rpms/tpm2-pkcs11

Fork 0

Upstream update available: tpm2-pkcs11 1.9.1 → 1.9.2 #2

New issue

Open

opened 2026-05-02 15:24:29 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-05-02 15:24:29 +03:00

Owner

Upstream update available: `tpm2-pkcs11` `1.9.1` → `1.9.2`

Package

Package: tpm2-pkcs11
RPM name: tpm2-pkcs11
Branch: niceos-5.2
Current EVR: 1.9.1-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: tpm2-software/tpm2-pkcs11
Upstream URL: github.com — tpm2 pkcs11
Detected version: 1.9.2
Tag/release: 1.9.2
Source: github_release_latest
Published: 2025-09-30T14:30:00Z
Release URL: github.com — 1.9.2
Source URL: api.github.com — 1.9.2
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Upstream выпустил tpm2-pkcs11 1.9.2, это patch-обновление относительно 1.9.1. По доступным данным релиз содержит в основном исправления и одну добавленную возможность, без подтверждённых ABI/API-breaking изменений. Для НАЙС.ОС это manual review: обновление выглядит потенциально приемлемым для stable-ветки, но есть пользовательски заметные изменения в tpm2_ptool и поведении pkcs11-tool, которые стоит быстро проверить перед merge.

2. Риск для НАЙС.ОС

Risk: medium.

Обоснование:

это patch-level update для leaf-пакета, что обычно соответствует enterprise-политике стабильных дистрибутивов;
upstream-изменения в основном исправляющие, без подтверждённых CVE и без явных сообщений о breakage;
однако есть изменения поведения в token lifecycle и certificate lookup, которые могут затронуть существующие сценарии использования;
для RHEL-like ветки разумно не блокировать, но и не принимать без smoke-тестов.

3. Что изменилось upstream

По release notes 1.9.2:

исправлены ошибки в tpm2_ptool destroy;
исправлено предупреждение упаковки tests_require из setup.py;
восстановлен SHA1-RSA-PKCS в CKM_ALLOWED_MECHANISMS;
Python-тесты больше не переопределяют HOME;
исправлен поиск сертификата в pkcs11-tool: теперь используется --token-label вместо --label;
исправлено определение javac;
исправлено определение Python-модуля pkcs11;
исправлен logging statement в create_pkcs_store.sh;
исправлены documentation links;
исправлены OpenSuse Leap CI builds;
исправлена обработка multipart IV chunk;
исправлена memory leak;
добавлена поддержка импорта persistent TPM2 keys через tpm2_ptool.

Факты по релизу:

версия 1.9.2 выпущена 2025-09-29;
tag отмечен как verified;
upstream commit: b95c802.

4. Security/CVE

Подтверждённых CVE или GitHub security advisory для 1.9.2 в проверенных источниках не найдено.

Есть исправления memory leak и механизма SHA1-RSA-PKCS, но release notes не квалифицируют их как security fixes, поэтому считать обновление security-driven нельзя без дополнительных данных.

5. ABI/API/CLI/config риск

Риск: low to medium.

Что видно по источникам:

явных удалений команд, CLI-опций, ABI/API-breaks или default reversals upstream не заявлено;
релиз добавляет новый сценарий: импорт persistent TPM2 keys в tpm2_ptool;
фикс pkcs11-tool меняет логику поиска сертификата с --label на --token-label, что может изменить поведение у пользователей, которые сталкивались с прежним ошибочным lookup;
восстановление SHA1-RSA-PKCS расширяет список поддерживаемых механизмов, это скорее compatibility improvement.

6. Риск для RPM-сборки и dist-git

Что проверить:

SPECS/tpm2-pkcs11.spec: обновить Version на 1.9.2, проверить Source0/%{version}-зависимый tarball URL;
убедиться, что dist-git не содержит downstream patch stack, завязанный на 1.9.1;
проверить, не изменился ли формат upstream tarball и не нужны ли корректировки sha256/source lock;
перепроверить BuildRequires и Requires, особенно:
- tpm2-pytss >= 2.2.1
- tpm2-tools
- tpm2-tss-devel
- python3-*
- sqlite-devel
- openssl-devel
- tpm2-abrmd-devel
запустить %check, если он включён в spec;
проверить SBOM/metadata, если у НАЙС.ОС они генерируются на уровне dist-git;
сравнить SOURCES и возможные checksums/locks с текущим релизом.

7. Риск для системы и зависимых компонентов

Риск: low to medium.

Потенциальное влияние:

tpm2_ptool destroy затрагивает lifecycle токенов и ключей, поэтому исправление может менять результат уже существующих automation-scripts;
новый persistent key import может быть использован пользователями и скриптами, но это additive change;
исправление pkcs11-tool lookup может повлиять на интеграции с OpenSC/OpenSC-like tooling и certificate selection;
fixes для multipart IV handling и memory leak — положительно влияют на стабильность runtime;
reverse dependencies и system services по имеющимся данным не затронуты напрямую, но smoke-тест полезен.

8. Проверки мейнтейнера

Checklist перед PR/merge:

обновить Version до 1.9.2 в spec;
проверить, что Source0 корректно собирается по %{version};
сверить checksum/lock для source tarball;
убедиться, что downstream patches либо не нужны, либо корректно перенесены;
проверить BuildRequires/Requires на отсутствие новых зависимостей;
прогнать rpmbuild/mock build;
выполнить %check, если он есть;
smoke-test:
- tpm2_ptool create
- tpm2_ptool destroy
- certificate lookup через pkcs11-tool
- базовый token/key workflow
проверить, не ломается ли сборка на нашей целевой ветке niceos-5.2;
обновить changelog/metadata при необходимости.

9. Рекомендация

manual review

10. Источники

Источники, найденные web_search

Upstream release notes / description

[1.9.2] - 2025-09-29

Fixed:

Fix tpm2_ptool destroy command failures.
Warning "UserWarning: Unknown distribution option: 'tests_require'" from setup.py.
Missing SHA1-RSA-PKCS from CKM_ALLOWED_MECHANISMS.
In tests requiring Python, don't override HOME as it may be needed for user installed packages.
Certificate finding logic in pkcs11-tool usage where --label was used instead of --token-label.
Configure: Fix detection of javac.
Configure: Fix detection of pkcs11 python module.
Fix incorrect logging statement in create_pkcs_store.sh.
Fix links in documentation.
Fix OpenSuse Leap CI builds.
Fix improper handling of chunks across IV multi-part handling.
Fix memory leak.

Added

Add support for importing persistent TPM2 keys with tpm2_ptool.

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 2.1.2-openai-deep
Generated at: 2026-05-02T12:24:24Z

# Upstream update available: `tpm2-pkcs11` `1.9.1` → `1.9.2` ## Package - Package: `tpm2-pkcs11` - RPM name: `tpm2-pkcs11` - Branch: `niceos-5.2` - Current EVR: `1.9.1-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `tpm2-software/tpm2-pkcs11` - Upstream URL: <a href="https://github.com/tpm2-software/tpm2-pkcs11" target="_blank" rel="noopener noreferrer">github.com — tpm2 pkcs11</a> - Detected version: `1.9.2` - Tag/release: `1.9.2` - Source: `github_release_latest` - Published: `2025-09-30T14:30:00Z` - Release URL: <a href="https://github.com/tpm2-software/tpm2-pkcs11/releases/tag/1.9.2" target="_blank" rel="noopener noreferrer">github.com — 1.9.2</a> - Source URL: <a href="https://api.github.com/repos/tpm2-software/tpm2-pkcs11/tarball/1.9.2" target="_blank" rel="noopener noreferrer">api.github.com — 1.9.2</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Upstream выпустил `tpm2-pkcs11` `1.9.2`, это patch-обновление относительно `1.9.1`. По доступным данным релиз содержит в основном исправления и одну добавленную возможность, без подтверждённых ABI/API-breaking изменений. Для НАЙС.ОС это **manual review**: обновление выглядит потенциально приемлемым для stable-ветки, но есть пользовательски заметные изменения в `tpm2_ptool` и поведении `pkcs11-tool`, которые стоит быстро проверить перед merge. ### 2. Риск для НАЙС.ОС **Risk: medium**. Обоснование: - это patch-level update для leaf-пакета, что обычно соответствует enterprise-политике стабильных дистрибутивов; - upstream-изменения в основном исправляющие, без подтверждённых CVE и без явных сообщений о breakage; - однако есть изменения поведения в token lifecycle и certificate lookup, которые могут затронуть существующие сценарии использования; - для RHEL-like ветки разумно не блокировать, но и не принимать без smoke-тестов. ### 3. Что изменилось upstream По release notes `1.9.2`: - исправлены ошибки в `tpm2_ptool destroy`; - исправлено предупреждение упаковки `tests_require` из `setup.py`; - восстановлен `SHA1-RSA-PKCS` в `CKM_ALLOWED_MECHANISMS`; - Python-тесты больше не переопределяют `HOME`; - исправлен поиск сертификата в `pkcs11-tool`: теперь используется `--token-label` вместо `--label`; - исправлено определение `javac`; - исправлено определение Python-модуля `pkcs11`; - исправлен logging statement в `create_pkcs_store.sh`; - исправлены documentation links; - исправлены OpenSuse Leap CI builds; - исправлена обработка multipart IV chunk; - исправлена memory leak; - добавлена поддержка импорта persistent TPM2 keys через `tpm2_ptool`. Факты по релизу: - версия `1.9.2` выпущена `2025-09-29`; - tag отмечен как verified; - upstream commit: `b95c802`. ### 4. Security/CVE Подтверждённых CVE или GitHub security advisory для `1.9.2` в проверенных источниках **не найдено**. Есть исправления memory leak и механизма `SHA1-RSA-PKCS`, но release notes не квалифицируют их как security fixes, поэтому считать обновление security-driven нельзя без дополнительных данных. ### 5. ABI/API/CLI/config риск **Риск: low to medium**. Что видно по источникам: - явных удалений команд, CLI-опций, ABI/API-breaks или default reversals upstream не заявлено; - релиз добавляет новый сценарий: импорт persistent TPM2 keys в `tpm2_ptool`; - фикс `pkcs11-tool` меняет логику поиска сертификата с `--label` на `--token-label`, что может изменить поведение у пользователей, которые сталкивались с прежним ошибочным lookup; - восстановление `SHA1-RSA-PKCS` расширяет список поддерживаемых механизмов, это скорее compatibility improvement. ### 6. Риск для RPM-сборки и dist-git Что проверить: - `SPECS/tpm2-pkcs11.spec`: обновить `Version` на `1.9.2`, проверить `Source0`/`%{version}`-зависимый tarball URL; - убедиться, что `dist-git` не содержит downstream patch stack, завязанный на `1.9.1`; - проверить, не изменился ли формат upstream tarball и не нужны ли корректировки `sha256`/source lock; - перепроверить `BuildRequires` и `Requires`, особенно: - `tpm2-pytss >= 2.2.1` - `tpm2-tools` - `tpm2-tss-devel` - `python3-*` - `sqlite-devel` - `openssl-devel` - `tpm2-abrmd-devel` - запустить `%check`, если он включён в spec; - проверить SBOM/metadata, если у НАЙС.ОС они генерируются на уровне dist-git; - сравнить `SOURCES` и возможные checksums/locks с текущим релизом. ### 7. Риск для системы и зависимых компонентов **Риск: low to medium**. Потенциальное влияние: - `tpm2_ptool destroy` затрагивает lifecycle токенов и ключей, поэтому исправление может менять результат уже существующих automation-scripts; - новый persistent key import может быть использован пользователями и скриптами, но это additive change; - исправление `pkcs11-tool` lookup может повлиять на интеграции с OpenSC/OpenSC-like tooling и certificate selection; - fixes для multipart IV handling и memory leak — положительно влияют на стабильность runtime; - reverse dependencies и system services по имеющимся данным не затронуты напрямую, но smoke-тест полезен. ### 8. Проверки мейнтейнера Checklist перед PR/merge: - [ ] обновить `Version` до `1.9.2` в spec; - [ ] проверить, что `Source0` корректно собирается по `%{version}`; - [ ] сверить checksum/lock для source tarball; - [ ] убедиться, что downstream patches либо не нужны, либо корректно перенесены; - [ ] проверить `BuildRequires`/`Requires` на отсутствие новых зависимостей; - [ ] прогнать `rpmbuild`/mock build; - [ ] выполнить `%check`, если он есть; - [ ] smoke-test: - `tpm2_ptool create` - `tpm2_ptool destroy` - certificate lookup через `pkcs11-tool` - базовый token/key workflow - [ ] проверить, не ломается ли сборка на нашей целевой ветке `niceos-5.2`; - [ ] обновить changelog/metadata при необходимости. ### 9. Рекомендация **manual review** ### 10. Источники - <a href="https://github.com/tpm2-software/tpm2-pkcs11/releases/tag/1.9.2" target="_blank" rel="noopener noreferrer">Upstream release 1.9.2</a> - <a href="https://github.com/tpm2-software/tpm2-pkcs11/releases" target="_blank" rel="noopener noreferrer">Upstream releases page</a> - <a href="https://github.com/tpm2-software/tpm2-pkcs11/compare/1.9.1...1.9.2" target="_blank" rel="noopener noreferrer">Upstream compare 1.9.1...1.9.2</a> - <a href="https://github.com/tpm2-software/tpm2-pkcs11" target="_blank" rel="noopener noreferrer">Upstream repository</a> - <a href="https://specs.niceos.ru/rpms/tpm2-pkcs11" target="_blank" rel="noopener noreferrer">NiceOS dist-git repo</a> - <a href="https://specs.niceos.ru/rpms/tpm2-pkcs11/src/branch/niceos-5.2/SPECS/tpm2-pkcs11.spec" target="_blank" rel="noopener noreferrer">NiceOS spec file</a> ### Источники, найденные web_search 1. <a href="https://github.com/tpm2-software/tpm2-pkcs11/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 2. <a href="https://github.com/tpm2-software/tpm2-pkcs11" target="_blank" rel="noopener noreferrer">github.com — tpm2 pkcs11</a> 3. <a href="https://github.com/tpm2-software/tpm2-pkcs11/issues" target="_blank" rel="noopener noreferrer">github.com — issues</a> 4. <a href="https://github.com/tpm2-software" target="_blank" rel="noopener noreferrer">github.com — tpm2 software</a> 5. <a href="https://github.com/google/go-tpm/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 6. <a href="https://github.com/tpm2-software/tpm2-openssl/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 7. <a href="https://github.com/topics/tpm2" target="_blank" rel="noopener noreferrer">github.com — tpm2</a> 8. <a href="https://github.com/tpm2-software/tpm2-openssl" target="_blank" rel="noopener noreferrer">github.com — tpm2 openssl</a> 9. <a href="https://github.com/topics/pkcs11" target="_blank" rel="noopener noreferrer">github.com — pkcs11</a> 10. <a href="https://github.com/tpm2-software/tpm2-tools/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 11. <a href="https://github.com/opencryptoki/opencryptoki" target="_blank" rel="noopener noreferrer">github.com — opencryptoki</a> 12. <a href="https://github.com/tpm2-software/tpm2-pkcs11/issues/592" target="_blank" rel="noopener noreferrer">github.com — 592</a> ## Upstream release notes / description ## [1.9.2] - 2025-09-29 ### Fixed: - Fix tpm2\_ptool destroy command failures. - Warning "UserWarning: Unknown distribution option: 'tests\_require'" from setup.py. - Missing SHA1-RSA-PKCS from CKM\_ALLOWED\_MECHANISMS. - In tests requiring Python, don't override HOME as it may be needed for user installed packages. - Certificate finding logic in pkcs11-tool usage where `--label` was used instead of `--token-label`. - Configure: Fix detection of javac. - Configure: Fix detection of pkcs11 python module. - Fix incorrect logging statement in create\_pkcs\_store.sh. - Fix links in documentation. - Fix OpenSuse Leap CI builds. - Fix improper handling of chunks across IV multi-part handling. - Fix memory leak. ### Added - Add support for importing persistent TPM2 keys with tpm2\_ptool. ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.2-openai-deep` - Generated at: `2026-05-02T12:24:24Z`

sbelikov added the

labels

2026-05-02 15:24:29 +03:00