golang: bump to 1.24.3

go1.24.3 (released 2025-05-06) includes security fixes to the os
package, as well as bug fixes to the runtime, the compiler, the linker,
the go command, and the crypto/tls and os packages.

Link: https://github.com/golang/go/issues?q=milestone%3AGo1.24.2+label%3ACherryPickApproved
Signed-off-by: George Sapkin <[email protected]>

libfmt: bump to version 11.2.0

Signed-off-by: Othmar Truniger <[email protected]>

perl: fix parallel build race condition in target build

We have received reports of builds of perl occasionally failing when
building with many parallel jobs, with a log like the following:

    LD_LIBRARY_PATH=[...]/perl/perl-5.40.0 ./miniperl -Ilib make_ext.pl \
        dist/constant/pm_to_blib  MAKE="make" LIBPERL_A=libperl.so
    File/Path.pm did not return a true value at [...]/hostpkg/usr/lib/perl5/5.40.0/ExtUtils/MakeMaker.pm line 13.
    BEGIN failed--compilation aborted at [...]/hostpkg/usr/lib/perl5/5.40.0/ExtUtils/MakeMaker.pm line 13.
    Compilation failed in require at Makefile.PL line 3.
    BEGIN failed--compilation aborted at Makefile.PL line 3.
    Unsuccessful Makefile.PL(dist/constant): code=65280 at make_ext.pl line 532.

The failing extension (dist/constant in the above log) would differ
between runs.

The cause of the issue is the `-Ilib` in the command line of miniperl.
In the host build, `./miniperl -I lib` will use the following include
path:

    [..]/build_dir/hostpkg/perl/perl-5.40.0/cpan/AutoLoader/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/dist/Carp/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/dist/PathTools
    [..]/build_dir/hostpkg/perl/perl-5.40.0/dist/PathTools/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/cpan/ExtUtils-Install/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/cpan/ExtUtils-MakeMaker/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/cpan/ExtUtils-Manifest/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/cpan/File-Path/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/ext/re
    [..]/build_dir/hostpkg/perl/perl-5.40.0/dist/Term-ReadLine/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/dist/Exporter/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/ext/File-Find/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/cpan/Text-Tabs/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/dist/constant/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/cpan/version/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/cpan/Getopt-Long/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/cpan/Text-ParseWords/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/cpan/ExtUtils-PL2Bat/lib
    [..]/build_dir/hostpkg/perl/perl-5.40.0/lib
    .

Various dependencies of the extension build scripts (Makefile.PL) -
including File-Path, which failed to be loaded in the error log - are
included in the path by buildcustomize.pl, as these extensions are only
installed to `lib` as the build proceeds.

However, in a target build, miniperl is just a symlink to the previously
built host perl. As the host perl does not implicitly load
`buildcustomize.pl`, we get the following include path for
`./miniperl -Ilib`:

    lib
    [..]/staging_dir/hostpkg/usr/lib/perl5/site_perl/5.40.0/x86_64-linux
    [..]/staging_dir/hostpkg/usr/lib/perl5/site_perl/5.40.0
    [..]/staging_dir/hostpkg/usr/lib/perl5/5.40.0/x86_64-linux
    [..]/staging_dir/hostpkg/usr/lib/perl5/5.40.0

The host perl's install location is used as the default include path
which provides File-Path etc. for the target build; however, as more
and more libraries get installed into `lib` during the extension build,
they may get loaded from there instead, as `lib` is at the beginning of
the include path. When multiple extensions are built in parallel, a
Makefile.PL may attempt to load File/Path from `lib` after the file has
been created, but before its contents have been written fully, resulting
in the build to fail.

In fact, we should not load anything from `lib` during the target build,
as it is the staging directory for the target, including native
extensions built for the target architecture - with one exception: The
build scripts expect to find target information in the `Config` module,
so simply removing `lib` from the include path completely would break
the build.

Solve the issue by creating an alternative lib directory `lib_build`,
symlinking `Config.pm` and its dependencies in it, and replacing the
`-Ilib` argument with `-Ilib_build` using a wrapper script around the
host perl executable. This is similar to the approach seen in perl's own
obsolete/broken cross compile scripts (`Cross/Makefile`).

Signed-off-by: Matthias Schiffer <[email protected]>

perl: drop 110-always_use_miniperl.patch

The patch was introduced in commit 4c57844f0f04 ("lang/perl: Add hack to
make perl always use miniperl during build"), but it is not actually
necessary. By setting $perl to a non-empty value (using 'perl' as is
common on desktop distros), the logic works as intended and selects the
correct perl binary for host and target builds.

As miniperl just symlinks to host perl for target builds, the main
effect of this change is not unconditionally passing `-Ilib -I.`
anymore. This seems like a good thing; host libraries should be used
with host perl by default.

Signed-off-by: Matthias Schiffer <[email protected]>

perl: replace 910-miniperl-needs-inc-dot.patch with smaller scope fix

The patch was first introduced in commit 4a94479f9652 ("perl: update to
5.26.1") to fix the target build when the host perl has
default_inc_excludes_dot enabled. It just added back the `-I`. to every
call of miniperl; this solution is questionable however, as it adds `.` to
the beginning of the search path, not as a final fallback like perl did
before default_inc_excludes_dot (and like miniperl does).

It is also not necessary - only two scripts, write_buildcustomize.pl and
configpm, expect to be able to include a file from `.` (in both cases a
file the script just generated). Just fix the two scripts instead.

Signed-off-by: Matthias Schiffer <[email protected]>

zstd: update to v1.5.7

Signed-off-by: Nikolay Manev <[email protected]>

libtirpc: fix host build via std=c99

Fix compilation with gcc 14 by applying the -std=c99 flag

Closes #26445

Signed-off-by: John Audia <[email protected]>

sqlite3: add legacy SONAME

With no SONAME set, when linking against the full library path, that
path will be used. But if SONAME is set, it will be used instead.

Set --soname=legacy to add a SONAME to the library to allow projects
that use full path to link correctly.

Link: https://sqlite.org/src/forumpost/5a3b44f510df8ded
Fixes: https://github.com/openwrt/packages/issues/26449
Signed-off-by: George Sapkin <[email protected]>

aria2: fix aira2-openssl install failed

Description: fix in full compile a firmware

    pkg_hash_check_unresolved: cannot find dependency aria2-openssl for aria2
    pkg_hash_fetch_best_installation_candidate: Packages for aria2 found, but incompatible with the architectures configured
    satisfy_dependencies_for: Cannot satisfy the following dependencies for luci-app-aria2:
    aria2-openssl
    opkg_install_cmd: Cannot install package luci-app-aria2.

Signed-off-by: Lunatic Kochiya <[email protected]>

adblock: update 4.4.1-2

* init improvements
* jail mode fixes and improvements
* small code cleanups
* update the readme

Signed-off-by: Dirk Brenken <[email protected]>

btop: Update to 1.4.2

Update alias command.

Signed-off-by: Tianling Shen <[email protected]>

clixon: Update to 7.4.0

Signed-off-by: Philip Prindeville <[email protected]>

cligen: Update to 7.4.0

Signed-off-by: Philip Prindeville <[email protected]>

lvm2: build without libnvme

Instead of depending on libnvme always build without support for
libnvme.

Signed-off-by: Daniel Golle <[email protected]>

libgee: update to 0.20.8

Fixes compilation with GCC14.

Signed-off-by: Rosen Penev <[email protected]>

icecast: fix compilation with GCC14

Upstream backport.

Signed-off-by: Rosen Penev <[email protected]>

freeipmi: update to 1.6.15

Update freeipmi to 1.6.15 in order to fix compilation with GCC14.

Signed-off-by: Robert Marko <[email protected]>

freeradius3: bump to 3.2.7

Changed source URL to github (faster/geo-redundancy).

build: x86_64
run tested: x86_64

```
 # radiusd -v
radiusd: FreeRADIUS Version 3.2.7, for host x86_64-openwrt-linux-gnu, built on Apr 18 2025 at 00:10:48
FreeRADIUS Version 3.2.7
```

Signed-off-by: Paul Donald <[email protected]>

yt-dlp: bump to 2025.04.30

Important changes

- New option --preset-alias/-t has been added
- This provides convenient predefined aliases for common use cases.
  Available presets include mp4, mp3, mkv, aac, and sleep. See the
  README for more details.

Core changes

- Add --preset-alias option
- utils
  - _yield_json_ld: Make function less fatal
  - url_or_none: Support WebSocket URLs

Extractor changes

- abematv: Fix thumbnail extraction
- atresplayer: Rework extractor
- bpb: Fix formats extraction
- cda: Fix formats extraction
- cdafolder: Extend _VALID_URL
- crowdbunker: Make format extraction non-fatal
- dacast: Support tokenized URLs
- dzen.ru: Rework extractors
- generic: Fix MPD extraction for file:// URLs
- getcourseru: Fix extractors
- ivoox: Add extractor
- kika: Add playlist extractor
- linkedin
  - Support feed URLs
  - events: Add extractor
- loco: Fix extractor
- lrtradio: Add extractor
- manyvids: Fix extractor
- mixcloud: Refactor extractor
- mlbtv: Fix device ID caching
- niconico
  - Fix login support
  - Remove DMC formats support
  - live: Fix extractor
- panopto: Fix formats extraction
- parti: Add extractors
- raiplay: Fix DRM detection
- reddit: Support --ignore-no-formats-error
- royalive: Add extractor
- rtve: Rework extractors
- rumble: Improve format extraction
- tokfmpodcast: Fix formats extraction
- tv2dk: Fix extractor
- tvp: vod: Improve _VALID_URL
- tvw: tvchannels: Add extractor
- twitcasting: Fix livestream extraction
- twitch: clips: Fix uploader metadata extraction
- twitter
  - Fix extraction when logged-in
  - spaces: Improve metadata extraction
- vimeo: Extract from mobile API
- vk
  - Fix chapters extraction
  - Fix uploader extraction
- youtube
  - Add context to video request rate limit error
  - Add extractor arg to skip "initial_data" request
  - Add warning on video captcha challenge
  - Cache signature timestamps
  - Detect and warn when account cookies are rotated
  - Detect player JS variants for any locale
  - Do not strictly deprioritize missing_pot formats
  - Improve warning for SABR-only/SSAP player responses
  - tab: Extract continuation from empty page
- zdf: Fix extractors

Downloader changes

- niconicodmc: Remove downloader

Networking changes

- Add PATCH request shortcut

Changelog: https://github.com/yt-dlp/yt-dlp/releases/tag/2025.04.30
Signed-off-by: George Sapkin <[email protected]>

yt-dlp: update package description

Signed-off-by: George Sapkin <[email protected]>

lrzsz: fix compilation with GCC14

Trying to compile with GCC14 will fail on compiler sanity check with:
configure:1056:1: error: return type defaults to 'int' [-Wimplicit-int]
 1056 | main(){return(0);}
      | ^~~~

This is due to GCC14 not allowing implicit integer types anymore[1].

So, patch configure to avoid this and make it compile with GCC14.

Proper fix would be to use autoreconf to rebuild configure but configure.in
is completely outdated and would likely be more broken when regenerated.

[1] https://gcc.gnu.org/gcc-14/porting_to.html#implicit-int

Signed-off-by: Robert Marko <[email protected]>

ntpd: update to 4.2.8p18

Add small patch fixing compilation with GCC14.

Remove inactive maintainer.

Signed-off-by: Rosen Penev <[email protected]>

mailsend: fix compilation with GCC14

Also fix CFLAGS not being passed.

Signed-off-by: Rosen Penev <[email protected]>

xfrpc: update to 4.04.856

Fixes compilation with GCC14.

Switch to local tarballs instead of codeload. Smaller archives.

Signed-off-by: Rosen Penev <[email protected]>

chrony: enable support for non-MD5 keys in nts variant

gnutls and nettle are already required for NTS. Enable their use for
authentication with non-MD5 symmetric keys as the SECHASH feature
printed by the configure script.

Also drop the --enable,nts (typo) configure option. It's enabled by
default.

Signed-off-by: Miroslav Lichvar <[email protected]>

tang: update to 15

Rebase patch

Signed-off-by: Rosen Penev <[email protected]>

dnsdist: update to 1.9.9

fixes CVE-2025-30194

Signed-off-by: Peter van Dijk <[email protected]>

php8: pass configure hints for snmp extension

The 'snmp' extension module uses net-snmp as library, but fails
to detect whether the library uses openssl when cross-compiling.
Pass the according autoconf variables as hint - net-snmp is not
using openssl at the moment as defined in the Makefile.

Signed-off-by: Michael Heimpold <[email protected]>

php8: update to 8.4.6

Upstream changelog:
https://www.php.net/ChangeLog-8.php#8.4.6

Signed-off-by: Michael Heimpold <[email protected]>

sing-box: Update to 1.11.9

changelog: https://github.com/SagerNet/sing-box/releases/tag/v1.11.9

Signed-off-by: Anton P. <[email protected]>
[line break added after commit title, accidental line removal fixed]

perl-ack: Update to 3.8.2

ack would always set a return code of 1 if -c was used. Now it properly
returns 1 if no files match, and 0 if any files match.

Signed-off-by: Tianling Shen <[email protected]>

chrony: add configuration parameters

The existing config sections were anonymous, implying multiple can
coexist. Those are now named so that only one shall exist.

Added:
- smoothtime (in case of large frequency offsets)
- systemclock parameters
- logchange (increase awareness of clock drift in syslog)
- maxsources (for peers; internal default: 4)
- prefer (one server over others)
- interleave (xleave - more accurate transmit timestamps - good to have)

Refactored handle_allow() to handle 'list interface' instead of option.
Then only a single section is required.

Signed-off-by: Paul Donald <[email protected]>

netatalk: update to 4.2.2

As of netatalk-4.2.0 the iniparser library is a prerequisite.

Signed-off-by: Antonio Pastor <[email protected]>

iniparser: library for parsing of ini files in C

Package is present in multiple linux distributions.
Upstream is actively maintained.

Signed-off-by: Antonio Pastor <[email protected]>

netatalk: fix small issues with sample config and config generation

Small issues with sample configureation caused services not to start
or flood log with errors.

Signed-off-by: Antonio Pastor <[email protected]>

netbird: update to 0.43.1

changelog: https://github.com/netbirdio/netbird/releases/tag/v0.43.1

Signed-off-by: Wesley Gimenes <[email protected]>

ffmpeg: fix compilation with GCC14

Upstream backport.

Signed-off-by: Rosen Penev <[email protected]>

keepalived: bump to 2.3.3

Remove backport patches that are included in this release.

Signed-off-by: Stijn Tintel <[email protected]>

v2ray-core: Update to 5.30.0

Signed-off-by: Tianling Shen <[email protected]>

btop: Update to 1.4.1

Signed-off-by: Tianling Shen <[email protected]>

dnsproxy: Update to 0.75.3

Signed-off-by: Tianling Shen <[email protected]>

net-snmp: add system to trigger

In a previous commit (0b12bee) hostname was added to
snmpd.init. To track changes in system, the init file
needs to add 'system' to the trigger.
Therefore it is added in this commit.

Fixes: 0b12bee66a89 ("net-snmp: set hostname as sysname")
Signed-off-by: Christian Korber <[email protected]>

kea: update to 2.6.2

Add upstream backport for compatibility with Boost 1.87

Signed-off-by: Rosen Penev <[email protected]>

mariadb: fix liburing dependency

CMake is way too opertunistic. Avoid the dependency by manually handling
it.

Signed-off-by: Rosen Penev <[email protected]>

pthsem: fix compilation with autoconf >= 2.71

Sort of upstream backport.

Remove sjlj patches. These were fixed by overriding the var.

Signed-off-by: Rosen Penev <[email protected]>

coreutils: Fix gcc14 compilation via std=c17

Fix compilation with gcc 14 by applying the -std=c17 flag, as suggested
by lededev in https://github.com/openwrt/packages/commit/2d3f68cc8c165b1fa01308f566394cbd7d06766f#commitcomment-153860241
(also -c23 seems to work ok with gcc14, but that seems to break gcc13)

Remove the previous autoreconf fix attempt.

Signed-off-by: Hannu Nyman <[email protected]>

banIP: update 1.5.6-2

* add an uci-defaults script for housekeeping and option migration from former versions
* small fixes and improvements

Signed-off-by: Dirk Brenken <[email protected]>

grep: fix that egrep and fgrep workaround doesn't work

Commit 07b6eec21f57c3cb391b0daf89240b7632b2a49f doesn't work at least
now, because package.mk initializes the variables to the default
values.  You have to modify the variable after including package.mk.

Signed-off-by: Kazuhiro Ito <[email protected]>

libs/libupnp: fix PKG_CPE_ID

pupnp_project:pupnp is a better CPE ID than libupnp_project:libupnp as
this CPE ID has the latest CVEs from 2021 (whereas
libupnp_project:libupnp only has CVEs up to 2020):
https://nvd.nist.gov/products/cpe/search/results?keyword=cpe:2.3:a:pupnp_project:pupnp

Fixes: 299e5b0a9bce19d6e96cb9ff217028b36ee2dd36 (treewide: add PKG_CPE_ID for better cvescanner coverage)
Signed-off-by: Fabrice Fontaine <[email protected]>

gnunet-fuse: update to 0.24.0

Update gnunet-fuse for the GNUnet 0.24.x major release.

Signed-off-by: Daniel Golle <[email protected]>

gnunet: update to 0.24.1

This is a new major release. It breaks protocol compatibility with the
0.23.x versions.

Please be aware that Git master is thus henceforth (and has been for a
while) INCOMPATIBLE with the 0.23.x GNUnet network, and interactions
between old and new peers will result in issues.

In terms of usability, users should be aware that there are still a
number of known open issues in particular with respect to ease of use,
but also some critical privacy issues especially for mobile users.

Also, the nascent network is tiny and thus unlikely to provide good
anonymity or extensive amounts of interesting information.
As a result, the 0.24.1 release is still only suitable for early
adopters with some reasonable pain tolerance. 

v0.24.1:

  - Fix crash in libgnunetpq when Postgresql database was restarted

  - Add configure and make functionality for new meson build
    (https://www.gnu.org/prep/standards/html_node/Configuration.html)

v0.24.0:

  - Meson is new default build system

  - JSON: split off libgnunetmhd from libgnunetjson, renaming various
    GNUNET_JSON_-symbols to GNUNET_MHD_-. Removes dependency of
    libgnunetjson on libmicrohttpd

OpenWrt package maintainer note:
Meson build is not yet fit for use in OpenWrt's cross build system.

Signed-off-by: Daniel Golle <[email protected]>

lvm2: add missing dependency

This package fails to build without defining libmvme as a DEPENDS.

Package lvm2 is missing dependencies for the following libraries:
libnvme.so.1

Build system: x86/64
Build-tested: x86/64
Run-tested: x86/64

Signed-off-by: John Audia <[email protected]>

sound/wavpack: assign PKG_CPE_ID

https://nvd.nist.gov/products/cpe/search/results?keyword=cpe:2.3:a:wavpack:wavpack

Signed-off-by: Fabrice Fontaine <[email protected]>

boost: Updates package to version 1.88.0
This commit updates boost to version 1.88.0

New libraries in this release:
* Hash2 [2]: An extensible hashing framework, from Peter Dimov and
  Christian Mazakas.
* MQTT5  [3]: MQTT5 client library built on top of Boost.Asio, from Ivica
  Siladić, Bruno Iljazović, and Korina Šimičević.

More info about Boost 1.88.0 can be found at the usual place [1].

[1]: https://www.boost.org/users/history/version_1_88_0.html
[2]: https://www.boost.org/libs/hash2/
[3]: https://www.boost.org/libs/mqtt5/

Signed-off-by: Carlos Miguel Ferreira <[email protected]>

sqlite3: add CI version check

Signed-off-by: George Sapkin <[email protected]>

sqlite3: use the upstream version as PKG_VERSION

Replace using the tar ball version with the actual upstream version in
PKG_VERSION for packaging, and move tar ball version to PKG_SRC_VERSION.

Suggested-by: Paul Donald <[email protected]>
Suggested-by: Tianling Shen <[email protected]>
Signed-off-by: George Sapkin <[email protected]>

sqlite3: bump to 3.49.1

Changelog: https://sqlite.org/releaselog/3_49_1.html
Suggested-by: Tianling Shen <[email protected]>
Signed-off-by: George Sapkin <[email protected]>

netbird: update to 0.43.0

changelog: https://github.com/netbirdio/netbird/releases/tag/v0.43.0

Signed-off-by: Wesley Gimenes <[email protected]>

lua-eco: update to 3.9.0

Signed-off-by: Jianhui Zhao <[email protected]>

aria2: fix openssl legacy load failed

```
Mon Apr 21 13:30:56 2025 daemon.info aria2c[13301]: jail: exec-ing /usr/bin/aria2c
Mon Apr 21 13:30:56 2025 daemon.err aria2c[13301]: Exception caught
Mon Apr 21 13:30:56 2025 daemon.err aria2c[13301]: Exception: [Platform.cc:125] errorCode=1 OSSL_PROVIDER_load 'legacy' failed.
Mon Apr 21 13:30:56 2025 daemon.err aria2c[13301]:
Mon Apr 21 13:30:56 2025 daemon.info procd: Instance aria2::aria2.main s in a crash loop 6 crashes, 0 seconds since last crash
Mon Apr 21 13:30:56 2025 daemon.info aria2c[13301]: jail: jail (13302) exited with exit: 1

```

Links:
- https://github.com/aria2/aria2/issues/2152

Co-authored-by: Tianling Shen <[email protected]>
Signed-off-by: Liangbin Lian <[email protected]>

strongswan: swanctl: make overtime local

$overtime has been used since swanctl.init was added in f9d91f1f47.
However, there's no need for it to be global.  Make it local like the
other config variables to avoid polluting the global namespace and make
the code easier to reason about.

Fixes: f9d91f1f470a ("strongswan: migrate to swanctl configs")
Signed-off-by: Kevin Locke <[email protected]>

strongswan: swanctl: make send_cert local

When support for send_cert was added in 4b9453b9a4, the $send_cert
variable was inadvertently global.  Make it local to avoid polluting the
global namespace and make the code easier to reason about.

Fixes: 4b9453b9a4c8 ("strongswan: Add support for send_cert option")
Signed-off-by: Kevin Locke <[email protected]>

strongswan: swanctl: Add support for encap

Support the [encap] connection configuration option to force UDP
encapsulation of ESP packets to work around connectivity issues with
middleboxes which block ESP packets.

This work is based on a patch by @aleks-mariusz in
https://forum.openwrt.org/t/confusion-regarding-setting-up-ikev2-vpn-service-with-strongswan-using-ipsec-and-swanctl/169587/9

[encap]: https://docs.strongswan.org/docs/latest/swanctl/swanctlConf.html#_connections

Signed-off-by: Kevin Locke <[email protected]>

libp11: update to version 0.4.13

New in 0.4.13; 2024-12-13; Michał Trojnara
* Increased maximum PIN length (Michał Trojnara)
* Fixed several memory leaks (Michał Trojnara, Małgorzata Olszówka)
* Don't include libp11.rc VERSIONINFO into pkcs11 (Mikhail Titov)
* Reimplement CI with GitHub Actions (Michał Trojnara, Małgorzata Olszówka)
* Improved tests (Małgorzata Olszówka)
* Added static ENGINE (libpkcas11.a) build (Marouene Boubakri)
* Added a workaround broken foreign key handling in OpenSSL
  3.0.12-3.0.13, 3.1.4-3.1.5, 3.2.0-3.2.1 (Małgorzata Olszówka)
* Added a workaround for conflicting atexit() callbacks (Michał Trojnara)
* Always login with PIN If FORCE_LOGIN is specified in openssl config
  (Plamen Todorov)
* Added OAEP support to RSA_private_decrypt (Peter Popovec)
* Added PKCS11_enumerate_*_ext functions (Harshal Gohel)
* Fixed non-null-terminated label padding (Jorge Ramirez-Ortiz)
* Fixed several object management issues (Jakub Jelen)
* Deferred libp11 initialization until needed (Doug Engert)

Signed-off-by: Daniel Golle <[email protected]>

opensc: update to version 0.26.1

New in 0.26.1; 2025-01-14
General improvements

    Align allocations of sc_mem_secure_alloc (OpenSC/OpenSC#3281)
    Fix -O3 gcc optimization failure on amd64 and ppc64el (OpenSC/OpenSC#3299)

pkcs11-spy

    Avoid crash while spying C_GetInterface() (OpenSC/OpenSC#3275)

TCOS

    Fix reading certificate (OpenSC/OpenSC#3296)

New in 0.26.0; 2024-11-13
Security

    CVE-2024-45615: Usage of uninitialized values in libopensc and pkcs15init (OpenSC/OpenSC#3225)
    CVE-2024-45616: Uninitialized values after incorrect check or usage of APDU response values in libopensc (OpenSC/OpenSC#3225)
    CVE-2024-45617: Uninitialized values after incorrect or missing checking return values of functions in libopensc (OpenSC/OpenSC#3225)
    CVE-2024-45618: Uninitialized values after incorrect or missing checking return values of functions in pkcs15init (OpenSC/OpenSC#3225)
    CVE-2024-45619: Incorrect handling length of buffers or files in libopensc (OpenSC/OpenSC#3225)
    CVE-2024-45620: Incorrect handling of the length of buffers or files in pkcs15init (OpenSC/OpenSC#3225)
    CVE-2024-8443: Heap buffer overflow in OpenPGP driver when generating key (OpenSC/OpenSC#3219)

General improvements

    Fix reselection of DF after error in PKCSOpenSC/OpenSC#15 layer (OpenSC/OpenSC#3067)
    Unify OpenSSL logging throughout code (OpenSC/OpenSC#2922)
    Extend the p11test to support kryoptic (OpenSC/OpenSC#3141)
    Fix for error in PCSC reconnection (OpenSC/OpenSC#3150)
    Fixed various issues reported by OSS-Fuzz and Coverity in drivers, PKCS#11 and PKCS#15 layer

PKCS#15

    Documentation for PKCS#15 profile files (OpenSC/OpenSC#3132)

minidriver

    Support PinCacheAlwaysPrompt usable for PIV cards (OpenSC/OpenSC#3167)

pkcs11-tool

    Show URI when listing token information (OpenSC/OpenSC#3125) and objects (OpenSC/OpenSC#3130)
    Do not limit size of objects to 5000 bytes (OpenSC/OpenSC#3174)
    Add support for AES CMAC (OpenSC/OpenSC#3184)
    Add support for AES GCM encryption (OpenSC/OpenSC#3195)
    Add support for RSA OAEP encryption (OpenSC/OpenSC#3175)
    Add support for HKDF (OpenSC/OpenSC#3193)
    Implement better support for wrapping and unwrapping (OpenSC/OpenSC#3198)
    Add support for EdDSA sign and verify (OpenSC/OpenSC#2979)

pkcs15-crypt

    Fix PKCS#1 encoding function to correctly detect padding type (OpenSC/OpenSC#3075)

piv-tool

    Fix RSA key generation (OpenSC/OpenSC#3158)
    Avoid possible state change when matching unknown card (OpenSC/OpenSC#3112)

sc-hsm-tool

    Cleanse buffer with plaintext key share (OpenSC/OpenSC#3226)

pkcs11-register

    Fix pkcs11-register defaults on macOS and Windows (OpenSC/OpenSC#3053)

IDPrime

    Fix identification of IDPrime 840 cards (OpenSC/OpenSC#3146)
    Fix container mapping for IDPrime 940 cards (OpenSC/OpenSC#3220)
    Reorder ATRs for matching cards (OpenSC/OpenSC#3154)

OpenPGP

    Fix state tracking after erasing card (OpenSC/OpenSC#3024)

Belpic

    Disable Applet V1.8 (OpenSC/OpenSC#3109)

MICARDO

    Deactivate driver (OpenSC/OpenSC#3152)

SmartCard-HSM

    Fix signing with secp521r1 signature (OpenSC/OpenSC#3157)

eOI

    Set model via sc_card_ctl function (OpenSC/OpenSC#3189)

Rutoken

    increase the minimum PIN size to support Rutoken ECP BIO (OpenSC/OpenSC#3208)

JPKI

    Adjust parameters for public key in PKCS#15 emulator (OpenSC/OpenSC#3182)

D-Trust

    Add support for ECDSA signatures and ECDH key agreement for D-Trust Signatures Cards 4.1/4.4 (OpenSC/OpenSC#3240, OpenSC/OpenSC##3248)

Signed-off-by: Daniel Golle <[email protected]>

ccid: update to version 1.6.2.

1.6.2 - 19 March 2025, Ludovic Rousseau

    Add support of
        Arculus AuthentiKey
        BHDC Reader-HHD02
        CHERRY Smart Terminal 1150
        HSIC CCID-Reader
        Ledger Flex
        SYC USB CCID Reader
        Thales RF CR2000
        TOKEN2 FIDO2 Security Key(0026)
    Give more time to initialize the ACS ACR122U
    Do not build examples and contrib by default
    meson: add missing check for pthread_condattr_setclock
    Don't assume that all notifications are NotifySlotChange
    Hide unexported functions and variables
    Some other minor improvements

1.6.1 - 5 July 2024, Ludovic Rousseau

    fix 'parse' build issues on some systems (pthread & strlcpy)
    Some other minor improvements

1.6.0 - 1 June 2024, Ludovic Rousseau

    Add support of
        Aladdin R.D. JCR SecurBio
        AvidCard CAC Smart Card Reader
        FujitsuTechnologySolutions GmbH Dual Smartcard Reader D321
        Ledger Stax
        NXP Pegoda 3
        authenton #1 (closed)- CTAP2.1
    provide files for meson build tool (replaces autoconf/automake)
    Add possibility to set/get NAD on T=1 for MEP
    multi-slots readers
        Better handling of reader removal
        Use CLOCK_MONOTONIC for timeouts
    Some other minor improvements

1.5.5 - 5 January 2024, Ludovic Rousseau

    Add support of
        Alpha-Project ANGARA Token
        Broadcom Corp 58200 (idProduct: 0x5864)
        Broadcom Corp 58200 (idProduct: 0x5865)
        Imprivata USB CCID
        KAPELSE eS-KAP-Ad
        Kapelse inSide
        KAPELSE KAP-Care
        KAPELSE KAP-eCV
        KAPELSE KAP-GO
        KAPELSE KAP-LINK2
        Kapelse KAP-Move
        Kapelse Ti-Kap
        rf IDEAS USB CCID
        SIMHUB pcsc reader
    support Kapelse readers on macOS (composite as multislot)
    Some other minor improvements

Signed-off-by: Daniel Golle <[email protected]>

pcsc-tools: update to version 1.7.3

https://salsa.debian.org/rousseau/pcsc-tools/-/commits/1.7.3

Signed-off-by: Daniel Golle <[email protected]>

pcsc-lite: update to version 2.3.3

2.3.3: Ludovic Rousseau
2 April 2025
- Make polkit rules work again (bug introduced in 2.3.2)
2.3.2: Ludovic Rousseau
26 March 2025
- Hardening systemd pcscd.service file
- pcscd.service: add missing Requires=polkit.service
- pcsc-spy: add missing PCSCv2_PART10_PROPERTY_* definitions
- Support udev PCSCLITE_IGNORE property to filter readers
- debuglog: force use of colors when --color is used
- Some other minor improvements
2.3.1: Ludovic Rousseau
24 December 2024
- Install a default /etc/default/pcscd file
- auth.c: implement polkit support for FreeBSD
- meson:
  . also build static version of libpcsclite
  . add options to disable polkit and libsystemd
  . add "filter_names" in features when needed
- Doxygen: document dwCurrentState use for "\\?PnP?\Notification"
- Some other minor improvements
2.3.0: Ludovic Rousseau
3 August 2024
- SCardGetStatusChange(): add the number of reader events
- Add Appstream metainfo announcing HW support
- meson: specify minimum meson version to use
- fix formats under musl libc
- Send libpcsclite.so logs to stderr instead of stdout
- Some other minor improvements

Signed-off-by: Daniel Golle <[email protected]>

gpgme: update to version 1.24.2

Numerous changes, see
https://git.gnupg.org/cgi-bin/gitweb.cgi?p=gpgme.git;a=blob;f=NEWS;hb=5214a34ba766d5eba4d0c1ce53be51e118382476

Signed-off-by: Daniel Golle <[email protected]>

gnupg2: update to version 2.4.7

A very long list of changes, see
https://git.gnupg.org/cgi-bin/gitweb.cgi?p=gnupg.git;a=blob;f=NEWS;hb=7bdaf56479918806ea4013df0ba2dd24bbbb35d6

dirmngr now requires either GnuTLS or NTBTLS. Build against GnuTLS.
Add missing PACKAGE_MAINTAINER while at it.

Signed-off-by: Daniel Golle <[email protected]>

npth: update to version 1.8

Noteworthy changes in version 1.8 (2024-11-12)  [C3/A3/R0]
----------------------------------------------

 * Fix npth_cond_signal and npth_cond_broadcast on Windows.  [T7386]

 * New function npth_get_version.  New macros NPTH_VERSION and
   NPTH_VERSION_NUMBER.

 * Fix INSERT_EXPOSE_RWLOCK_API for musl C library.  [T5664]

 * Add fallback implementation for POSIX semaphore API on macOS.
   [T7057]

 * Return a run-time error if npth_rwlock_timedrdlock is not
   supported.  [T7109]

 Release-info: https://dev.gnupg.org/T7387

Noteworthy changes in version 1.7 (2024-02-23)  [C2/A2/R0]
----------------------------------------------

 * The npth-config command is not installed by default, because it is
   now replaced by use of pkg-config/gpgrt-config with npth.pc.
   Supply --enable-install-npth-config configure option, if needed.

 * Support for legacy systems w/o pthread_rwlock_t support.  [T4306]

 * New functions npth_poll and npth_ppoll for Unix.  [T5748]

 * Fixes to improve support for 64 bit Windows.

 * Fix declaration conflict using newer mingw versions.  [T5889]

 * Fix build problems on Solaris 11.  [T4491]

 * Fix detecting of the pthread library.  [rPTH6629a4b801]

 * Clean up handling of unsafe semaphores on AIX.  [T6947]

 * Link without -flat_namespace to support macOS 11.  [T5610]

 Release-info: https://dev.gnupg.org/T7010

OpenWrt package maintainer note:
 * NPTH's buildsystem now requires the REAL_GNU_TARGET_NAME (ie. with the
   libc being the suffix, eg. '*-musl' or '*-gnu') to be passed to
   `configure`, override CONFIGURE_ARGS to do so.
 * Switch to use pkg-config.

Signed-off-by: Daniel Golle <[email protected]>

libksba: update to version 1.6.7

Release 1.6.7
 build: Update autogen.sh and make SYSROOT available.
 Allow for an empty Subject in certs.
 Update gpg-error.m4.
 Apply spell fixes from GnuPG.
 m4: Update gpg-error.m4 from gpg-error master.
 ksba.m4: Fix setting/using GPG_ERROR_CONFIG.
 Fix the previous commit.
 m4: Include _AM_PATH_GPGRT_CONFIG definition.
 Use unsigned int for 1-bit flags.
 Post release updates

Release 1.6.6
 der-builder: Fix possible uninitialized variable.
 Post release updates.

Release 1.6.5
 Add Brainpool curve detection using parameters with compressed BP.
 build: Remove HAVE_W32CE_SYSTEM.
 doc: Minor style fixes.
 build: Change the default for --with-libtool-modification.
 build: New configure option --with-libtool-modification.
 Post release updates

Signed-off-by: Daniel Golle <[email protected]>

libassuan: update to version 3.0.2

Noteworthy changes in version 3.0.2 (2025-02-18) [C9/A0/R2]
------------------------------------------------

 * Fix for FreeBSD to set the pid of assuan_peercred_t.
   [rAdfa5e6532d]

 * Use socklen_t for the length of socket address.  [T5924]

 * Fix errno setting on Widnows for assuan_sock_bind failure.  [T7456]

 * New assuan_sock_get_flag "w32_error" to get the actual Windows
   error after a system call and not just the mapped errno.  [T7456]

 Release-info: https://dev.gnupg.org/T7163

Noteworthy changes in version 3.0.1 (2024-06-24) [C9/A0/R1]
------------------------------------------------

 * Change Unix symbol versioning to help the Debian transitioning
   process.

 Release-info: https://dev.gnupg.org/T7163

Noteworthy changes in version 3.0.0 (2024-06-18) [C9/A0/R0]
------------------------------------------------

 * API change: For new code, which uses libassuan with nPTH, please
   use gpgrt_get_syscall_clamp and assuan_control, instead of the
   system_hooks API.  Use of ASSUAN_SYSTEM_NPTH is deprecated with new
   API version 3.  If it's really needed to keep using old
   implementation of ASSUAN_SYSTEM_NPTH, you need to change your your
   application code, to define
   ASSUAN_REALLY_REQUIRE_V2_NPTH_SYSTEM_HOOKS before including
   <assuan.h>.  For an application which uses version 2 API
   (NEED_LIBASSUAN_API=2 in its configure.ac), use of
   ASSUAN_SYSTEM_NPTH is still supported.  [T5914]

 * New function assuan_control.  [T6625]

 * New function assuan_sock_accept.  [T5925]

 * New functions assuan_pipe_wait_server_termination and
   assuan_pipe_kill_server to support abstraction of process.  [T6487]

 * Windows support for sendfd/recvfd.  [T6236]

 * Implement timeout in assuan_sock_connect_byname.  [T3302]

 * No support for WindowsCE, any more.  [T6170]

 * New socket flags "linger" and "reuseaddr".  [rA87f92fe962]

 * Interface changes relative to the 2.5.0 release:
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 assuan_sock_accept                  NEW.
 assuan_pipe_wait_server_termination NEW.
 assuan_pipe_kill_server             NEW.
 assuan_sock_set_flag                EXTENDED.
 assuan_sock_get_flag                EXTENDED.

 Release-info: https://dev.gnupg.org/T7163

OpenWrt package maintainer note:
autotools is trying to be smart with detecting gpgrt-config, let's
try to be *even smarter* and force it to use the version in
STAGING_DIR...

Signed-off-by: Daniel Golle <[email protected]>

libinput: update to 1.28.1

Collected release notes since version 1.26.2:

libinput 1.28.1 is now available.

This release fixes two regressions:

    After unplugging and re-plugging a tablet device, proximity events
    toggled the tip on/off due to an uninitialized (== zero) pressure
    range. Repeatedly unplugging also eventually triggered an bug
    notification.

    libinput debug-events failed to print pinch angle and rotation

And because the commits were already sitting on the branch, also
included is fixed handling of the tablet pad mode toggle buttons.
Instead of the previous heuristics we now let this be handled by
libwacom 2.15 (if available). Only three tablet devices have those
buttons and they're all getting old, so this is unlikely to affect a lot
of users.

libinput 1.28.0 is now available.

The big new feature in this release is three-finger drag for touchpads.
When enabled three fingers down on the touchpad will logically hold the
left mouse button down, any movement of the fingers then moves the
pointer for a drag. For some users this is a more precise and
easier-to-trigger interaction than e.g. tap-and-drag.

On tablets the pressure range is now correctly tracked per tablet.
Previously moving the same physical stylus between two tablets with
different pressure ranges caused the stylus to send incorrect pressure
data.

And then we have of course the usual collection of bug fixes and
device-specific quirks.

libinput 1.27.1 is now available.

This release fixes two regressions in the gesture state handling
introduced in 1.27.

It also removes an assert triggered by a finger count mismatch. That can
be triggered by a still-unclear-but-niche race condition. The assert
wasn't required for functionality so we simply skip over the issue now.

libinput replay has a slightly new output format and now supports Ctrl+C
to stop the currently replaying event sequence.

And then we have of course the usual collection of bug fixes and
device-specific quirks.

libinput debug-events --help and libinput debug-gui --help now print all
available configuration options too.

libinput 1.27 is now available.

In terms of new features we have a "sticky" mode for drag-locking.
Previously a tap-and-drag lock would always expire after a timeout, now
the button is held logically down until a completing tap. Desktop
environments are encouraged to use this as the default as it provides a
better experience for anyone with less-than-perfect dexterity. For
backwards-compatibility reasons libinput cannot easily change its
defaults without risking bugs in the callers.

For tablet pads we now support tablet pad mode groups for devices
without status LEDs as well, the previous implementation was tied to
LEDs which some devices like the XP Pen ACK05 remote don't have. Since
the mode is a software feature anyway tying it to LEDs is not necessary.

If a tablet is unknown to libwacom we now assume that it is a built-in
tablet. This matches the behavior of libwacom 2.11 but in our case the
only visible result is that the device now has the calibration
configuration available. Better to have it and not use it, as they say.

The available area on external tablets can be reduced via the new tablet
"area" configuration. Users can set a rectangle smaller than the
width/height of the tablet and input outside this rectangle will be
ignored.

For packagers: the check dependency is now optional, almost all tests
can now run without it.

And then we have of course the usual collection of bug fixes and
device-specific quirks.

Signed-off-by: Daniel Golle <[email protected]>

libwacom: update to version 2.15.0

See git project's git history for changes:
https://github.com/linuxwacom/libwacom/commits/libwacom-2.15.0

Signed-off-by: Daniel Golle <[email protected]>

libmanette: update to version 0.2.12

Release 0.2.12
 steam-deck: Add a deadzone for the sticks
 meson: Fix build with pre-1.83.2 GIR
 Post-release version bump to 0.2.12

Release 0.2.11
 ci: Build flatpak bundles and make releases from that

Release 0.2.10
 ci: Switch to F42
 meson: Specify --doc-format for gir
 event-mapping: Fix half-range abs to button mapping
 evdev-mapping: Fix half-range mapping
 contributing: Add a no-LLM statement
 readme: Add CoC
 hacking: Rename to CONTRIBUTING.md
 device: Remove leftover code
 Use non-gprefixed types where possible
 Actually use config.h
 event: Simplify enum definition
 doc: Change Since versions
 ci: Refresh pages after CI passes on main
 version: Add runtime version checking too
 version: Deprecate the old version symbols; add ones with the correct namespace
 doc: Port to gi-docgen
 Change Since versions to 0.2.10
 evdev-backend: Ignore DualSense motion sensor and touchpad
 event-mapping: Make hat to buttons mapping always emit button release
 monitor: Avoid criticals when reloading mappings if hid devices are present
 steam-deck-driver: Fix has_input() for qam and paddles
 hid-backend: Bail if we failed to even open the device
 mapping: Fix paddles for real this time
 mapping: Fix keycodes for paddles
 Introduce HID backend and Steam Deck HID driver
 build: Depend on hidapi
 Add ManetteDeviceType and manette_device_get_device_type()
 device: Add supports_mapping()
 Introduce groundwork for multiple device types and backends
 Post-release bump to version 0.2.10

Signed-off-by: Daniel Golle <[email protected]>
     Sat Apr 26 04:42:37 2025 +0100

lvm2: update to version 2.03.31 and libdm version 1.02.205

Version 2.03.31 - 27th February 2025
====================================
  Reduce 'mandoc -T lint' reported issues for man pages.
  Restore support for LVM_SUPPRESS_FD_WARNINGS (2.03.24).
  Fix uncache and split cache restoring original state of volume.
  Extend use of lockopt skip to more scenarios.
  Enhance error path resolving in polling code.
  Disallow shared activation of LV with CoW snapshot.
  Fix lvmlockd use in lvremove of CoW snapshot, VDO pool, and uncache.
  Improve mirror split with opened temporary volumes.
  Improve pvmove finish with opened temporary volumes.
  Fix backup limit for devices file, handle over 10,000 files.
  Ignore reported optimal_io_size not divisible by 4096.
  Fix busy-loop in config reading when read returned 0.
  Fix DM cache preserving logic (2.03.28).
  Improve use of lvmlockd for usecases involving thin volumes and pools.

Version 2.03.30 - 14th January 2025
===================================
  Lvresize reports origin vdo volume cannot be resized.
  Support setting reserved_memory|stack of --config cmdline.
  Fix support for disabling memory locking (2.03.27).
  Do not extend an LV if FS resize unsupported and '--fs resize' used.
  Prevent leftover temporary device when converting in use volume to a pool.
  lvconvert detects early volume in use when converting it to a pool.
  Handle NVMe with quirk changed WWID not matching WWID in devices file.

Version 2.03.29 - 09th December 2024
====================================
  Configure --enable/disable-sd-notify to control lvmlockd build with sd-notify.
  Allow test mode when lvmlockd is built without dlm support.
  Add a note about RAID + integrity synchronization to lvmraid(7) man page.
  Add a function for running lvconvert --repair on RAID LVs to lvmdbusd.
  Improve option section of man pages for listing commands ({pv,lv,vg}{s,display}).
  Fix renaming of raid sub LVs when converting a volume to raid (2.03.28).
  Fix segfault/VG write error for raid LV lvextend -i|--stripes -I|--stripesize.
  Revert ignore -i|--stripes, -I|--stripesize for lvextend on raid0 LV (2.03.27).

Version 2.03.28 - 04th November 2024
====================================
  Use radix_tree to lookup for UUID within committed metadata.
  Use radix_tree to lookup LV list entry within VG struct.
  Introduce setting config/validate_metadata = full | none.
  Restore fs resize call for lvresize -r on the same size LV (2.03.17).
  Correct off-by-one devicesfile backup counting.
  Replace use of dm_hash with radix_tree for lv names and uuids.
  Refactor vg_validate with uniq_insert and better use of CPU caches.
  Add radix_tree_uniq_insert.
  Update DM cache when taking next VG lock instead of dropping it.
  Generate json string id only for json reporting.
  For vgsummary use new API call dm_config_parse_only_section().
  Use radix_tree for PV names mapping.
  Split check_lv_segment into separate _in/complete_vg variant.
  Use find_lv instead of find_lv_in_vg when possible.
  Do a mirror fixup only when mirrors with logs are imported.
  Add faster crc32 calculation from zlib code for x86_64.
  Fall back to direct zeroing if BLKZEROOUT fails during new LV initialization.

Version 2.03.27 - 02nd October 2024
===================================
  Fix swap device size detection using blkid for lvresize/lvreduce/lvextend.

  Detect GPT partition table and pass partition filter if no partitions defined.
  Add global/sanlock_align_size option to configure sanlock lease size.
  Disable mem locking when activation/reserved_stack or reserved_memory is 0.
  Fix locking issues in lvmlockd leaving thin pool locked.
  Deprecate vdo settings vdo_write_policy and vdo_write_policy.
  Lots of typo fixes across lvm2 code base (codespell).
  Corrected integrity parameter interleave_sectors for DM table line.
  Ignore -i|--stripes, -I|--stripesize for lvextend on raid0 LV, like raid10.
  Do not accept duplicate device names for pvcreate.

Version 2.03.26 - 23rd August 2024
==================================
  Fix internal error reported by pvmove on a VG with single PV.
  Also accept --mknodes --refresh for vgscan.
  Fix vgmknodes --refresh to wait for udev before checking /dev content.
  Use log/report_command_log=1 config setting by default for JSON output format.
  Fix unreleased memory pools on RAID lvextend.
  Add --integritysettings option to manipulate dm-integrity settings.

Signed-off-by: Daniel Golle <[email protected]>

fluidsynth: update to version 2.4.5

fluidsynth 2.4.5

    Prebuilt Windows Binaries were missing SDL3.dll
    (FluidSynth/fluidsynth#1510)

    Fix SDL3 intercepting signals, causing CTRL+C to not quit fluidsynth
    (FluidSynth/fluidsynth#1509)

    Fix a few flaws in the AWE32 NRPN implementation
    (FluidSynth/fluidsynth#1452, FluidSynth/fluidsynth#1473)

    A regression introduced in 2.4.4 broke drum preset selection for XG
    MIDIs (FluidSynth/fluidsynth#1508)

    Fix for OpenMP thread affinity crashes on Android devices
    (FluidSynth/fluidsynth#1521, thanks to @looechao)

    Fix fluidsynth's systemd user daemon being unable to create lock
    file on some distros (FluidSynth/fluidsynth#1527, thanks to
    @andrew-sayers)

    Fix fluidsynth ignoring initialFilterFc generator limits
    (FluidSynth/fluidsynth#1502)

    A regression introduced in 2.3.6 prevented SF2 NRPN messages from
    being processed correctly (FluidSynth/fluidsynth#1536)

fluidsynth 2.4.4

    Support for SDL3 has been added, support for SDL2 has been
    deprecated (FluidSynth/fluidsynth#1485, FluidSynth/fluidsynth#1478,
    thanks to @andyvand)

    Soundfonts that are not respecting the 46 zero-sample padding-space
    previously sounded incorrect when

    synth.dynamic-sample-loading was active (FluidSynth/fluidsynth#1484)

    Allow drum channels to profit from Soundfont Bank Offsets by no
    longer ignoring MSB Bank changes (FluidSynth/fluidsynth#1475)

    Revise the preset fallback logic for drum channels
    (FluidSynth/fluidsynth#1486)

    A regression introduced in 2.4.1 may have caused interrupted
    real-time playback when voices were using the lowpass filter
    (FluidSynth/fluidsynth#1481)

    Improve multi-user experience when running fluidsynth as systemd
    service (FluidSynth/fluidsynth#1491, thanks to @andrew-sayers)

    Fix ordering and dependencies of fluidsynth's systemd service
    (FluidSynth/fluidsynth#1500, thanks to @fabiangreffrath)

    Revise fluidsynth's man page (FluidSynth/fluidsynth#1499, thanks to
    @fabiangreffrath)

fluidsynth 2.4.3

    It was discovered, that exclusive class note terminations were too
    slow (FluidSynth/fluidsynth#1467, thanks to @mrbumpy409)

    Fix a regression introduced in 2.4.0 that allowed the amplitude of a
    voice playing in delay phase to rise infinitely
    (FluidSynth/fluidsynth#1451)

    MSGS drum-style note-cut has been converted to an opt-in setting
    synth.note-cut (FluidSynth/fluidsynth#1466)

    Support for SDL2 has been disabled by default*
    (FluidSynth/fluidsynth#1472)

    Fix a regression introduced in 2.4.1 that could have caused infinite
    audio gain output for some MIDI files under certain configurations
    (FluidSynth/fluidsynth#1464)

    Silence a warning issued by Systemd v254+
    (FluidSynth/fluidsynth#1474, thanks to @andrew-sayers)

fluidsynth 2.4.2

    Fix audible clicks when turning off voices while using a high filter
    resonance (FluidSynth/fluidsynth#1427)

    Fix a build failure with MSYS2 and MinGW when processing
    VersionResource.rc (FluidSynth/fluidsynth#1448, thanks to @pedrolcl)

    Fix a crash on startup when there are no MIDI devices available on
    Windows (FluidSynth/fluidsynth#1446, thanks to @pedrolcl)

    Restore discovery of libsndfile (FluidSynth/fluidsynth#1445)

    Fix a race condition when loading SF3 files containing multiple
    uncompressed samples (FluidSynth/fluidsynth#1457)

fluidsynth 2.4.1

    Enable libsndfile to use filename with non-ASCII characters on
    Windows (FluidSynth/fluidsynth#1416, thanks to @pedrolcl and
    @stardusteyes)

    Fix a few commandline encoding related issues on Windows
    (FluidSynth/fluidsynth#1388, FluidSynth/fluidsynth#1421, thanks to
    @pedrolcl)

    Fix build errors on Windows (FluidSynth/fluidsynth#1419,
    FluidSynth/fluidsynth#1422, thanks to @carlo-bramini)

    Fix clicks and pops caused when changing parameters of the lowpass
    filter (FluidSynth/fluidsynth#1415, FluidSynth/fluidsynth#1417,
    FluidSynth/fluidsynth#1424)

    Minor adjustment to AWE32 NRPN behavior (FluidSynth/fluidsynth#1430)

Signed-off-by: Daniel Golle <[email protected]>

libxmp: update to version 4.6.2

See project release notes for the (rather long) list of changes since
version 4.6.0.

https://github.com/libxmp/libxmp/releases/tag/libxmp-4.6.2
https://github.com/libxmp/libxmp/releases/tag/libxmp-4.6.1

Signed-off-by: Daniel Golle <[email protected]>

wavpack: update to version 5.8.1

"This dot release replaces 5.8.0 that was missing a couple CMake files
 in the tarball and the multicore detection did not compile on MacOS
 and other BSDs. Because the Windows executables were not affected I
 will not be updating them."

 --------------------------------
 Release 5.8.0 - January 27, 2025
 --------------------------------

  added: if present, use multiple cores by default (cli programs only)
  added: option --no-threads to force single-threading (cli programs)
  fixed: noise issue in hybrid mode (low bitrate / high sample rate)
  improved: all new DNS algorithm for better hybrid mode quality
  improved: "extra" option with multithreading and hybrid modes
  added: TSOC (Composer Sort) added to handled ID3v2 tags
  added: --no-overwrite command-line option to wvunpack
  fixed: handling of 24+ channels (CoolEdit / Audition)
  fixed: encoding raw audio from pipes (Windows only)
  fixed: handling of unpacked samples in WAV files
  fixed: rare command-line option parsing issue

Signed-off-by: Daniel Golle <[email protected]>

perl-mail-spamassassin: update to version 4.0.1

Apache SpamAssassin 4.0.1 is a patch release that fixes issues that
have surfaced since the release of 4.0.0. It provides compatibility
with the latest version of Perl, 5.38, which was released in July,
2023, as well as with recent release versions of some required Perl
modules.

Many thanks to the committers (see CREDITS file), contributors, rule
testers, mass checkers, and code testers who have made this release
possible.

Notable features:
=================

None noted.

Notable changes
---------------

This release addresses the following issues:

  - Incompatibilities with some versions of perl and some perl modules
    that have been released since the release of SpamAssassin 4.0.0

  - Problems using cpan to install SpamAssassin when certain required
    or optional modules are not already installed

  - Support for space characters in the path name of some executables
    used by certain plugins

  - Improved handling of URL shortener link redirects

  - Improved TxRep locking management

  - Added Mail::SpamAssassin::Plugin::AuthRes plugin to use
    Authentication-Results header fields in other plugins

  - Added a Pyzor Perl implementation

  - Perl crash when certain uri_detail rules processed some messages
    with UTF-8 characters

  - Inconsistent handling of newlines in header rules

  - Text or HTML content placed in octet-stream attachments by
    spammers to bypass SpamAssassin scanning

  - Implemented TCP fallback for truncated DNS UDP replies

* Spamc can now be built on a Windows platform as part of the gmake
  build procedure, using the compiler toolchain that is part of a
  standard Strawberry Perl installation, with no need to install a
  separate Visual Studio, msys, or mingw.

The detailed list of all commits can be found in the Changes file.
A detailed view of the issues as they were filed in the Bugzilla issue
tracker can be seen at https://s.apache.org/7apqr

Signed-off-by: Daniel Golle <[email protected]>

perl-net-dns: update to version 1.50

**** 1.50 Feb 21, 2025

    Minor code improvements in Resolver::Base.
    Add RESINFO package for resolver information.
    Documentation revision and reformatting.

Fix rt.cpan.org #158714
    Fedora41: IPv4 loopback disabled in IPv6-only configuration

Fix rt.cpan.org #158706
    Use of uninitialized value [in _send_udp]

**** 1.49 Dec 27, 2024

    Add DSYNC package for Generalized Notification.
    EDNS: Add support for ZONEVERSION option.

Fix rt.cpan.org #157700
    "Use of uninitialized value" errors when using TCP connections

Fix rt.cpan.org #157669
    Net::DNS::Nameserver: SOA not present in NODATA response

Fix rt.cpan.org #157195
    EDNS option structure does not match JSON from $packet->edns->print

Fix rt.cpan.org #157043
    User-hostile return value from SVCB key methods

**** 1.48 Nov 8, 2024

    SVCB: Add tls-suppored-groups parameter.
    Fix failures in 01-resolver.t dry tests.

**** 1.47 Sep 18, 2024

    Restore current domain name following $INCLUDE in zone file.
    Update RFC and other document references.

Fix rt.cpan.org #155337
    Issue with parallel run of TSIG tests

**** 1.46 Aug 19, 2024

    Resync with IANA DNS Parameters registry.
    Revise documentation for Packet.pm and Header.pm.
    Random ID cache moved from header->id to packet->encode.
    Restructure resolver method inheritance tree.

**** 1.45 May 2, 2024

    Resync with IANA DNSSEC Algorithm Numbers registry.
    Resync with IANA DS Digest Algorithms registry.
    Add support for EDNS CO flag.

Fix rt.cpan.org #152756
    Net::DNS::Resolver::UNIX creates $ENV{PATH} key if one doesn't exist

**** 1.44 Feb 15, 2024

    Simplify testing of resolver error paths.
    Prevent read beyond end of RDATA in corrupt SVCB RR.

**** 1.43 Jan 26, 2024

    Update b.root-servers.net addresses in resolver hints.
    Improve accuracy and completeness of dependency metadata.
    Nameserver: hangs on persistent TCP connection (Windows).
    IPSECKEY: leave gateway undefined for gatetype 0.
    Remove remaining support for GOST.

Fix rt.cpan.org #151240
    Nameserver.pm: DoS vulnerability in TCP handling

Fix rt.cpan.org #151232
    Net::DNS::Resolver::new hangs for 150s on Win32 with no active DNS

Fix rt.cpan.org #151075
    Bug in Net::DNS::Resolver::Recurse::_referral

Fix rt.cpan.org #151074
    Deep recursion in Net::DNS::Resolver::Recurse

**** 1.42 Dec 24, 2023

Fix rt.cpan.org #150695
    Hang in Net::DNS::Nameserver on Windows

Signed-off-by: Daniel Golle <[email protected]>

postgresql: update to version 17.4

See project release notes for more details:
https://www.postgresql.org/docs/17/release-17-4.html
https://www.postgresql.org/docs/17/release-17-3.html

Signed-off-by: Daniel Golle <[email protected]>

exfatprogs: update to version 1.2.8

exfatprogs 1.2.8 - released 2025-03-04
======================================

BUG FIXES :
 * dump.exfat: fix an incorrect output of an entry
   position in 32-bit system.
 * mkfs.exfat: fill an oem sector with zero instead
   of one.
 * exfatprogs: fix compilation on musl based systems
   due to loff_t type. And update the Github action
   to validate builds on the system.

exfatprogs 1.2.7 - released 2025-02-03
======================================

NEW FEATURES :
 * fsck.exfat: support repairing the upcase table.

CHANGES :
 * exfatprogs: make sure to load the tbl preprocessor
   for man pages.

BUG FIXES :
 * exfatprogs: fix a double free memory error.
 * dump.exfat: fix a constraint that volume label, bitmap,
   upcase table must be located at the beginning of a root
   directory.

exfatprogs 1.2.6 - released 2024-11-20
======================================

CHANGES :
 * exfatprogs: replace obsolete autoconf and libtool
   macros.
 * mkfs.exfat: prefer the physical block size over
   the logical block size for the exFAT sector size.
 * mkfs.exfat: add notes about the format of the volume
   GUID to the man page.
 * mkfs.exfat: fix an incorrect calculation of the number
   of used clusters.

BUG FIXES :
 * exfatlabel: fix an user input error when setting
   a volume serial or label.

Signed-off-by: Daniel Golle <[email protected]>

glib-networking: update to version 2.80.1

2.80.1 - January 8, 2025
========================

 - OpenSSL: fix crash in complete_handshake (!251, Dario Saccavino)
 - OpenSSL: fix invalid free in openssl_get_binding_tls_server_end_point() (!255)
 - TLS test should handle G_IO_ERROR_WOULD_BLOCK (!253, Richard Purdie and Alexander Kanavin)
 - Updated translations

Signed-off-by: Daniel Golle <[email protected]>

i2c-tools: update to version 4.4

4.4 (2024-10-10)
  tools: Use getopt
         Implement and document option -h
  eeprog: Use force option when data comes from a pipe
  i2cdetect: Display more functionality bits with option -F
  i2cdump: Remove support for SMBus block mode
  i2cget: Document SMBus block mode
          Fix the return code of option -h
  i2cset: Fix the return code of option -h
  i2ctransfer: Sort command line options and add to help text
               Add an option to print binary data
               Drop redundant variable arg_idx
  py-smbus: Install in the defined prefix
            Use setuptools instead of distutils

Signed-off-by: Daniel Golle <[email protected]>

gawk: update to version 5.3.2

Changes from 5.3.1 to 5.3.2
---------------------------

1. The pretty printer now produces fewer spurious newlines; at the
   outermost level it now adds newlines between block comments and
   the block or function that follows them. The extra final newline
   is no longer produced.

2. OpenVMS 9.2-2 x86_64 is now supported.

3. On Linux and macos systems, the -no-pie linker flag is no longer required.
   PMA now works on macos systems with Apple silicon, and not just
   Intel systems.

4. Still more subtle issues related to uninitialized array elements have
   been fixed.

5. Associative arrays should now not grow quite as fast as they used to.

6. The code and documentation are now consistent with each other with
   respect to path searching and adding .awk to the filename. Both
   are always done, even with --posix and --traditional.

7. As usual, there have been several minor code cleanups and bug fixes.
   See the ChangeLog for details.

Changes from 5.3.0 to 5.3.1
---------------------------

1. More subtle issues related to uninitialized array elements have
   been fixed.

2. A number of bugs in the debugger related to handling of arrays
   have been fixed.

3. Some subtle bugs in the API have been fixed.

4. Use of MPFR is now possible again on 32-bit Power PC Mac systems.

5. Race conditions around broken pipes for system() and read and write
   pipes should now be closed off.

6. Support for OSF/1 has been removed.

7. The never-documented --nostalgia option has been removed. It was
   causing bug reports.

8. The implementation of printf/sprintf has been thoroughly reworked
   in order to make the code more maintainable and to fix a goodly
   number of corner cases.

9. As usual, there have been several minor code cleanups and bug fixes.
   See the ChangeLog for details.

Signed-off-by: Daniel Golle <[email protected]>

libowfat: update to version 0.34

changes since 0.33:
 * be more C99 compliant (Florian Weimer)
 * add C++ convenience overloads to uint*.h
 * remove unaligned memory access behind #ifdef i386 from uint*.h
   (compilers are now smart enough so they are no longer needed and they
   were technically undefined behavior so the sanitizer complained)

OpenWrt package changes:
 * The newly introduced 'json' build tool is added to the host build and
   staged as 'libowfat-json'.
 * DEBUG option is now set by global CONFIG_DEBUG option
 * fixed duplicate CROSS prefix of RANLIB

Signed-off-by: Daniel Golle <[email protected]>

ell: update to version 0.76

ver 0.76:
    Fix issue with random scalar generation.

ver 0.75:
    Add support for converting OID octets to strings.
    Add support for NIST P-224 cuve usage with ECDH.
    Add support for NIST P-521 cuve usage with ECDH.
    Add support for SHA-3 series of hashing algorithms.

ver 0.74:
    Add support for NIST P-192 curve usage with ECDH.
    Add support for SHA-224 based checksums and HMACs.

ver 0.73:
    Fix issue with parsing hwdb.bin child structures.

ver 0.72:
    Add support for the Test Anything Protocol.

Signed-off-by: Daniel Golle <[email protected]>

openfortivpn: upgrade to 1.23.1

add saml login support

Signed-off-by: Ignas Poklad <[email protected]>

shairport-sync: add drift and ALSA mixer config options

Allow setting drift_tolerance_in_seconds, which replaces the
now-deprecated drift option.

Also allow setting alsa.mixer_control_index, which is necessary to use
the hardware mixer correctly on some devices (like the Apple USB-C
Headphone Adapter when a headset is plugged in).

Signed-off-by: Will Mortensen <[email protected]>

qemu: update to 9.1.3

- Update version
- Refresh patches

Signed-off-by: Vladimir Ermakov <[email protected]>

qemu: fix guest agent patch

Replace to fix #25209

Signed-off-by: Vladimir Ermakov <[email protected]>

net/aria2: fix PKG_CPE_ID

aria2_project:aria2 is a better CPE ID than tatsuhiro_tsujikawa:aria2 as
this CPE ID has the latest CVE (whereas tatsuhiro_tsujikawa:aria2 only
has CVEs up to 2010):
https://nvd.nist.gov/products/cpe/search/results?keyword=cpe:2.3:a:aria2_project:aria2

Fixes: 299e5b0a9bce19d6e96cb9ff217028b36ee2dd36 (treewide: add PKG_CPE_ID for better cvescanner coverage)
Signed-off-by: Fabrice Fontaine <[email protected]>

net/openssh: fix PKG_CPE_ID

openbsd:openssh is a better CPE ID than openssh:openssh as this CPE ID
has the latest CVEs (whereas openssh:openssh has no CVEs):
https://nvd.nist.gov/products/cpe/search/results?keyword=cpe:2.3:a:openbsd:openssh

Fixes: 299e5b0a9bce19d6e96cb9ff217028b36ee2dd36 (treewide: add PKG_CPE_ID for better cvescanner coverage)
Signed-off-by: Fabrice Fontaine <[email protected]>

lua: lua5.4 update to 5.4.7

1ab3208a1fceb12fca8f24ba57d6e13c5bff15e3 'lua.h' back to redundancy in version definitions
21ff8de33a5aca9c3c907592b894e4b9ab036d3e Bug: Tricky _PROMPT may trigger undefined behavior
7eb1ed21b7057ab5f1b921f8271eddcf13659737 More permissive use of 'errno'
2db966fcbf757775c842bc66449d7e697826aa1d Bug: luaL_traceback may need more than 5 stack slots
ae9a0cbbb446499e759acae47664d1d136d7ba90 Bug: overlapping assignments
d5212c13b081ed62d8e1ae436779e79c79edf564 More disciplined use of 'errno'
e0efebdbe4e4053c6fb78588c546f1dc23aa964a Detail in the manual
e84f7bf19852c35ad0a1e9a1654a7b99a211e17c Details
dfbde4c7d540f81f2cc539741a2c1f4c00f91c10 Bug: Active-lines for stripped vararg functions
de794a6527058e75b674118b35f39dcbb13e88b1 Towards release 5.4.7
8b83417de982d068bd92e0428a42ca0cdd909789 Avoids a warning when lua_Number is 'float'
e288c5a91883793d14ed9e9d93464f6ee0b08915 Bug: Yielding in a hook stops in the wrong instruction
5853c37a83ec66ccb45094f9aeac23dfdbcde671 Bug: Buffer overflow in string concatenation
842a83f09caa2ebd4bc03e0076420148ac07c808 Panic functions should not raise errors
7923dbbf72da303ca1cca17efd24725668992f15 Bug: Recursion in 'getobjname' can stack overflow
81e4fce5303fdb274bc5572fb168dd766fb8208e Simpler test in 'luaH_getint'
6baee9ef9d5657ab582c8a4b9f885ec58ed502d0 Removed test for "corrupted binary dump"
edd8589f478e784bb8d1a8e9a3bb2bb3ca51738c Avoid casts from unsigned long to floating-point
07a9eab23ac073362f231ddc7215688cf221ff45 Cannot use 'getshrstr' before setting 'shrlen'
9363a8b9901a5643c9da061ea8dda8a86cdc7ef1 Documentation for "LUA_NOENV"
5ab6a5756b3c50c99f1388885e9a48a7da8cbe2d Bug: Wrong line number for function calls
9b4f39ab14fb2e55345c3d23537d129dac23b091 More disciplined use of 'getstr' and 'tsslen'
f4211a5ea4e235ccfa8b8dfa46031c23e9e839e2 More control over encoding of test files
1b3f507f620d996ffb69da7476a19251acfb89ca Bug: Call hook may be called twice when count hook yields
6b51133a988587f34ee9581d799ea9913581afd3 Thread stacks resized in the atomic phase
cbae01620278f9b568805db16a96d0631ced473d Details
ea39042e13645f63713425c05cc9ee4cfdcf0a40 Removed redundancy in definitions of version/release
05ec55f16b389a4377adab84efe374437da8dbd2 Avoid inclusion loop in 'ltm.h'
f623b969325be736297bc1dff48e763c08778243 Bug: read overflow in 'l_strcmp'
9be74ccc214eb6f4d9d0b9496fd973542c7377d9 Several functions turned 'static'
09f3c2372f5dbeaec9f50614a26c1b5761726a88 Option '-l' discards version sufix from file name
c197885cb00b85251c35cffdc4057efaee2d7a88 Small improvements in tests
934e77a286aeb97ca02badf56956ccc78217e9d0 Details

Signed-off-by: Jianhui Zhao <[email protected]>

liburcu: update to version 0.15.2

Signed-off-by: Jan Hák <[email protected]>

libtorrent-rasterbar: enable python package

The python package now works with Python 3.11.

Also simplify Build/InstallDev with CMAKE_INSTALL.

Signed-off-by: Tianling Shen <[email protected]>

libtorrent-rasterbar: Update to 2.0.11

Signed-off-by: Tianling Shen <[email protected]>

adguardhome: bump to 0.107.61

Security

- Any simultaneous requests that are considered duplicates will now only
result in a single request to upstreams, reducing the chance of a cache
poisoning attack succeeding. This is controlled by the new configuration
object pending_requests, which has a single enabled property, set to
true by default.

NOTE: It's strongly recommended to leave it enabled, otherwise AdGuard
Home will be vulnerable to untrusted clients.

Changelog: https://github.com/AdguardTeam/AdGuardHome/releases/tag/v0.107.61
Signed-off-by: George Sapkin <[email protected]>