эти компоненты или их версии изменились, сборка может упасть.
  • BuildRequires: Возможно потребуется обновление зависимостей от Python или инструментов сборки, если они были затронуты логикой конфигурации.
  • %check: Исправление предупреждений setup.py ("Unknown distribution option") может изменить вывод тестов или логику выполнения %check, требуя обновления патчей или скриптов тестирования.
  • Документация: Исправление ссылок может потребовать пересборки документации или обновления файлов внутри пакета.

6. Проверки мейнтейнера

  • Проверить наличие javac и модуля pkcs11 в окружении сборки; при необходимости добавить BuildRequires.
  • Провести rpmlint и проверку спецификации на предмет новых зависимостей или изменений в %prep/%build.
  • Выполнить локальную сборку пакета и запуск всех тестов (%check), особенно связанных с Python и TPM.
  • Проверить поведение утилиты tpm2_ptool (команды destroy и импорт ключей) в изолированной среде.
  • Аудит кода на предмет исправленной утечки памяти и корректности реализации механизма SHA1-RSA-PKCS.
  • Убедиться, что предупреждения setup.py устранены и не влияют на результат сборки.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление содержит важные исправления безопасности (утечка памяти, недостающий механизм шифрования) и функциональности, которые должны быть внедрены. Несмотря на риски ABI и сложности сборки, классификация patch и отсутствие блокирующих политик позволяют рекомендовать статус кандидата после прохождения обязательных проверок мейнтейнера (ABI, сборка, тесты). Автоматическое обновление отложено до подтверждения совместимости.

Upstream release notes / description

[1.9.2] - 2025-09-29

Fixed:

  • Fix tpm2_ptool destroy command failures.
  • Warning "UserWarning: Unknown distribution option: 'tests_require'" from setup.py.
  • Missing SHA1-RSA-PKCS from CKM_ALLOWED_MECHANISMS.
  • In tests requiring Python, don't override HOME as it may be needed for user installed packages.
  • Certificate finding logic in pkcs11-tool usage where --label was used instead of --token-label.
  • Configure: Fix detection of javac.
  • Configure: Fix detection of pkcs11 python module.
  • Fix incorrect logging statement in create_pkcs_store.sh.
  • Fix links in documentation.
  • Fix OpenSuse Leap CI builds.
  • Fix improper handling of chunks across IV multi-part handling.
  • Fix memory leak.

Added

  • Add support for importing persistent TPM2 keys with tpm2_ptool.

NiceOS maintainer checklist

  • Confirm that the detected version is a stable upstream release.
  • Check upstream changelog for security fixes, ABI/API changes and build-system changes.
  • Check ABI/API compatibility and reverse dependencies.
  • Download source into NiceOS lookaside storage.
  • Update Version and related fields in SPECS/*.spec only if policy allows it.
  • Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
  • Build SRPM/RPM in a clean NiceOS buildroot.
  • Run package smoke tests.
  • Link PR/build logs and close this issue after update or triage.

Bot metadata

  • Tool: niceos_upstream_monitor.py 1.4
  • Generated at: 2026-04-27T23:21:56Z
<!-- niceos-upstream-monitor:fingerprint=upstream-update:tpm2-pkcs11:1.9.2 --> <!-- niceos-upstream-monitor:package=tpm2-pkcs11 --> <!-- niceos-upstream-monitor:current=1.9.1 --> <!-- niceos-upstream-monitor:latest=1.9.2 --> # Upstream update available: `tpm2-pkcs11` `1.9.1` → `1.9.2` ## Package - Package: `tpm2-pkcs11` - RPM name: `tpm2-pkcs11` - Branch: `niceos-5.2` - Current EVR: `1.9.1-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `tpm2-software/tpm2-pkcs11` - Upstream URL: https://github.com/tpm2-software/tpm2-pkcs11 - Detected version: `1.9.2` - Tag/release: `1.9.2` - Source: `github_release_latest` - Published: `2025-09-30T14:30:00Z` - Release URL: https://github.com/tpm2-software/tpm2-pkcs11/releases/tag/1.9.2 - Source URL: https://api.github.com/repos/tpm2-software/tpm2-pkcs11/tarball/1.9.2 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление пакета `tpm2-pkcs11` с версии 1.9.1 до 1.9.2 классифицируется как патч-уровня и содержит исправления критических ошибок, включая утечку памяти и отсутствие механизма SHA1-RSA-PKCS. Обновление также добавляет функциональность импорта постоянных ключей TPM2 через `tpm2_ptool`. Автоматическое применение не рекомендуется без предварительной проверки ABI и тестирования сборки. ### 2. Риск для НАЙС.ОС **Оценка:** medium **Обоснование:** Хотя обновление помечено как `patch`, наличие исправления утечки памяти (`Fix memory leak`) и добавления нового криптографического механизма (`SHA1-RSA-PKCS`) повышает уровень риска. Изменение логики работы `tpm2_ptool` (успешное уничтожение команд, импорт ключей) может повлиять на поведение приложений, зависящих от этих утилит. Отсутствие явных тегов безопасности в скрипте анализа не исключает потенциальных уязвимостей, требующих ручного аудита кода. ### 3. Security/CVE Во входных данных отсутствуют явные указания на наличие CVE или прямые признаки уязвимостей безопасности (security_keywords_detected_by_script: False). Однако исправление "Missing SHA1-RSA-PKCS" и "memory leak" косвенно указывает на проблемы с безопасностью и стабильностью, которые могут быть связаны с уязвимостями, но конкретные CVE не идентифицированы в предоставленном тексте. ### 4. ABI/API риск Нужен ручной ABI/API анализ. В release notes указано добавление поддержки импорта постоянных ключей (`Add support for importing persistent TPM2 keys`) и изменение логики обработки команд (`destroy`, `--label`). Для библиотеки PKCS#11 это может означать изменения в структуре объектов или поведении функций, что потенциально нарушает ABI-совместимость для клиентов, ожидающих строгого поведения старых версий. Исправление утечки памяти также требует проверки, чтобы оно не изменило сигнатуры функций или порядок освобождения ресурсов в публичном API. ### 5. Риск для RPM-сборки Вероятны проблемы со сборкой из-за изменений в конфигурации и зависимостях: - **Configure:** Упомянуты исправления обнаружения `javac` и модуля Python `pkcs11`. Если в системе сборки отсутствуют эти компоненты или их версии изменились, сборка может упасть. - **BuildRequires:** Возможно потребуется обновление зависимостей от Python или инструментов сборки, если они были затронуты логикой конфигурации. - **%check:** Исправление предупреждений `setup.py` ("Unknown distribution option") может изменить вывод тестов или логику выполнения `%check`, требуя обновления патчей или скриптов тестирования. - **Документация:** Исправление ссылок может потребовать пересборки документации или обновления файлов внутри пакета. ### 6. Проверки мейнтейнера - [ ] Проверить наличие `javac` и модуля `pkcs11` в окружении сборки; при необходимости добавить `BuildRequires`. - [ ] Провести `rpmlint` и проверку спецификации на предмет новых зависимостей или изменений в `%prep`/`%build`. - [ ] Выполнить локальную сборку пакета и запуск всех тестов (`%check`), особенно связанных с Python и TPM. - [ ] Проверить поведение утилиты `tpm2_ptool` (команды `destroy` и импорт ключей) в изолированной среде. - [ ] Аудит кода на предмет исправленной утечки памяти и корректности реализации механизма SHA1-RSA-PKCS. - [ ] Убедиться, что предупреждения `setup.py` устранены и не влияют на результат сборки. ### 7. Рекомендация update candidate ### 8. Основание рекомендации Обновление содержит важные исправления безопасности (утечка памяти, недостающий механизм шифрования) и функциональности, которые должны быть внедрены. Несмотря на риски ABI и сложности сборки, классификация `patch` и отсутствие блокирующих политик позволяют рекомендовать статус кандидата после прохождения обязательных проверок мейнтейнера (ABI, сборка, тесты). Автоматическое обновление отложено до подтверждения совместимости. ## Upstream release notes / description ## [1.9.2] - 2025-09-29 ### Fixed: - Fix tpm2\_ptool destroy command failures. - Warning "UserWarning: Unknown distribution option: 'tests\_require'" from setup.py. - Missing SHA1-RSA-PKCS from CKM\_ALLOWED\_MECHANISMS. - In tests requiring Python, don't override HOME as it may be needed for user installed packages. - Certificate finding logic in pkcs11-tool usage where `--label` was used instead of `--token-label`. - Configure: Fix detection of javac. - Configure: Fix detection of pkcs11 python module. - Fix incorrect logging statement in create\_pkcs\_store.sh. - Fix links in documentation. - Fix OpenSuse Leap CI builds. - Fix improper handling of chunks across IV multi-part handling. - Fix memory leak. ### Added - Add support for importing persistent TPM2 keys with tpm2\_ptool. ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T23:21:56Z`
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
niceos-5.2
No results found.
Labels
Clear labels   
ai-summary
Issue contains local NiceSOFT AI generated preliminary analysis

  
bot
Created by automation

  
needs-build
Needs build verification

  
needs-triage
Needs maintainer triage

  
priority/medium
Medium priority

  
update/patch
Patch-level update

  
upstream-update
New upstream version is available

  
upstream/github
GitHub upstream

No labels
ai-summary
bot
needs-build
needs-triage
priority/medium
update/patch
upstream-update
upstream/github
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
rpms/tpm2-pkcs11#1
No description provided.