Re: 【CVE update】openEuler 20.03 LTS SP1 CVE Update 2021/5/28 release评审通知 - Dev

30 May 2021


      Hi，Senlin，
请问 issue 链接是哪一个？
谢谢。
——王建民
From: dev-bounces@openeuler.org on behalf of xiasenlin xiasenlin1@huawei.com
Date: Sunday, 30 May 2021 at 9:03 AM
To: "release@openeuler.org" release@openeuler.org, "qa@openeuler.org" qa@openeuler.org, "sa-announce@openeuler.org" sa-announce@openeuler.org, "dev@openeuler.org" dev@openeuler.org
Cc: "Guoge(JVM)" ge.guo@huawei.com, chenyaqiang chenyaqiang@huawei.com, "liyongqiang (H)" liyongqiang10@huawei.com, "Chenzhendong (alex)" alex.chen@huawei.com, Liyiting liyiting@huawei.com, Mingpei mingpei@huawei.com, Xuxiaosong xuxiaosong@huawei.com, Solar <Hufeng>, "solar.hu@huawei.com, Yanxiaobing yanxiaobing@huawei.com, Liujingang (Bob) ," liujingang09@huawei.com, "fanjiachen (A)" fanjiachen3@huawei.com, guoxiaoqi guoxiaoqi2@huawei.com, xingchaochao xingchaochao@huawei.com, Yanxiaobing yanxiaobing@huawei.com
Subject: [Dev] 【CVE update】openEuler 20.03 LTS SP1 CVE Update 2021/5/28 release评审通知
openEuler 20.03 LTS SP1 Update 20210528 release已经测试完成。
请TC委员，Release委员，QA委员在issue内答复评审意见，欢迎广大开发者对本次发布发表意见，您的每条意见我们都会认真对待，并加以改进。
如果您发现了版本的致命问题请及时邮件通知我们，2021年5月30日结束发布流程。
版本目标：CVE修复
版本计划：
例行CVE冻结（本次为周例行版本）：20210526
代码冻结： 20210526
转测试时间：20210527
版本发布： 20210530
本次更新主要涉及：mysql、ImageMagick等包的CVE修复以及RPM的bugfix；
修复cve：49个
CVE清单：
issue ID任务标题CVE评分关联仓库责任田是否涉及接口变更接口变更是否有影响
I3NYKTCVE-2021-22129.8src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKSCVE-2021-22999.8src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKRCVE-2021-22937.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKQCVE-2021-22137.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKPCVE-2021-22157.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKOCVE-2021-22787.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKNCVE-2021-21647.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKMCVE-2021-22088.8src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKLCVE-2021-22177.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKKCVE-2021-22037.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKJCVE-2021-22267.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKICVE-2021-22028.2src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKHCVE-2021-22327.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKGCVE-2021-23017.1src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKFCVE-2021-22984.9src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKECVE-2021-22304.9src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKDCVE-2021-23005.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NYKCCVE-2021-23046.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NX9ACVE-2021-23083.7src-openEuler/mysql智能计算是无（仅新增命令）
I3NX96CVE-2021-21724.9src-openEuler/mysql智能计算是无（仅新增命令）
I3NX91CVE-2021-21944.9src-openEuler/mysql智能计算是无（仅新增命令）
I3NX90CVE-2021-21704.9src-openEuler/mysql智能计算是无（仅新增命令）
I3NX8PCVE-2021-21964.9src-openEuler/mysql智能计算是无（仅新增命令）
I3NX8OCVE-2021-22016.1src-openEuler/mysql智能计算是无（仅新增命令）
I3NX8MCVE-2021-21804.4src-openEuler/mysql智能计算是无（仅新增命令）
I3NX8JCVE-2021-23074.9src-openEuler/mysql智能计算是无（仅新增命令）
I3NX8ICVE-2021-21694.4src-openEuler/mysql智能计算是无（仅新增命令）
I3NX8GCVE-2021-21714.9src-openEuler/mysql智能计算是无（仅新增命令）
I3NX8FCVE-2021-23054.9src-openEuler/mysql智能计算是无（仅新增命令）
I3NX7XCVE-2021-21794.9src-openEuler/mysql智能计算是无（仅新增命令）
I3NX7WCVE-2021-21746.5src-openEuler/mysql智能计算是无（仅新增命令）
I3NX7VCVE-2021-21935.5src-openEuler/mysql智能计算是无（仅新增命令）
I3OC6GCVE-2021-21664.9src-openEuler/mysql智能计算是无（仅新增命令）
I3OC66CVE-2021-21447.2src-openEuler/mysql智能计算是无（仅新增命令）
I3OC26CVE-2021-21464.9src-openEuler/mysql智能计算是无（仅新增命令）
I3OC20CVE-2021-21604.9src-openEuler/mysql智能计算是无（仅新增命令）
I3OC1VCVE-2021-21624.3src-openEuler/mysql智能计算是无（仅新增命令）
I3OUV2CVE-2020-277527.1src-openEuler/ImageMagick智能计算否不涉及
I3QYAHCVE-2020-94928.8src-openEuler/hadoop智能计算否不涉及
I3RQ13CVE-2021-203107.5src-openEuler/ImageMagick智能计算否不涉及
I3RQ12CVE-2021-203097.5src-openEuler/ImageMagick智能计算否不涉及
I3RQ10CVE-2021-203127.5src-openEuler/ImageMagick智能计算否不涉及
I3RQ0OCVE-2021-203117.5src-openEuler/ImageMagick智能计算否不涉及
I3RQ0MCVE-2021-203137.5src-openEuler/ImageMagick智能计算否不涉及
I3RQQICVE-2021-233839.8src-openEuler/nodejs-handlebars智能计算否不涉及
I3SC5RCVE-2020-150787.5src-openEuler/openvpn智能计算否不涉及
I3SC4UCVE-2021-35048.1src-openEuler/hivex智能计算否不涉及
I3SCANCVE-2020-277693.3src-openEuler/ImageMagick智能计算否不涉及
BUgfix清单：
bug/featurerelated reporelated issue/PR责任田
修复tpm2-abrmd-selinux子包中存储的SELinux标签信息tpm2-abrmdhttps://gitee.com/open_euler/dashboard?issue_id=I3SHS5%E5%9F%BA%E7%A1%80%E6%...
构建时长优化clanghttps://gitee.com/open_euler/dashboard?issue_id=I3AGT3%E6%99%BA%E8%83%BD%E8%...
rpm bug修复，主要问题是升级rpm、rpm-libs包后，影响其他软件包升级及yum等工具使用rpmhttps://gitee.com/open_euler/dashboard?issue_id=I3RPU3%E5%9F%BA%E7%A1%80%E6%...
例外说明：本周转测的audit升级和fuse拆包因为issue未闭环，不发布，计划下周解决后发布
发件人: xiasenlin 
发送时间: 2021年5月24日 10:37
收件人: release@openeuler.org; qa@openeuler.org; sa-announce@openeuler.org; dev@openeuler.org
抄送: Guoge(JVM) ge.guo@huawei.com; chenyaqiang chenyaqiang@huawei.com; liyongqiang (H) liyongqiang10@huawei.com; Chenzhendong (alex) alex.chen@huawei.com; Liyiting liyiting@huawei.com; Mingpei mingpei@huawei.com; Xuxiaosong xuxiaosong@huawei.com; Hufeng (Solar, Euler) solar.hu@huawei.com; Yanxiaobing yanxiaobing@huawei.com; Liujingang (Bob) liujingang09@huawei.com; fanjiachen (A) fanjiachen3@huawei.com; guoxiaoqi guoxiaoqi2@huawei.com; xingchaochao xingchaochao@huawei.com
主题: 【CVE update】openEuler 20.03 LTS SP1 CVE Update 2021/5/20 release评审通知
openEuler 20.03 LTS SP1 Update 20210520 release已经测试完成。
请TC委员，Release委员，QA委员在issue内答复评审意见，欢迎广大开发者对本次发布发表意见，您的每条意见我们都会认真对待，并加以改进。
如果您发现了版本的致命问题请及时邮件通知我们，2021年5月24日结束发布流程。
版本目标：CVE修复
版本计划：
例行CVE冻结（本次为周例行版本）：20210519
代码冻结： 20210519
转测试时间：20210520
版本发布： 20210524
本次更新主要涉及：qemu、ruby等包的CVE修复以及libvirt的新特性IO悬挂，需要与qemu一起发布；
修复cve：9个
CVE清单：
CVE-2021-34166次要src-openEuler/qemu
CVE-2021-34095.7次要src-openEuler/qemu
CVE-2021-33923.2不重要src-openEuler/qemu
CVE-2019-145625.5次要src-openEuler/edk2
CVE-2020-250855次要src-openEuler/qemu
CVE-2021-202086.1次要src-openEuler/cifs-utils
CVE-2021-289657.5主要src-openEuler/ruby
CVE-2021-200957.8主要src-openEuler/babel
CVE-2020-180329.8严重src-openEuler/graphviz
涉及新增libvirt特性一个
From: xiasenlin 
Sent: Friday, May 14, 2021 6:15 PM
To: 'release@openeuler.org' release@openeuler.org; 'qa@openeuler.org' qa@openeuler.org; 'sa-announce@openeuler.org' sa-announce@openeuler.org; 'dev@openeuler.org' dev@openeuler.org
Cc: Guoge(JVM) ge.guo@huawei.com; chenyaqiang chenyaqiang@huawei.com; liyongqiang (H) liyongqiang10@huawei.com; Chenzhendong (alex) alex.chen@huawei.com; Liyiting liyiting@huawei.com; Mingpei mingpei@huawei.com; Xuxiaosong xuxiaosong@huawei.com; Hufeng (Solar, Euler) solar.hu@huawei.com; Yanxiaobing yanxiaobing@huawei.com; Liujingang (Bob) liujingang09@huawei.com; fanjiachen (A) fanjiachen3@huawei.com; guoxiaoqi guoxiaoqi2@huawei.com
Subject: 【CVE update】openEuler 20.03 LTS SP1 CVE Update 2021/5/14 release评审通知
openEuler 20.03 LTS SP1 Update 20210430 release已经测试完成。
请TC委员，Release委员，QA委员在issue内答复评审意见，欢迎广大开发者对本次发布发表意见，您的每条意见我们都会认真对待，并加以改进。
如果您发现了版本的致命问题请及时邮件通知我们，2021年5月15日结束发布流程。
版本目标：CVE修复
版本计划：
例行CVE冻结（本次为周例行版本）：20210515
代码冻结： 20210512
转测试时间：20210514
版本发布： 20210515
本次更新主要涉及：golang、xstream等；
修复cve：25个
CVE清单：
CVE-2021-29425 次要 src-openEuler/apache-commons-io
CVE-2021-3487 次要 src-openEuler/binutils
CVE-2021-3487 次要 src-openEuler/binutils
CVE-2021-27506 次要 src-openEuler/clamav
CVE-2021-3448 不重要 src-openEuler/dnsmasq
CVE-2021-29470 次要 src-openEuler/exiv2
CVE-2021-29457 主要 src-openEuler/exiv2
CVE-2021-29458 次要 src-openEuler/exiv2
CVE-2021-28650 次要 src-openEuler/gnome-autoar
CVE-2021-27918 主要 src-openEuler/golang
CVE-2021-28168 次要 src-openEuler/jersey
CVE-2020-28493 次要 src-openEuler/python-jinja2
CVE-2020-28493 次要 src-openEuler/python-jinja2
CVE-2020-15169 次要 src-openEuler/rubygem-actionview
CVE-2021-21349 主要 src-openEuler/xstream
CVE-2021-21350 严重 src-openEuler/xstream
CVE-2021-21348 主要 src-openEuler/xstream
CVE-2021-21351 严重 src-openEuler/xstream
CVE-2021-21341 主要 src-openEuler/xstream
CVE-2021-21342 严重 src-openEuler/xstream
CVE-2021-21343 主要 src-openEuler/xstream
CVE-2021-21344 严重 src-openEuler/xstream
CVE-2021-21345 严重 src-openEuler/xstream
CVE-2021-21346 严重 src-openEuler/xstream
CVE-2021-21347 严重 src-openEuler/xstream
From: guoxiaoqi 
Sent: Friday, May 14, 2021 9:34 AM
To: Hufeng (Solar, Euler) solar.hu@huawei.com; liyongqiang (H) liyongqiang10@huawei.com; chenyaqiang chenyaqiang@huawei.com
Cc: Yanxiaobing yanxiaobing@huawei.com; Jiangzhenhua (Ronnie, Kunpeng Computing) zhenhua.jiang@huawei.com; Liujingang (Bob) liujingang09@huawei.com; fanjiachen (A) fanjiachen3@huawei.com; Zhangtao (zhangtao, AX) zhangtao221@huawei.com; Miaokaibo (miao_kaibo) miaokaibo@huawei.com; wangchong (J) wangchong56@huawei.com; yaokai (G) yaokai13@huawei.com; Xuxiaosong xuxiaosong@huawei.com; xiasenlin xiasenlin1@huawei.com
Subject: RE: 【20.03-LTS-SP1 512 update周版本】启动测试
新增依赖
软件包类别所属分支接口变更责任田
src-openEuler/apache-commons-ioCVESP1不涉及openEuler
src-openEuler/binutilsCVESP1不涉及基础服务
src-openEuler/dnsmasqCVESP1不涉及网络组
src-openEuler/exiv2CVESP1不涉及网络组
src-openEuler/gnome-autoarCVESP1不涉及网络组
src-openEuler/golangCVESP1不涉及容器组
src-openEuler/jerseyCVESP1不涉及openEuler
src-openEuler/python-jinja2CVESP1不涉及基础服务
src-openEuler/rubygem-actionviewCVESP1不涉及openEuler
src-openEuler/velocityCVESP1不涉及openEuler
src-openEuler/xstreamCVESP1不涉及openEuler
src-openEuler/mxparser依赖SP1不涉及openEuler
src-openEuler/xmlpull依赖SP1不涉及openEuler
From: guoxiaoqi 
Sent: Thursday, May 13, 2021 9:10 PM
To: Hufeng (Solar, Euler) solar.hu@huawei.com; liyongqiang (H) liyongqiang10@huawei.com; chenyaqiang chenyaqiang@huawei.com
Cc: Yanxiaobing yanxiaobing@huawei.com; Jiangzhenhua (Ronnie, Kunpeng Computing) zhenhua.jiang@huawei.com; Liujingang (Bob) liujingang09@huawei.com; fanjiachen (A) fanjiachen3@huawei.com; Zhangtao (zhangtao, AX) zhangtao221@huawei.com; Miaokaibo (miao_kaibo) miaokaibo@huawei.com; wangchong (J) wangchong56@huawei.com; yaokai (G) yaokai13@huawei.com; Xuxiaosong xuxiaosong@huawei.com
Subject: RE: 【20.03-LTS-SP1 512 update周版本】启动测试
更新，xstream不涉及接口变更。thrift涉及变更，本次版本暂时不发布
软件包类别所属分支接口变更责任田
src-openEuler/apache-commons-ioCVESP1不涉及openEuler
src-openEuler/binutilsCVESP1不涉及基础服务
src-openEuler/dnsmasqCVESP1不涉及网络组
src-openEuler/exiv2CVESP1不涉及网络组
src-openEuler/gnome-autoarCVESP1不涉及网络组
src-openEuler/golangCVESP1不涉及容器组
src-openEuler/jerseyCVESP1不涉及openEuler
src-openEuler/python-jinja2CVESP1不涉及基础服务
src-openEuler/rubygem-actionviewCVESP1不涉及openEuler
src-openEuler/velocityCVESP1不涉及openEuler
src-openEuler/xstreamCVESP1不涉及openEuler
测试repo：
SP1：http://121.36.84.172/repo.openeuler.org/openEuler-20.03-LTS-SP1/update_20210...
SP1 EPOL：http://121.36.84.172/repo.openeuler.org/openEuler-20.03-LTS-SP1/EPOL/update_...
请测试同时挂载发布源everything和update repo：
SP1 everything: https://repo.openeuler.org/openEuler-20.03-LTS-SP1/everything/$basearch
SP1 update: https://repo.openeuler.org/openEuler-20.03-LTS-SP1/update/$basearch
EPOL：https://repo.openeuler.org/openEuler-20.03-LTS-SP1/EPOL/$basearch
EPOL update：https://repo.openeuler.org/openEuler-20.03-LTS-SP1/EPOL/update/$basearch
From: guoxiaoqi 
Sent: Thursday, May 13, 2021 3:39 PM
To: Hufeng (Solar, Euler) solar.hu@huawei.com; liyongqiang (H) liyongqiang10@huawei.com; chenyaqiang chenyaqiang@huawei.com
Cc: Yanxiaobing yanxiaobing@huawei.com; Jiangzhenhua (Ronnie, Kunpeng Computing) zhenhua.jiang@huawei.com; Liujingang (Bob) liujingang09@huawei.com; guoxiaoqi guoxiaoqi2@huawei.com; fanjiachen (A) fanjiachen3@huawei.com; Zhangtao (zhangtao, AX) zhangtao221@huawei.com; Miaokaibo (miao_kaibo) miaokaibo@huawei.com; wangchong (J) wangchong56@huawei.com; yaokai (G) yaokai13@huawei.com; Xuxiaosong xuxiaosong@huawei.com
Subject: 【20.03-LTS-SP1 512 update周版本】启动测试
请启动openEuler-20.03-LTS-SP1 2021年512 周版本测试
软件包类别所属分支接口变更责任田
src-openEuler/apache-commons-ioCVESP1不涉及openEuler
src-openEuler/binutilsCVESP1不涉及基础服务
src-openEuler/dnsmasqCVESP1不涉及网络组
src-openEuler/exiv2CVESP1不涉及网络组
src-openEuler/gnome-autoarCVESP1不涉及网络组
src-openEuler/golangCVESP1不涉及容器组
src-openEuler/jerseyCVESP1不涉及openEuler
src-openEuler/python-jinja2CVESP1不涉及基础服务
src-openEuler/rubygem-actionviewCVESP1不涉及openEuler
src-openEuler/velocityCVESP1不涉及openEuler
src-openEuler/xstreamCVESP1涉及接口变更openEuler
src-openEuler/thriftCVESP1不涉及openEuler
测试repo：
SP1：http://121.36.84.172/repo.openeuler.org/openEuler-20.03-LTS-SP1/update_20210...
SP1 EPOL：http://121.36.84.172/repo.openeuler.org/openEuler-20.03-LTS-SP1/EPOL/update_...
请测试同时挂载发布源everything和update repo：
SP1 everything: https://repo.openeuler.org/openEuler-20.03-LTS-SP1/everything/$basearch
SP1 update: https://repo.openeuler.org/openEuler-20.03-LTS-SP1/update/$basearch
EPOL：https://repo.openeuler.org/openEuler-20.03-LTS-SP1/EPOL/$basearch
EPOL update：https://repo.openeuler.org/openEuler-20.03-LTS-SP1/EPOL/update/$basearch
_______________________________________________ Dev mailing list -- dev@openeuler.org To unsubscribe send an email to dev-leave@openeuler.org