Upstream update available: utf8proc 2.10.0 → 2.11.3 #1

New issue

Open

opened 2026-04-28 02:23:36 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 02:23:36 +03:00

Owner

Upstream update available: `utf8proc` `2.10.0` → `2.11.3`

Package

Package: utf8proc
RPM name: utf8proc
Branch: niceos-5.2
Current EVR: 2.10.0-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: JuliaStrings/utf8proc
Upstream URL: https://github.com/JuliaStrings/utf8proc
Detected version: 2.11.3
Tag/release: v2.11.3
Source: github_release_latest
Published: 2025-12-30T16:56:10Z
Release URL: https://github.com/JuliaStrings/utf8proc/releases/tag/v2.11.3
Source URL: https://api.github.com/repos/JuliaStrings/utf8proc/tarball/v2.11.3
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление пакета utf8proc с версии 2.10.0 до 2.11.3 исправляет критическую уязвимость выхода за границы памяти при вызове функции utf8proc_map. Это обновление классифицируется как минорное (minor), но содержит исправление безопасности, требующее внимания.

2. Риск для НАЙС.ОС

medium. Хотя класс обновления помечен как minor, исправление касается выхода за границы памяти (out-of-bounds memory access), что является потенциальным вектором эксплуатации для выполнения кода атакующего или кражи данных. Поскольку пакет является библиотекой (leaf), ошибка может быть использована через любые приложения, зависящие от неё.

3. Security/CVE

Во входных данных присутствуют ключевые слова безопасности (security_keywords_detected_by_script: True), указывающие на наличие уязвимости. Однако конкретные идентификаторы CVE в предоставленном тексте отсутствуют. Для точной привязки к базе данных уязвимостей требуется внешний поиск по описанию бага (#323) или хешу коммита.

4. ABI/API риск

В предоставленных данных отсутствует информация о конкретных изменениях в сигнатурах функций или структуре данных. Исправление памяти часто не меняет ABI, но теоретически может затрагивать поведение функций, если логика обработки границ была изменена. Требуется ручной ABI/API анализ для подтверждения совместимости с бинарными зависимостями в дистрибутиве.

5. Риск для RPM-сборки

Поскольку это обновление библиотеки, специфические риски для сборки (сломанные %check, конфликты BuildRequires) менее вероятны, чем при обновлении ядра компилятора. Однако необходимо убедиться, что патчи, применяемые к исходному коду, корректно интегрируются с новой версией, и что тесты %check проходят с учетом изменений в логике обработки строк.

6. Проверки мейнтейнера

Проверить наличие и актуальность патчей в репозитории исходного кода НАЙС.ОС для версии 2.11.3.
Запустить локальную сборку пакета с флагом -DDEBUG для проверки отсутствия предупреждений компилятора.
Выполнить тесты %check в изолированной среде.
Провести ручной анализ ABI (например, через objdump или nm), чтобы убедиться, что экспортируемые символы не изменились.
Проверить список зависимостей (Requires, Recommends) на предмет совместимости с другими пакетами дистрибутива.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление устраняет подтвержденную уязвимость памяти (out-of-bounds access), что делает его необходимым для безопасности системы. Несмотря на отсутствие явного CVE в тексте, характер бага требует применения исправления. Класс minor и статус leaf позволяют рассмотреть автоматическое обновление после прохождения стандартных проверок сборки и тестов, так как вероятность разрушения зависимостей ниже, чем при обновлении major-версий или toolchain.

Upstream release notes / description

Correct out-of-bounds memory access when calling utf8proc_map with both UTF8PROC_CHARBOUND and UTF8PROC_COMPOSE (#323).

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T23:23:35Z

# Upstream update available: `utf8proc` `2.10.0` → `2.11.3` ## Package - Package: `utf8proc` - RPM name: `utf8proc` - Branch: `niceos-5.2` - Current EVR: `2.10.0-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `JuliaStrings/utf8proc` - Upstream URL: https://github.com/JuliaStrings/utf8proc - Detected version: `2.11.3` - Tag/release: `v2.11.3` - Source: `github_release_latest` - Published: `2025-12-30T16:56:10Z` - Release URL: https://github.com/JuliaStrings/utf8proc/releases/tag/v2.11.3 - Source URL: https://api.github.com/repos/JuliaStrings/utf8proc/tarball/v2.11.3 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление пакета `utf8proc` с версии 2.10.0 до 2.11.3 исправляет критическую уязвимость выхода за границы памяти при вызове функции `utf8proc_map`. Это обновление классифицируется как минорное (minor), но содержит исправление безопасности, требующее внимания. ### 2. Риск для НАЙС.ОС **medium**. Хотя класс обновления помечен как `minor`, исправление касается выхода за границы памяти (out-of-bounds memory access), что является потенциальным вектором эксплуатации для выполнения кода атакующего или кражи данных. Поскольку пакет является библиотекой (`leaf`), ошибка может быть использована через любые приложения, зависящие от неё. ### 3. Security/CVE Во входных данных присутствуют ключевые слова безопасности (`security_keywords_detected_by_script: True`), указывающие на наличие уязвимости. Однако конкретные идентификаторы CVE в предоставленном тексте отсутствуют. Для точной привязки к базе данных уязвимостей требуется внешний поиск по описанию бага (#323) или хешу коммита. ### 4. ABI/API риск В предоставленных данных отсутствует информация о конкретных изменениях в сигнатурах функций или структуре данных. Исправление памяти часто не меняет ABI, но теоретически может затрагивать поведение функций, если логика обработки границ была изменена. Требуется ручной ABI/API анализ для подтверждения совместимости с бинарными зависимостями в дистрибутиве. ### 5. Риск для RPM-сборки Поскольку это обновление библиотеки, специфические риски для сборки (сломанные `%check`, конфликты `BuildRequires`) менее вероятны, чем при обновлении ядра компилятора. Однако необходимо убедиться, что патчи, применяемые к исходному коду, корректно интегрируются с новой версией, и что тесты `%check` проходят с учетом изменений в логике обработки строк. ### 6. Проверки мейнтейнера - [ ] Проверить наличие и актуальность патчей в репозитории исходного кода НАЙС.ОС для версии 2.11.3. - [ ] Запустить локальную сборку пакета с флагом `-DDEBUG` для проверки отсутствия предупреждений компилятора. - [ ] Выполнить тесты `%check` в изолированной среде. - [ ] Провести ручной анализ ABI (например, через `objdump` или `nm`), чтобы убедиться, что экспортируемые символы не изменились. - [ ] Проверить список зависимостей (`Requires`, `Recommends`) на предмет совместимости с другими пакетами дистрибутива. ### 7. Рекомендация update candidate ### 8. Основание рекомендации Обновление устраняет подтвержденную уязвимость памяти (out-of-bounds access), что делает его необходимым для безопасности системы. Несмотря на отсутствие явного CVE в тексте, характер бага требует применения исправления. Класс `minor` и статус `leaf` позволяют рассмотреть автоматическое обновление после прохождения стандартных проверок сборки и тестов, так как вероятность разрушения зависимостей ниже, чем при обновлении major-версий или toolchain. ## Upstream release notes / description - Correct out-of-bounds memory access when calling `utf8proc_map` with both `UTF8PROC_CHARBOUND` and `UTF8PROC_COMPOSE` (#323). ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T23:23:35Z`

sbelikov added the

labels

2026-04-28 02:23:36 +03:00