rpms/utf8proc

Fork 0

Upstream update available: utf8proc 2.10.0 → 2.11.3 #2

New issue

Closed

opened 2026-05-02 15:15:21 +03:00 by sbelikov · 1 comment

sbelikov commented

2026-05-02 15:15:21 +03:00

Owner

Upstream update available: `utf8proc` `2.10.0` → `2.11.3`

Package

Package: utf8proc
RPM name: utf8proc
Branch: niceos-5.2
Current EVR: 2.10.0-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: JuliaStrings/utf8proc
Upstream URL: github.com — utf8proc
Detected version: 2.11.3
Tag/release: v2.11.3
Source: github_release_latest
Published: 2025-12-30T16:56:10Z
Release URL: github.com — v2.11.3
Source URL: api.github.com — v2.11.3
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Upstream-обновление utf8proc с 2.10.0 до 2.11.3 выглядит как небольшой point-release внутри 2.11.x, без подтверждённых breaking changes по доступным release notes. По предоставленным данным это не block, но для НАЙС.ОС разумно пометить как manual review перед merge, потому что upstream затронул memory-safety issue, а downstream spec/SOURCES не были полностью проверены. Для stable enterprise-дистрибутива это скорее candidate после ручной проверки.

2. Риск для НАЙС.ОС

Оценка: low to medium.
Аргументы в пользу низкого риска: leaf-пакет, upstream не заявляет ABI/API-ломающих изменений в 2.11.x, релизные заметки узкие и в основном содержат bugfixes и обновление Unicode-данных.
Аргументы в пользу повышения до medium: в 2.11.3 есть исправление out-of-bounds memory access в utf8proc_map для комбинации UTF8PROC_CHARBOUND + UTF8PROC_COMPOSE, а ранее в 2.11.1 был близкий memory-safety fix для UTF8PROC_CHARBOUND + UTF8PROC_DECOMPOSE. Для enterprise-политики это требует обычной верификации сборки и поведения, но не выглядит как причина для блокировки.

3. Что изменилось upstream

Проверяемые факты из upstream-источников:

v2.11.3 существует и опубликован на GitHub.
Release note для 2.11.3 сообщает о 3 commits since release и содержит исправление out-of-bounds memory access в utf8proc_map при совместном использовании UTF8PROC_CHARBOUND и UTF8PROC_COMPOSE.
NEWS.md фиксирует изменения в ветке 2.11.x:
- 2.11.0: Unicode 17 support, улучшения документации, build fix for C90, silence ASAN warning, CMake modernization.
- 2.11.1: fix for out-of-bounds memory access при UTF8PROC_CHARBOUND + UTF8PROC_DECOMPOSE.
- 2.11.2: Hangul composition fix for U+11A7.
- 2.11.3: fix for out-of-bounds memory access при UTF8PROC_CHARBOUND + UTF8PROC_COMPOSE.
По доступным заметкам не найдено сведений о removed functions, ABI breaks, CLI changes или новых обязательных зависимостях.

4. Security/CVE

Подтверждённых CVE не найдено.
Есть upstream-подтверждение исправления out-of-bounds memory access в 2.11.3, что выглядит security-relevant, но без подтверждённого CVE/Advisory нельзя указывать номер уязвимости.

5. ABI/API/CLI/config риск

Оценка: low, с частичной неопределённостью.

Подтверждённых изменений ABI/API/CLI/config не найдено.
Upstream release notes не сообщают о несовместимых изменениях интерфейса.
Единственное явно описанное поведение — исправление bug path в utf8proc_map при определённых флагах.
Из-за отсутствия полного line-by-line diff в доступных данных остаётся unknown/manual review для окончательной оценки тонких API/behavioral changes.

6. Риск для RPM-сборки и dist-git

Что стоит проверить перед обновлением:

SPECS/utf8proc.spec: версия, Release, Source0, %changelog.
SOURCES/: обновление tarball на v2.11.3.
Lock/checksum files: обновить source integrity metadata, если используется привязка к архиву upstream.
Патчи: есть ли downstream patches; проверить, не устарели ли они на 2.11.3.
BuildRequires / Requires: не изменились ли зависимости от CMake/тулчейна.
%check: выполняется ли тестовый набор и не появились ли новые флейки.
SBOM: синхронизация состава источников/версии.
Если в spec есть жёсткие версии CMake/package config, проверить совместимость с upstream build-system modernization.
Поскольку содержимое spec/SOURCES не было полностью доступно, влияние на сборку и патчи — unknown, нужен локальный review в dist-git.

7. Риск для системы и зависимых компонентов

utf8proc — библиотека, поэтому потенциальный impact затрагивает runtime-поведение приложений, которые её используют.
Изменение в utf8proc_map может повлиять на сценарии, где приложения используют UTF8PROC_CHARBOUND вместе с UTF8PROC_COMPOSE/DECOMPOSE.
Для остальных пользователей ожидается скорее снижение риска падений/коррупции памяти, а не изменение функциональности.
Подтверждений изменения default behavior, сервисов, скриптов или reverse dependencies нет.
Массового system-wide impact по доступным данным не видно; риск ограничен вызовами библиотеки.

8. Проверки мейнтейнера

Чеклист перед PR/merge:

Сверить upstream tarball v2.11.3 и checksum/source lock.
Проверить SPECS/utf8proc.spec на актуальность Version, Source0, Release.
Просмотреть все downstream patches: применяются ли чисто, не устарели ли, не требуют ли переавторинга.
Запустить локальную сборку в целевой среде НАЙС.ОС.
Проверить %check, если он есть; убедиться, что тесты не регрессируют.
Сравнить BuildRequires/Requires с текущим состоянием репозитория.
Проверить, не нужно ли обновить SBOM/metadata.
Убедиться, что изменение действительно leaf-only и не тянет нежелательные зависимости.
При необходимости сделать smoke-test на package consumers, использующих utf8proc_map.
Зафиксировать в changelog, что upstream исправил out-of-bounds memory access.

9. Рекомендация

manual review

10. Источники

Источники, найденные web_search

Upstream release notes / description

Correct out-of-bounds memory access when calling utf8proc_map with both UTF8PROC_CHARBOUND and UTF8PROC_COMPOSE (#323).

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 2.1.2-openai-deep
Generated at: 2026-05-02T12:15:17Z

# Upstream update available: `utf8proc` `2.10.0` → `2.11.3` ## Package - Package: `utf8proc` - RPM name: `utf8proc` - Branch: `niceos-5.2` - Current EVR: `2.10.0-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `JuliaStrings/utf8proc` - Upstream URL: <a href="https://github.com/JuliaStrings/utf8proc" target="_blank" rel="noopener noreferrer">github.com — utf8proc</a> - Detected version: `2.11.3` - Tag/release: `v2.11.3` - Source: `github_release_latest` - Published: `2025-12-30T16:56:10Z` - Release URL: <a href="https://github.com/JuliaStrings/utf8proc/releases/tag/v2.11.3" target="_blank" rel="noopener noreferrer">github.com — v2.11.3</a> - Source URL: <a href="https://api.github.com/repos/JuliaStrings/utf8proc/tarball/v2.11.3" target="_blank" rel="noopener noreferrer">api.github.com — v2.11.3</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Upstream-обновление `utf8proc` с `2.10.0` до `2.11.3` выглядит как небольшой point-release внутри 2.11.x, без подтверждённых breaking changes по доступным release notes. По предоставленным данным это **не block**, но для НАЙС.ОС разумно пометить как **manual review** перед merge, потому что upstream затронул memory-safety issue, а downstream spec/SOURCES не были полностью проверены. Для stable enterprise-дистрибутива это скорее **candidate после ручной проверки**. ### 2. Риск для НАЙС.ОС **Оценка: low to medium.** Аргументы в пользу низкого риска: `leaf`-пакет, upstream не заявляет ABI/API-ломающих изменений в 2.11.x, релизные заметки узкие и в основном содержат bugfixes и обновление Unicode-данных. Аргументы в пользу повышения до medium: в 2.11.3 есть исправление out-of-bounds memory access в `utf8proc_map` для комбинации `UTF8PROC_CHARBOUND` + `UTF8PROC_COMPOSE`, а ранее в 2.11.1 был близкий memory-safety fix для `UTF8PROC_CHARBOUND` + `UTF8PROC_DECOMPOSE`. Для enterprise-политики это требует обычной верификации сборки и поведения, но не выглядит как причина для блокировки. ### 3. Что изменилось upstream Проверяемые факты из upstream-источников: - `v2.11.3` существует и опубликован на GitHub. - Release note для `2.11.3` сообщает о **3 commits** since release и содержит исправление **out-of-bounds memory access** в `utf8proc_map` при совместном использовании `UTF8PROC_CHARBOUND` и `UTF8PROC_COMPOSE`. - `NEWS.md` фиксирует изменения в ветке 2.11.x: - **2.11.0**: Unicode 17 support, улучшения документации, build fix for C90, silence ASAN warning, CMake modernization. - **2.11.1**: fix for out-of-bounds memory access при `UTF8PROC_CHARBOUND` + `UTF8PROC_DECOMPOSE`. - **2.11.2**: Hangul composition fix for U+11A7. - **2.11.3**: fix for out-of-bounds memory access при `UTF8PROC_CHARBOUND` + `UTF8PROC_COMPOSE`. - По доступным заметкам не найдено сведений о removed functions, ABI breaks, CLI changes или новых обязательных зависимостях. ### 4. Security/CVE Подтверждённых CVE **не найдено**. Есть upstream-подтверждение исправления out-of-bounds memory access в `2.11.3`, что выглядит security-relevant, но без подтверждённого CVE/Advisory нельзя указывать номер уязвимости. ### 5. ABI/API/CLI/config риск **Оценка: low, с частичной неопределённостью.** - Подтверждённых изменений ABI/API/CLI/config не найдено. - Upstream release notes не сообщают о несовместимых изменениях интерфейса. - Единственное явно описанное поведение — исправление bug path в `utf8proc_map` при определённых флагах. - Из-за отсутствия полного line-by-line diff в доступных данных остаётся **unknown/manual review** для окончательной оценки тонких API/behavioral changes. ### 6. Риск для RPM-сборки и dist-git Что стоит проверить перед обновлением: - `SPECS/utf8proc.spec`: версия, `Release`, `Source0`, `%changelog`. - `SOURCES/`: обновление tarball на `v2.11.3`. - Lock/checksum files: обновить source integrity metadata, если используется привязка к архиву upstream. - Патчи: есть ли downstream patches; проверить, не устарели ли они на `2.11.3`. - `BuildRequires` / `Requires`: не изменились ли зависимости от CMake/тулчейна. - `%check`: выполняется ли тестовый набор и не появились ли новые флейки. - SBOM: синхронизация состава источников/версии. - Если в spec есть жёсткие версии CMake/package config, проверить совместимость с upstream build-system modernization. - Поскольку содержимое spec/SOURCES не было полностью доступно, влияние на сборку и патчи — **unknown**, нужен локальный review в dist-git. ### 7. Риск для системы и зависимых компонентов - `utf8proc` — библиотека, поэтому потенциальный impact затрагивает runtime-поведение приложений, которые её используют. - Изменение в `utf8proc_map` может повлиять на сценарии, где приложения используют `UTF8PROC_CHARBOUND` вместе с `UTF8PROC_COMPOSE`/`DECOMPOSE`. - Для остальных пользователей ожидается скорее снижение риска падений/коррупции памяти, а не изменение функциональности. - Подтверждений изменения default behavior, сервисов, скриптов или reverse dependencies нет. - Массового system-wide impact по доступным данным не видно; риск ограничен вызовами библиотеки. ### 8. Проверки мейнтейнера Чеклист перед PR/merge: 1. Сверить upstream tarball `v2.11.3` и checksum/source lock. 2. Проверить `SPECS/utf8proc.spec` на актуальность `Version`, `Source0`, `Release`. 3. Просмотреть все downstream patches: применяются ли чисто, не устарели ли, не требуют ли переавторинга. 4. Запустить локальную сборку в целевой среде НАЙС.ОС. 5. Проверить `%check`, если он есть; убедиться, что тесты не регрессируют. 6. Сравнить `BuildRequires`/`Requires` с текущим состоянием репозитория. 7. Проверить, не нужно ли обновить SBOM/metadata. 8. Убедиться, что изменение действительно leaf-only и не тянет нежелательные зависимости. 9. При необходимости сделать smoke-test на package consumers, использующих `utf8proc_map`. 10. Зафиксировать в changelog, что upstream исправил out-of-bounds memory access. ### 9. Рекомендация **manual review** ### 10. Источники - <a href="https://github.com/JuliaStrings/utf8proc/releases/tag/v2.11.3" target="_blank" rel="noopener noreferrer">Upstream release v2.11.3</a> - <a href="https://raw.githubusercontent.com/JuliaStrings/utf8proc/master/NEWS.md" target="_blank" rel="noopener noreferrer">Upstream NEWS.md</a> - <a href="https://github.com/JuliaStrings/utf8proc/compare/v2.10.0...v2.11.3" target="_blank" rel="noopener noreferrer">Upstream compare v2.10.0...v2.11.3</a> - <a href="https://github.com/JuliaStrings/utf8proc" target="_blank" rel="noopener noreferrer">Upstream repository</a> - <a href="https://specs.niceos.ru/rpms/utf8proc" target="_blank" rel="noopener noreferrer">NiceOS dist-git overview for utf8proc</a> - <a href="https://specs.niceos.ru/rpms/utf8proc/src/branch/niceos-5.2/METADATA" target="_blank" rel="noopener noreferrer">NiceOS dist-git metadata page</a> ### Источники, найденные web_search 1. <a href="https://github.com/JuliaStrings/utf8proc" target="_blank" rel="noopener noreferrer">github.com — utf8proc</a> 2. <a href="https://docs.github.com/articles/comparing-commits-across-time" target="_blank" rel="noopener noreferrer">docs.github.com — comparing commits across time</a> 3. <a href="https://github.com/typelevel/cats/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 4. <a href="https://github.com/kubernetes-csi/livenessprobe/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 5. <a href="https://github.com/lokesh/lightbox2/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 6. <a href="https://docs.github.com/repositories/releasing-projects-on-github/linking-to-releases" target="_blank" rel="noopener noreferrer">docs.github.com — linking to releases</a> 7. <a href="https://github.com/SWI-Prolog" target="_blank" rel="noopener noreferrer">github.com — SWI Prolog</a> 8. <a href="https://docs.github.com/es/pull-requests/committing-changes-to-your-project/viewing-and-comparing-commits/comparing-commits" target="_blank" rel="noopener noreferrer">docs.github.com — comparing commits</a> 9. <a href="https://github.com/apache/avro/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 10. <a href="https://docs.github.com/rest/releases/releases" target="_blank" rel="noopener noreferrer">docs.github.com — releases</a> 11. <a href="https://github.com/pocoproject/poco/issues/4798" target="_blank" rel="noopener noreferrer">github.com — 4798</a> 12. <a href="https://github.com/tmux/tmux/wiki/Installing" target="_blank" rel="noopener noreferrer">github.com — Installing</a> ## Upstream release notes / description - Correct out-of-bounds memory access when calling `utf8proc_map` with both `UTF8PROC_CHARBOUND` and `UTF8PROC_COMPOSE` (#323). ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.2-openai-deep` - Generated at: `2026-05-02T12:15:17Z`

sbelikov added the

labels

2026-05-02 15:15:21 +03:00

sbelikov commented

2026-05-09 18:05:58 +03:00

Author

Owner

Package version is now 2.11.3 and target version was 2.11.3. Closing as resolved.\n\n_Closed by niceos_upstream_monitor.py 1.5 at 2026-05-09T15:05:57Z._

Package version is now `2.11.3` and target version was `2.11.3`. Closing as resolved.\n\n_Closed by `niceos_upstream_monitor.py 1.5` at `2026-05-09T15:05:57Z`._

sbelikov closed this issue

2026-05-09 18:05:58 +03:00