keepalived: bump to 2.3.2

This requires backporting two upstream commits to avoid a segfault
due to the /etc/iproute2/rt_addrprotos.d and
/usr/share/iproute2/rt_addrprotos.d directories not existing on OpenWrt,
and the following compile error:

In file included from /home/stijn/Development/OpenWrt/openwrt/staging_dir/toolchain-powerpc64_e5500_gcc-13.3.0_musl/include/net/ethernet.h:10,
                 from vrrp.c:44:
/home/stijn/Development/OpenWrt/openwrt/staging_dir/toolchain-powerpc64_e5500_gcc-13.3.0_musl/include/netinet/if_ether.h:115:8: error: redefinition of 'struct ethhdr'
  115 | struct ethhdr {
      |        ^~~~~~
In file included from vrrp.c:43:
/home/stijn/Development/OpenWrt/openwrt/staging_dir/toolchain-powerpc64_e5500_gcc-13.3.0_musl/include/linux/if_ether.h:173:8: note: originally defined here
  173 | struct ethhdr {
      |        ^~~~~~

Signed-off-by: Stijn Tintel <[email protected]>

antiblock: Update to 2.1.1

1) Fixed a bug that not all routers were deleted.
2) Log updated.
3) The "output" option has been removed from the service, it is now /tmp/antiblock

Signed-off-by: Khachatryan Karen <[email protected]>

alist: Update to 3.43.0

Signed-off-by: Tianling Shen <[email protected]>

dnsproxy: Update to 0.75.2

Signed-off-by: Tianling Shen <[email protected]>

netbird: update to 0.38.2

changelog: https://github.com/netbirdio/netbird/releases/tag/v0.38.2

Signed-off-by: Wesley Gimenes <[email protected]>

snowflake: update to 2.11.0

ChangeLog:
https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/snowflake/-/commit/6472bd86cdd5d13fe61dc851edcf83b03df7bda1

Signed-off-by: Nick Hainke <[email protected]>

adguardhome: bump to 0.107.59

Use prebuilt frontend and drop node/host depenendency as a result.

Changelog: https://github.com/AdguardTeam/AdGuardHome/releases/tag/v0.107.59
Signed-off-by: George Sapkin <[email protected]>

adguardhome: bump to 0.107.58

Changelog: https://github.com/AdguardTeam/AdGuardHome/releases/tag/v0.107.58
Signed-off-by: George Sapkin <[email protected]>

adguardhome: assign PKG_CPE_ID

Link: https://nvd.nist.gov/products/cpe/search/results?namingFormat=2.3&orderBy=2.3&keyword=cpe%3A2.3%3Aa%3Aadguard%3Aadguardhome
Link: https://github.com/openwrt/packages/issues/8534
Signed-off-by: George Sapkin <[email protected]>

adguardhome: add CI version check

Signed-off-by: George Sapkin <[email protected]>

lighttpd: update to lighttpd 1.4.78 release hash

Signed-off-by: Glenn Strauss <[email protected]>

gnutls: Update to version 3.8.9

All patches refreshed.

Verbatim copy from upstream's NEWS file:

* Version 3.8.9 (released 2025-02-07)

** libgnutls: leancrypto was added as an interim option for PQC
   The library can now be built with leancrypto instead of liboqs for
   post-quantum cryptography (PQC), when configured with
   --with-leancrypto option instead of --with-liboqs.

** libgnutls: Experimental support for ML-DSA signature algorithm
   The library and certtool now support ML-DSA signature algorithm as
   defined in FIPS 204 and based on
   draft-ietf-lamps-dilithium-certificates-04. This feature is
   currently marked as experimental and can only be enabled when
   compiled with --with-leancrypto or --with-liboqs.
   Contributed by David Dudas.

** libgnutls: Support for ML-KEM-1024 key encapsulation mechanism
   The support for ML-KEM post-quantum key encapsulation mechanisms
   has been extended to cover ML-KEM-1024, in addition to ML-KEM-768.
   MLKEM1024 is only offered as SecP384r1MLKEM1024 hybrid as per
   draft-kwiatkowski-tls-ecdhe-mlkem-03.

** libgnutls: Fix potential DoS in handling certificates with numerous name
   constraints, as a follow-up of CVE-2024-12133 in libtasn1. The
   bundled copy of libtasn1 has also been updated to the latest 4.20.0
   release to complete the fix.  Reported by Bing Shi (#1553).
   [GNUTLS-SA-2025-02-07, CVSS: medium] [CVE-2024-12243]

** API and ABI modifications:
GNUTLS_PK_MLDSA44: New enum member of gnutls_pk_algorithm_t
GNUTLS_PK_MLDSA65: New enum member of gnutls_pk_algorithm_t
GNUTLS_PK_MLDSA87: New enum member of gnutls_pk_algorithm_t
GNUTLS_SIGN_MLDSA44: New enum member of gnutls_sign_algorithm_t
GNUTLS_SIGN_MLDSA65: New enum member of gnutls_sign_algorithm_t
GNUTLS_SIGN_MLDSA87: New enum member of gnutls_sign_algorithm_t

* Version 3.8.8 (released 2024-11-05)

** libgnutls: Experimental support for X25519MLKEM768 and SecP256r1MLKEM768 key exchange in TLS 1.3
   The support for post-quantum key exchanges has been extended to
   cover the final standard of ML-KEM, following
   draft-kwiatkowski-tls-ecdhe-mlkem. The minimum supported version of
   liboqs is bumped to 0.11.0.

** libgnutls: All records included in an OCSP response are now checked in TLS
   Previously, when multiple records are provided in a single OCSP
   response, only the first record was considered; now all those
   records are examined until the server certificate matches.

** libgnutls: Handling of malformed compress_certificate extension is now more standard compliant
   The server behavior of receiving a malformed compress_certificate
   extension now more strictly follows RFC 8879; return
   illegal_parameter alert instead of bad_certificate, as well as
   overlong extension data is properly rejected.

** build: More flexible library linking options for compression libraries, TPM, and liboqs support
   The configure options, --with-zstd, --with-brotli, --with-zlib,
   --with-tpm2, and --with-liboqs now take 4 states:
   yes/link/dlopen/no, to specify how the libraries are linked or
   loaded.

** API and ABI modifications:
No changes since last version.

* Version 3.8.7 (released 2024-08-15)

** libgnutls: New configure option to compile out DSA support
   The --disable-dsa configure option has been added to completely disable DSA
   algorithm support.

** libgnutls: Experimental support for X25519Kyber768Draft00 key exchange in TLS
   For testing purposes, the hybrid post-quantum key exchange defined
   in draft-tls-westerbaan-xyber768d00 has been implemented using
   liboqs. Since the algorithm is still not finalized, the support of
   this key exchange is disabled by default and can be enabled with
   the --with-liboqs configure option.

** API and ABI modifications:
GNUTLS_PK_MLKEM768: New enum member of gnutls_pk_algorithm_t

* Version 3.8.6 (released 2024-07-03)

** libgnutls: PBMAC1 is now supported as a MAC mechanism for PKCS#12
   To be compliant with FIPS 140-3, PKCS#12 files with MAC based on
   PBKDF2 (PBMAC1) is now supported, according to the specification
   proposed in draft-ietf-lamps-pkcs12-pbmac1.

** libgnutls: SHA3 extendable output functions (XOF) are now supported
   SHA3 XOF, SHAKE128 and SHAKE256, are now usable through a new
   public API gnutls_hash_squeeze.

** API and ABI modifications:
gnutls_pkcs12_generate_mac3: New function
gnutls_pkcs12_flags_t: New enum
gnutls_hash_squeeze: New function

Compile tested: x86/64, QEMU Standard PC (Q35 + ICH9, 2009), r29064-696ad7b1aa09
Compile tested: ath79/generic, TP-Link Archer C7 v4, r29064-696ad7b1aa09
Compile tested: realtek/rtl838x, Netgear GS108T v3, r29064-696ad7b1aa09
Run tested: x86/64, QEMU Standard PC (Q35 + ICH9, 2009), r29064-696ad7b1aa09, booted and used for 7h without issues
Run tested: ath79/generic, TP-Link Archer C7 v4, r29064-696ad7b1aa09, booted and used for 7h without issues
Run tested: realtek/rtl838x, Netgear GS108T v3, r29064-696ad7b1aa09, booted and used for 7h without issues

Signed-off-by: Pascal Ernster <[email protected]>

bind: bump to 9.20.7

Verbatim copy from upstream's release notes:

Notes for BIND 9.20.7

- New Features
  - Implement the min-transfer-rate-in configuration option.
  - A new option min-transfer-rate-in has been added to the view and zone configurations. It can abort incoming zone transfers that run very slowly due to network-related issues, for example. The default value is 10240 bytes in five minutes. [GL #3914]
  - Add HTTPS record query to host command line tool.
  - The host command was extended to also query for the HTTPS RR type by default.
  - Implement sig0key-checks-limit and sig0message-checks-limit.
  - Previously, a hard-coded limitation of a maximum of two key or message verification checks was introduced when checking a message’s SIG(0) signature, to protect against possible DoS attacks. Two as a maximum was chosen so that more than a single key should only be required during key rotations, and in that case two keys are enough. It later became apparent that there are other use cases where even more keys are required; see the related GitLab issue for examples.
  - This change introduces two new configuration options for the views: sig0key-checks-limit and sig0message-checks-limit. They define how many keys can be checked to find a matching key, and how many message verifications are allowed to take place once a matching key has been found. The former provides slightly less “expensive” key parsing operations and defaults to 16. The latter protects against expensive cryptographic operations when there are keys with colliding tags and algorithm numbers; the default is 2. [GL #5050]
- Bug Fixes
  - Fix dual-stack-servers configuration option.
  - The dual-stack-servers configuration option was not working as expected; the specified servers were not being used when they should have been, leading to resolution failures. This has been fixed. [GL #5019]
  - Fix a data race causing a permanent active client increase.
  - Previously, a data race could cause a newly created fetch context for a new client to be used before it had been fully initialized, which would cause the query to become stuck; queries for the same data would be either paused indefinitely or dropped because of the clients-per-query limit. This has been fixed. [GL #5053]
  - Fix deferred validation of unsigned DS and DNSKEY records.
  - When processing a query with the “checking disabled” bit set (CD=1), named stores the invalidated result in the cache, marked “pending”. When the same query is sent with CD=0, the cached data is validated and either accepted as an answer, or ejected from the cache as invalid. This deferred validation was not attempted for DS and DNSKEY records if they had no cached signatures, causing spurious validation failures. The deferred validation is now completed in this scenario.
  - Also, if deferred validation fails, the data is now re-queried to find out whether the zone has been corrected since the invalid data was cached. [GL #5066]
  - Fix RPZ race condition during a reconfiguration.
  - With RPZ in use, named could terminate unexpectedly because of a race condition when a reconfiguration command was received using rndc. This has been fixed. [GL #5146]
  - “CNAME and other data check” not applied to all types.
  - An incorrect optimization caused “CNAME and other data” errors not to be detected if certain types were at the same node as a CNAME. This has been fixed. [GL #5150]
  - Relax private DNSKEY and RRSIG constraints.
  - DNSKEY, KEY, RRSIG, and SIG constraints have been relaxed to allow empty key and signature material after the algorithm identifier for PRIVATEOID and PRIVATEDNS. It is arguable whether this falls within the expected use of these types, as no key material is shared and the signatures are ineffective, but these are private algorithms and they can be totally insecure. [GL #5167]
  - Remove NSEC/DS/NSEC3 RRSIG check from dns_message_parse().
  - Previously, when parsing responses, named incorrectly rejected responses without matching RRSIG records for NSEC/DS/NSEC3 records in the authority section. This rejection, if appropriate, should have been left for the validator to determine and has been fixed. [GL #5185]
  - Fix TTL issue with ANY queries processed through RPZ “passthru”.
  - Answers to an “ANY” query which were processed by the RPZ “passthru” policy had the response-policy’s max-policy-ttl value unexpectedly applied. This has been fixed. [GL #5187]
  - dnssec-signzone needs to check for a NULL key when setting offline.
  - dnssec-signzone could dereference a NULL key pointer when resigning a zone. This has been fixed. [GL #5192]
  - Fix a bug in the statistics channel when querying zone transfer information.
  - When querying zone transfer information from the statistics channel, there was a rare possibility that named could terminate unexpectedly if a zone transfer was in a state when transferring from all the available primary servers had failed earlier. This has been fixed. [GL #5198]
  - Fix assertion failure when dumping recursing clients.
  - Previously, if a new counter was added to the hash table while dumping recursing clients via the rndc recursing command, and fetches-per-zone was enabled, an assertion failure could occur. This has been fixed. [GL #5200]
  - Dump the active resolver fetches from dns_resolver_dumpfetches()
  - Previously, active resolver fetches were only dumped when the fetches-per-zone configuration option was enabled. Now, active resolver fetches are dumped along with the number of clients-per-query counters per resolver fetch.

Notes for BIND 9.20.6

- New Features
  - Adds support for EDE code 1 and 2.
  - Support was added for EDE codes 1 and 2, which might occur during DNSSEC validation in the case of an unsupported RRSIG algorithm or DNSKEY digest. [GL #2715]
  - Add an rndc command to toggle jemalloc profiling.
  - The new command is rndc memprof; the memory profiling status is also reported inside rndc status. The status shows whether named can toggle memory profiling, and whether the server is built with jemalloc. [GL #4759]
  - Add support for multiple extended DNS errors.
  - The Extended DNS Error (EDE) mechanism may raise errors during a DNS resolution. named is now able to add up to three EDE codes in a DNS response. If there are duplicate error codes, only the first one is part of the DNS response. [GL #5085]
  - Print the expiration time of stale records.
  - BIND now prints the expiration time of any stale RRsets in the cache dump.
- Bug Fixes
  - Recently expired records could be returned with a timestamp in future.
  - Under rare circumstances, an RRSet that expired at the time of the query could be returned with a TTL in the future. This has been fixed.
  - As a side effect, the expiration time of expired RRSets is no longer returned in a cache dump. [GL #5094]
  - YAML string not terminated in negative response in delv.
  - [GL #5098]
  - Fix a bug in dnssec-signzone related to keys being offline.
  - When dnssec-signzone was called on an already-signed zone and the private key file was unavailable, a signature that needed to be refreshed was dropped without being able to generate a replacement. This has been fixed. [GL #5126]
  - Apply the memory limit only to ADB database items.
  - Under heavy load, a resolver could exhaust the memory available for storing the information in the Address Database (ADB), effectively discarding previously stored information in the ADB. The memory used to retrieve and provide information from the ADB is no longer subject to the same memory limits that are applied to the Address Database. [GL #5127]
  - Avoid unnecessary locking in the zone/cache database.
  - Lock contention among many worker threads referring to the same database node at the same time is now prevented. This improves zone and cache database performance for any heavily contended database nodes. [GL #5130]
  - Fix reporting of Extended DNS Error 22 (No Reachable Authority).
  - This error code was previously not reported in some applicable situations. This has been fixed. [GL #5137]

Compile tested: x86/64, QEMU Standard PC (Q35 + ICH9, 2009), r29064-696ad7b1aa09
Compile tested: ath79/generic, TP-Link Archer C7 v4, r29064-696ad7b1aa09
Compile tested: realtek/rtl838x, Netgear GS108T v3, r29064-696ad7b1aa09
Run tested: x86/64, QEMU Standard PC (Q35 + ICH9, 2009), r29064-696ad7b1aa09, booted and used for 7h without issues
Run tested: ath79/generic, TP-Link Archer C7 v4, r29064-696ad7b1aa09, booted and used for 7h without issues
Run tested: realtek/rtl838x, Netgear GS108T v3, r29064-696ad7b1aa09, booted and used for 7h without issues

Signed-off-by: Pascal Ernster <[email protected]>

coreutils: apply PKG_FIXUP conditionally

PKG_FIXUP:=autoreconf introduced in this commit[1] to fix builds with GCC 14
does not play well with GCC 13. Apply it conditionally.

I build some coreutils packages under GCC 13 and again under GCC 14 and both
completed successfully.

Build system: x86/64
Build-tested: x86/64

Fixes https://github.com/openwrt/packages/issues/26175

1. https://github.com/openwrt/packages/commit/b1a648e1ff60932e2b8f65479da3059d1c1b8b58

Signed-off-by: John Audia <[email protected]>

adblock: update 4.2.7-3

* fixed a reversed domain output when TLD compression is disabled (reported in the forum)
* removed abandoned antipopads source
* added three energized source variants (blu, spark, ultimate)

Signed-off-by: Dirk Brenken <[email protected]>

coreutils: Add PKG_FIXUP:=autoreconf and bump PKG_RELEASE

This fixes the build on GCC 14 and solves issue https://github.com/openwrt/packages/issues/26175

Maintainer: @hnyman
Compile tested: x86/64, QEMU Standard PC (Q35 + ICH9, 2009), r29064-696ad7b1aa09
Compile tested: ath79/generic, TP-Link Archer C7 v4, r29064-696ad7b1aa09
Compile tested: realtek/rtl838x, Netgear GS108T v3, r29064-696ad7b1aa09
Run tested: x86/64, QEMU Standard PC (Q35 + ICH9, 2009), r29064-696ad7b1aa09, booted and used for 7h without issues
Run tested: ath79/generic, TP-Link Archer C7 v4, r29064-696ad7b1aa09, booted and used for 7h without issues
Run tested: realtek/rtl838x, Netgear GS108T v3, r29064-696ad7b1aa09, booted and used for 7h without issues

Signed-off-by: Pascal Ernster <[email protected]>

antiblock: Update to 2.1.0

1) Added the ability to route different domains through different gateways, up to 32 routes.
2) The program has been switched from proxying mode to sniffer mode.
3) Blacklist has been added so that the specified subnets are not added to the routing table.

Signed-off-by: Khachatryan Karen <[email protected]>

snort3: update to 3.7.1.0

Changelog: https://github.com/snort3/snort3/releases/tag/3.7.1.0

Signed-off-by: John Audia <[email protected]>

libdaq3: update to 3.0.19

Update to latest version.

Changelog: https://github.com/snort3/libdaq/releases/tag/v3.0.19

Signed-off-by: John Audia <[email protected]>

haproxy: update to v3.0.9

- Update haproxy PKG_VERSION and PKG_HASH
- See changes: http://git.haproxy.org/?p=haproxy-3.0.git;a=shortlog

Signed-off-by: Christian Lachner <[email protected]>

knot: update to version 3.4.5

Signed-off-by: Jan Hák <[email protected]>

fsh: update to 4.9.0

Signed-off-by: Ray Wang <[email protected]>

treewide: drop node module packages

https://github.com/openwrt/packages/pull/26116
We will no longer be building packages for various target architectures for node.js.

I will be dropping node-related packages that are no longer needed for this reason.

You can still use hostpkg's node.js as a build tool, so you can still use yarn and javascript-obfuscator as before.

Signed-off-by: Hirokazu MORIKAWA <[email protected]>

curl: add new option HTTP AUTH

The '--enable-http-auth' compile option in cURL is used to enable support
for HTTP authentication methods. This option allows cURL to handle various
authentication schemes, such as Basic, Digest, NTLM, and others, which
are commonly used in HTTP requests to secure access to resources.

This cURL compile option is default disabled. This should at least be enabled
as a compile option in OpenWrt so that it can be switched on if needed.

Signed-off-by: Florian Eckert <[email protected]>

dockerd: fix build issue with custom core.abbrev value in .gitconfig

As documented by "man git-rev-parse", the "--short" option shortens
commit sha1sums to at least "length" characters, equal to core.abbrev if
that is specified in ~/.gitconfig.

The development processes of some other open source projects require
having a

[core]
abbrev = 12

in the .gitconfig, which is incompatible with the way in which docker
wants PKG_GIT_SHORT_COMMIT.

On my system, I get these errors:

  make[3]: Entering directory 'feeds/packages/utils/dockerd'
  (...)
  # Verify CLI is the same version
  ( CLI_MAKEFILE="../docker/Makefile"; CLI_VERSION=$( grep --only-matching --perl-regexp '(?<=PKG_VERSION:=)(.*)' "${CLI_MAKEFILE}" ); if [ "${CLI_VERSION}" != "27.3.1" ]; then echo "ERROR: Expected 'PKG_VERSION:=27.3.1' in '${CLI_MAKEFILE}', found 'PKG_VERSION:=${CLI_VERSION}'"; exit 1; fi )
  # Verify PKG_GIT_SHORT_COMMIT
  ( EXPECTED_PKG_GIT_SHORT_COMMIT=$( feeds/packages/utils/dockerd/git-short-commit.sh 'github.com/moby/moby' 'v27.3.1' 'tmp/git-short-commit/dockerd-27.3.1' ); if [ "${EXPECTED_PKG_GIT_SHORT_COMMIT}" != "41ca978" ]; then echo "ERROR: Expected 'PKG_GIT_SHORT_COMMIT:=${EXPECTED_PKG_GIT_SHORT_COMMIT}', found 'PKG_GIT_SHORT_COMMIT:=41ca978'"; exit 1; fi )
  Trying remote 'github.com/moby/moby'
  fatal: 'github.com/moby/moby' does not appear to be a git repository
  fatal: Could not read from remote repository.

  Please make sure you have the correct access rights
  and the repository exists.
  Trying remote 'https://github.com/moby/moby'
  remote: Enumerating objects: 11117, done.
  From https://github.com/moby/moby
   * tag                         v27.3.1    -> FETCH_HEAD
  HEAD is now at 41ca978a0a54 Merge pull request #48525 from thaJeztah/27.x_backport_govulncheck_permissions
  ERROR: Expected 'PKG_GIT_SHORT_COMMIT:=41ca978a0a54', found 'PKG_GIT_SHORT_COMMIT:=41ca978'
  make[3]: *** [Makefile:198: build_dir/target-aarch64_generic_glibc/dockerd-27.3.1/.prepared_d76b59f2eb81424899b1fbb9e44f77e2_6664517399ebbbc92a37c5bb081b5c53] Error 1
  make[3]: Leaving directory 'feeds/packages/utils/dockerd'
  time: package/feeds/packages/dockerd/compile#1.71#1.18#5.38
      ERROR: package/feeds/packages/dockerd failed to build.

Since --short supports a length argument, use that to break the
dependency on the system .gitconfig.

Signed-off-by: Vladimir Oltean <[email protected]>

docker-compose: Update to version 2.34.0

Release notes:
https://github.com/docker/compose/releases/tag/v2.34.0

Signed-off-by: Javier Marcet <[email protected]>

hev-socks5-tunnel: update to 2.10.0

Signed-off-by: Ray Wang <[email protected]>

stress-ng: bump to version 0.18.11

Also fixes MIPS builds.
Seems there is some inline assembly that won't work with MIPS16
instructions.

Signed-off-by: Alexandru Ardelean <[email protected]>

net/arp-scan: Disable promiscuous mode

If you run the arp-scan tool cyclically, the kernel messages for
promiscuous mode are very annoying.

This backports an upstream patch to disable the unnecessary promiscuous
mode in arp-scan.

Signed-off-by: Martin Schiller <[email protected]>

Unbound: Fixed: local-data except IPv6 GA addresses with odhcpd

issue #25954

Signed-off-by: hingbong lo <[email protected]>

hev-socks5-tproxy: update to 2.8.0

Signed-off-by: Ray Wang <[email protected]>

natmap: update to 20250318

Signed-off-by: Ray Wang <[email protected]>

pptpd: Fix secrets update

Clear pptp-server existing logins from CHAP_SECRETS file before adding new login data.

Signed-off-by: Thiago Pereira Ricciardi <[email protected]>

htop: tell which variant of ncurses to look for

Signed-off-by: Maxim Storchak <[email protected]>

coreutils: Adjust coreutils dependency in each app to be selective

Adjust the dependency to the virtual coreutils main package in
each app to be selective. Otherwise you need to first select the
main coreutils before the actuall apps can be selected. That has
prevented other applications from depending on just one individual
coreutils app, as they have needed to depend also on the empty main
coreutils package.

Reference to discussion in:
https://github.com/openwrt/luci/issues/7605

Signed-off-by: Hannu Nyman <[email protected]>

coreutils: Upgrade to 9.6

Upgrade GNU coreutils to version 9.6
* refresh patch

Signed-off-by: Hannu Nyman <[email protected]>

adguardhome: bump to 0.107.57

Changelog: https://github.com/AdguardTeam/AdGuardHome/releases/tag/v0.107.57
Signed-off-by: George Sapkin <[email protected]>

adguardhome: remove unnecessary build options

Remove `node-yarn/host` because the upstream switched to npm
Remove `NODE_OPTIONS=--openssl-legacy-provider` because it's not necessary since Node.js 18.x

Link: https://github.com/AdguardTeam/AdGuardHome/commit/1afe226ce8f8af179e1eacccf4cdd63823f0c358#diff-b335630551682c19a781afebcf4d07bf978fb1f8ac04c6bf87428ed5106870f5R210-L211
Link: https://github.com/AdguardTeam/AdGuardHome/commit/1afe226ce8f8af179e1eacccf4cdd63823f0c358#diff-b335630551682c19a781afebcf4d07bf978fb1f8ac04c6bf87428ed5106870f5L223-L230
Signed-off-by: George Sapkin <[email protected]>

snort3: update to 3.7.0.0

Changelog: https://github.com/snort3/snort3/releases/tag/3.7.0.0

Signed-off-by: John Audia <[email protected]>

netbird: update to 0.38.0

changelog: https://github.com/netbirdio/netbird/releases/tag/v0.38.0

Signed-off-by: Wesley Gimenes <[email protected]>

mc: update project URLs

Upstream is preparing the migration to a new website. As part of this, they
will be dropping the `www` prefix. Also, the package source is updated to use
mc's official OSU OSL mirror over HTTPS.

Signed-off-by: Yury V. Zaytsev <[email protected]>

bcm27xx-eeprom: update to v2025-02-12-2712

bcm2711:
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2711/release-notes.md#2024-12-07-enable-banklow-and-so-numa-by-default-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2711/release-notes.md#2024-12-07-enable-banklow-and-so-numa-by-default-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2711/release-notes.md#2025-02-11-recovery-walk-partitions-to-delete-recoverybin-latest

bcm2712:
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2024-11-27-rp1fw-add-fifo_state--drain_tx-fix-can_add_program-default
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2024-12-07-enable-banklow-and-so-numa-by-default-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2024-12-15-add-net-install-to-boot-menu-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2024-12-19-disable-fan-pwm-before-shutdown-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2025-01-06-stop-the-fan-after-after-fan-probe-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2025-01-07-fixup-m2-hat-detection-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2025-01-08-update-sdram-refresh-timings-for-bcm2712d0-products-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2025-01-13-improved-sdram-refresh-timings-for-pi5-16gb-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2025-01-14-add-set_reboot_order-api-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2025-01-22-add-dt-chosen-property-signed-boot-bootimg-hash-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2025-01-27-walk-the-partition-table-if-the-requested-partition-is-not-bootable-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2025-02-11-cm5-no-wifi-stability-improvements-latest
https://github.com/raspberrypi/rpi-eeprom/blob/v2025.02.12-2712/firmware-2712/release-notes.md#2025-02-12-fixup-change-to-disable-37v-pmic-output-on-cm5-no-wifi-latest

Full changelog: https://github.com/raspberrypi/rpi-eeprom/compare/v2024.11.12-2712...v2025.02.12-2712

Signed-off-by: Álvaro Fernández Rojas <[email protected]>

lxc: add two files to default backup list

Users running unprivileged containers will need to create
/etc/subgid and /etc/subuid and want to have them preserved
across updates. This commit adds them to the default backup set.

Signed-off-by: John Audia <[email protected]>
Co-authored-by: Tianling Shen <[email protected]>

lxc: lxc-checkconfig fix typo

Fix a typo introduced in https://github.com/openwrt/packages/pull/25719/commits/fd686a32209f74cd12ca434bc3245ef0f7589c46
which partially broke lxc-checkconfig

Build system: x86/64
Build-tested: bcm27xx/bcm2712
Run-tested: bcm27xx/bcm2712

Signed-off-by: John Audia <[email protected]>

owut: update to 2025.03.14

Bug fixes:
    efahl/owut@15d734237725 owut: fix incorrect log levels on list and blob commands
    efahl/owut@3867b98d0ea1 owut: fix parsing of certain APK versions

Enhancements:
    efahl/owut@52e7d44c99a3 owut: allow user to override 'package_changes'

Signed-off-by: Eric Fahlgren <[email protected]>

node: make hostpkg only

https://github.com/openwrt/packages/issues/26078
As a result of the discussion in this thread, the node.js package was changed to hostpkg only.
In addition, this fix uses the pre-built version distributed on nodejs.
The use of pre-build is based on the suggestion of @artynet.

The packages in the node module are successfully built, but the target node.js itself cannot be provided, so it cannot be used.

Yarn, which is used in packages for web front ends, etc., can be used without any problems.

Support for host builds other than linux x86_64.

Signed-off-by: Hirokazu MORIKAWA <[email protected]>

numpy: bump to version 2.2.3

Signed-off-by: Alexandru Ardelean <[email protected]>

pytz: bump to version 2025.1

Signed-off-by: Alexandru Ardelean <[email protected]>

python-evdev: bump to version 1.9.1

Signed-off-by: Alexandru Ardelean <[email protected]>

django: bump to version 5.1.7

Signed-off-by: Alexandru Ardelean <[email protected]>

ipmitool: disable FreeIPMI support

Now that we are building FreeIPMI library ipmitool will detect it
and since we are already passing --enable-intf-free it will build
support for FreeIPMI as well.

However, --enable-intf-free was previously no-op since it would just
fail to detect FreeIPMI and disable support for it but now it seems
that buildbots build FreeIPMI first and then ipmitool will fail with
missing dependency on FreeIPMI library.

Since FreeIPMI is quite big and previously ipmitool was built without
support for it anyway lets disable support for FreeIPMI in ipmitool and
if its required it can be made optional or as a package variant later.

This fixes building ipmitool via buildbots again.

Signed-off-by: Robert Marko <[email protected]>

dockerd: add docker-storage to init

Docker's backend storage driver can be configurable for certain
filesystems. The default is the overlay storage driver, but if you run
openwrt on a system with btrfs, this will allow you to override the
default configuration by settings the storage_driver in uci in dockerd's
global section. This value will be used in the created dockerd.json
file.

Signed-off-by: Keith T. Garner <[email protected]>

gst1-libav: bump to 1.24.12

Signed-off-by: Koen Vandeputte <[email protected]>

gst1-plugins-ugly: bump to 1.24.12

Signed-off-by: Koen Vandeputte <[email protected]>

gst1-plugins-bad: bump to 1.24.12

Signed-off-by: Koen Vandeputte <[email protected]>

gst1-plugins-base: bump to 1.24.12

Signed-off-by: Koen Vandeputte <[email protected]>

gst1-plugins-good: bump to 1.24.12

Signed-off-by: Koen Vandeputte <[email protected]>

gstreamer1: bump to 1.24.12

Signed-off-by: Koen Vandeputte <[email protected]>

nginx: update to 1.26.3

Signed-off-by: Jan Klos <[email protected]>

htop: update to 3.4.0

Changelog: https://github.com/htop-dev/htop/compare/3.3.0...3.4.0

Build system: x86/64
Build-tested: bcm27xx/bcm2712, x86/64
Run-tested: bcm27xx/bcm2712

Signed-off-by: John Audia <[email protected]>

xray-core: Update to 25.3.6

Signed-off-by: Tianling Shen <[email protected]>

cloudflared: Update to 2025.2.1

Signed-off-by: Tianling Shen <[email protected]>

banIP: update 1.5.3-3

* fix a race condition in the process scheduler
* sync the banIP country file with ipdeny feed
* refine etag handling with country/asn feeds
* refine logging with country/asn feeds
* refine the banIP status output (incl. LuCI changes)

Signed-off-by: Dirk Brenken <[email protected]>

adblock: update 4.2.7-2

* fix an out of bound error reported in the forum
* set always a default for "adb_dnsdir" to prevent cornercase issues

Signed-off-by: Dirk Brenken <[email protected]>

psqlodbc: update to 17.00.0004

Change source to Github since they dont distribute source tarballs anymore,
enable autoreconf in order to generate configure script.

This actually makes psqlodbc as its been broken for a while.

Signed-off-by: Robert Marko <[email protected]>

tailscale: Update to 1.80.3

Signed-off-by: Zephyr Lykos <[email protected]>

golang: Update to 1.24.1

go1.24.1 (released 2025-03-04) includes security fixes to the net/http
package, as well as bug fixes to cgo, the compiler, the go command,
and the reflect, runtime, and syscall packages.

Signed-off-by: Tianling Shen <[email protected]>

golang: Update to 1.24.0

Add libstdcpp and libtiff as dependencies, which are required by
debug/elf package.

Release note: https://go.dev/doc/go1.24

Signed-off-by: Tianling Shen <[email protected]>

tgt: update to 1.0.95

Signed-off-by: Maxim Storchak <[email protected]>

wget: update to 1.25.0

Fixes: CVE-2024-38428
Signed-off-by: Chad Monroe <[email protected]>

conserver: add runtime test

Simply test that both variants produce a binary for now

Signed-off-by: Bjørn Mork <[email protected]>

conserver: fix crash on early exit

Add pending patch, fixing a crash when conserver exits
without starting the server.

Link: https://github.com/bstansell/conserver/pull/97
Signed-off-by: Bjørn Mork <[email protected]>

conserver: update to version 8.2.7

version 8.2.7 (July 7, 2022):
        - configure.ac: autoconf-2.70 fix (Lars Wendler <[email protected]>)
        - Add high baud rates (Peter Chubb <[email protected]>)
        - Make compile --with-ipv6 & setproctitle (Bjoern A. Zeeb <[email protected]>)
        - conserver.cf: devicesubst add 'b' for baud rate (Bjoern A. Zeeb <[email protected]>)
        - Reflect that baud values have increased to 7 digits (Bjoern A. Zeeb <[email protected]>)
        - cirrus-ci: move to freebsd-13-0 (Bryan Stansell <[email protected]>)
        - configure.ac: support libgssapi_krb5 (Jiri Kastner <[email protected]>)

Drop upstreamed patch 000-100-backport-config-macro-fix.patch

Signed-off-by: Bjørn Mork <[email protected]>

conserver: add IPMI support

Linking conserver with FreeIPMI enables it to manage
serial-over-LAN (SOL) consoles in addition to the already
supported tty and tcp/telnet consoles.

The FreeIPMI library is huge. Adding a separate package
variant for this feature.

Signed-off-by: Bjørn Mork <[email protected]>

freeipmi: The GNU IPMI library

FreeIPMI provides in-band and out-of-band IPMI software based on the
IPMI v1.5/2.0 specification. The IPMI specification defines a set of
interfaces for platform management and is implemented by a number of
vendors for system management. The features of IPMI that most users
will be interested in are sensor monitoring, system event monitoring,
power control, and serial-over-LAN (SOL). The FreeIPMI tools and
libraries listed below should provide users with the ability to
access and utilize these and many other features. A number of useful
features for large HPC or cluster environments have also been
implemented into FreeIPMI.

Signed-off-by: Bjørn Mork <[email protected]>

liburcu: update to version 0.15.1

Signed-off-by: Jan Hák <[email protected]>

hev-socks5-tunnel: update to 2.9.1

Signed-off-by: Ray Wang <[email protected]>

hev-socks5-tproxy: update to 2.7.0

Signed-off-by: Ray Wang <[email protected]>

hev-socks5-server: update to 2.8.0

Signed-off-by: Ray Wang <[email protected]>

gateway-go: update to 0.3.16

Signed-off-by: Yu Fang <[email protected]>

luaposix: update to 36.3

Signed-off-by: Maxim Storchak <[email protected]>

node: mark BROKEN (to test impact on buildbot timeouts)

Mark node BROKEN to disable its build in buildbot in order
to test the impact on preventing frequent buildbot hangups.

It is suspected that node causes frequent build timeouts/hangups
on aarch/arm/i386/x86 builds: approx 1/3 of builds get timeouted.
Disable node for now to test the hypothesis.

Signed-off-by: Hannu Nyman <[email protected]>

Revert "nginx-mod-njs: fix endianess patch"

This reverts commit 7fdb92b59ac356f9a8c99ea49147ce0e66799a4b.

Now that the actual issue has been found and fixed, this is incorrect
so revert it.

Signed-off-by: Robert Marko <[email protected]>

nginx: actually download the specified git commit hash

Currently, we are using Download recipes to download the various modules,
however we are using then with PROTO:=git but SOURCE_VERSION is not set,
only VERSION variable so thus the dl_github_archive.py scripts gets called
with --version="" instead of being actually passed the desired commit hash
and thus actually the git head is fetched.

This explains why currently buildbots are failling with
nginx-mod-njs/104-endianness_fix.patch failling to apply since buildbots
are using prepackaged tarballs which are different than what we get when
manually building.

So, lets set SOURCE_VERSION to make sure we actually fetch the desired
git commit hash.

Signed-off-by: Robert Marko <[email protected]>

dawn: update to 2025-03-03

Add "option tcp_ip '0.0.0.0'" to config.

Changelog:
62688e4 tcpsocket: add option to bind to specific ip
be63ed4 ubus: actually deny association when no probe entry is found
6361df6 datastorage: fix debug message regarding client kick condition
af593cc ci: fix and improve ci

Signed-off-by: Nick Hainke <[email protected]>

ddns-scripts: Fixup huaweicloud

Script will exit when an error occurred.

Modify write_log 14 to write_log 4,
write_log 14 and write_log 4 can also print the same message,
but write_log 14 will exist script when printed.

Signed-off-by: Lehua Zhang <[email protected]>

adblock: release 4.2.7-1

* optimized uci config processing (list options)
* no longer set a hardcoded confdir in dhcp/dnsmasq config
* rework suspend/resume handling
* clean up download queue handling
* various small improvements & fixes

Signed-off-by: Dirk Brenken <[email protected]>

banIP: update 1.5.3-2

* fix uci config processing (ban_logterm)
* update the readme

Signed-off-by: Dirk Brenken <[email protected]>

lang/node-* : Disable parallel builds for node packages

Disable parallel builds for node downstream packages, as the
buildbot is showing frequent timeout problems
for aarch644, arm, i386 and x86, and node & node packages
are the primary suspect.

Based on discussion in
https://github.com/openwrt/packages/issues/26078

Signed-off-by: Hannu Nyman <[email protected]>

python3-host.mk: disable pip --no-binary on macOS

For some reason, pip builds a broken Cython, which segfaults on attempting
to install wheel. Work around this by allowing to use precompiled wheels.

Signed-off-by: Felix Fietkau <[email protected]>

speedtest-go: update to 1.7.10

Update speedtest-go version to 1.7.10

Signed-off-by: TeleostNaCl Dai <[email protected]>

adblock-fast: bugfix: detect_file_type()

* Properly detect domain lists, fixes https://github.com/openwrt/packages/issues/25973
  Thanks @timfeierabend
* Better output when setting triggers
* No wait for ubus network.interface on boot

Signed-off-by: Stan Grishin <[email protected]>

banIP: release 1.5.3-1

* optimized uci config processing (list options)
* optimized icmp rules in pre-routing (thanks @brada)
* set inbound marker in pre-routing only if inbound logging is enabled (fixes #26044)
* fix cornercase in Set removal function
* print chain-, set- and rules-counter in the banIP status
* clean up logging und download queue handling
* update the readme

Signed-off-by: Dirk Brenken <[email protected]>

gpsd: migrate option device to a list devices

More than one device can be added to the gpsd at startup. Currently the gpsd
service start script in OpenWrt treats this as an option with only one value.
To allow multiple devices to be specified, the uci 'option device' must be
removed and a new uci 'list devices' is added.

This change means that several devices can be specified at gpsd start with
the new uci 'list devices' configuration.

Running configurations in the field are migrated by a migration script.

Signed-off-by: Florian Eckert <[email protected]>

gpsd: add readonly option to uci

The 'readonly' option tells the GPSD that it is not allowed to write to the
GPS TTY, only reading the NMEA data stream is allowed. This option of the
GPSD must be set for my mobile radio device MV31, otherwise the GPSD can not
read the NMEA data stream on the GPS TTY because the GPSD blocks during
plugin probing.

gpsd:PROG: CORE: Probing "Garmin USB binary" driver...
gpsd:PROG: CORE: Probe not found "Garmin USB binary" driver...
gpsd:PROG: CORE: Probing "GeoStar" driver...
gpsd:PROG: Sent GeoStar packet id 0xc1

Signed-off-by: Florian Eckert <[email protected]>

gpsd: only add device to procd start call if device option is configured

Signed-off-by: Florian Eckert <[email protected]>

gpsd: add hotplug handling

The 'gpsd' offers the possibility to call the script '/etc/gpsd/device-hook'
when a GPS source was added or removed via gpsdctl.

In addition to the '/etc/gpsd/device-hook' call an event is now triggered
too after the 'gpsd' has started. This allows scripts to configurre 'gpsd'
receivers.

The following events are available for '/etc/hotplug.d/gpsd' scripts:

* ACTIVATE   via '/etc/gpsd/device-hook'
* DEACTIVATE via '/etc/gpsd/device-hook'
* STARTED    via '/etc/init.d/gpsd'

Signed-off-by: Florian Eckert <[email protected]>

gpsd: add the possibility to start the gpsd with a different log level

This simplifies the handling of log levels if we need more log information
during development.

Signed-off-by: Florian Eckert <[email protected]>

gpsd: add control socket '/var/run/gpsd.sock' on startup

This change makes it possible to add new gps device without restarting the
'gpsd' service by using the 'gpsdctl' command.

Signed-off-by: Florian Eckert <[email protected]>

netbird: update to 0.37.1

changelog: https://github.com/netbirdio/netbird/releases/tag/v0.37.1

Signed-off-by: Wesley Gimenes <[email protected]>