Skip to main content
openSUSE's Geeko chameleon's head overlayed on a cell-shaded planet Earth, rotated to show the continents of Europe and Africa

Welcome to Planet openSUSE

This is a feed aggregator that collects what the contributors to the openSUSE Project are writing on their respective blogs
To have your blog added to this aggregator, please read the instructions

a silhouette of a person's head and shoulders, used as a default avatar

Tumbleweed – Review of the week 2026/29

Dear Tumbleweed users and hackers,

This week was quite busy and successful, with 5 snapshots (0709, 0710, 0712, 0714, and 0715) published to our users.

Last week, we promised to put selinux-policy back into the queue after having temporarily reverted it to bypass the openQA failures, and we did just that. It turned out our theory was spot-on! In snapshot 0714, the SELinux Toolchain 3.11 landed, and confirmed our dependency fix for rpm-plugin-selinux was correct

Another noteworthy change is the reversion of the gvim GTK4 build back to GTK3. While we strive to ship the latest technology, the current state of the GTK4 port simply does not live up to the quality promises we give to our users, resulting in clipboard deadlocks. Thus, we chose stability over the shiny new build.

These five snapshots delivered the following updates:

  • SELinux Toolchain 3.11 (together with selinux-policy)
  • KDE Frameworks 6.28.0
  • QEMU 11.0.2
  • GStreamer 1.28.5
  • Vim 9.2.0780
  • PipeWire 1.6.8
  • freetype 2.14.3
  • poppler 26.07.0
  • curl 8.21.0
  • git 2.55.0
  • BusyBox 1.38.0
  • php 8.5.8
  • postfix 3.11.5
  • timezone 2026c
  • kernel-firmware 20260710
  • Rust 1.97

Let’s take a look at what we can expect in the coming days and weeks.

  • KDE Plasma 6.7.3
  • systemd 261.1
  • Perl 5.44.0
  • linux-glibc-devel 7.1: Last holdup at this time is llvm (15 – 21)
  • Podman 6.0.0: Undergoing integration and sync testing with buildah and skopeo. Staging seems to pass, but for this stack we also get some manual testing
  • GCC 16 as the default system compiler. If my eyes don’t deceive me, qemu seems to be the last package failing to build
the avatar of openSUSE News

Planet News Roundup

This is a roundup of articles from the openSUSE community listed on planet.opensuse.org.

The community blog feed aggregator lists the featured highlights below from July 10 to 16.

Blogs this week cover the third Plasma 6.7 bugfix release, a SUSE security advisory on SELinux userspace utilities, a call for host proposals for the openSUSE.Asia Summit 2027, syslog-ng packages for Ubuntu 26.04, a keynote recap on open source trust and the Cyber Resilience Act, audio recording arriving in Spectacle, a Meteoclimatic desktop plasmoid, a Krita June development report, Slimbook’s local AI workstation and more.

Here is a summary and links for each post:

Display the Meteoclimatic data on your desktop with this Plasmoid for Plasma 6 from KDE

Victorhck shares information about Plasma 6 plasmoid that visualizes Meteoclimatic weather station data directly on the desktop. Building on an earlier text-mode plasmoid and terminal scripts, this version presents the data with emoji icons for a more elegant and visually appealing display. Victorhck invites users to share screenshots of their configurations on Mastodon.

Nexus AI Workstation, the proposal to have local AI free on Slimbook

The KDE Blog presents Slimbook’s Nexus AI Workstation, a server family designed for running local AI workloads without relying on cloud token subscriptions. The goal is to offer a platform prepared for executing and developing AI workloads locally, combining high performance with the flexibility professionals, companies, researchers and developers demand.

Krita Report June 2026

The KDE Blog covers the June 2026 Krita development report, highlighting releases 5.3.2.1 and 6.0.2.1 that fix severe regressions related to layer selection and crashes when working with wait frames. Krita Plus for Android replaces old contributor badges with downloadable resource packs and a Google Play subscription, along with improved interface scaling, transform tool fixes with multiple layers, and crash fixes when undoing text operations.

Third Bugfix Update for Plasma 6.7

The KDE Blog announces the third bugfix release for Plasma 6.7, delivering stability improvements, better translations, and error resolution across the desktop environment. The post also recaps the major new features of Plasma 6.7, including per-monitor virtual desktops, a microphone volume test tool, quick theme switching, a Vietnamese lunar calendar, and a new print queue manager.

SELinux Userspace Utilities: Local Denial-of-Service Attack Vectors in seunshare

The SUSE Security Team discloses two local denial-of-service vulnerabilities in the seunshare program from SELinux userspace utilities version 3.10. A symlink race condition in rm_rf() allows deletion of root-owned files, while the killall() function can be exploited to kill root-owned processes running in the unconfined SELinux domain. Both issues were independently fixed upstream in version 3.11.

openSUSE.Asia Summit 2027: Call for Host

openSUSE News invites local openSUSE communities across Asia to submit proposals to host the openSUSE.Asia Summit 2027. The proposal deadline is August 10 with the host announcement scheduled for October 31 following presentations at the 2026 summit in Yogyakarta, Indonesia. Proposals should cover venue, transportation, budget, catering, and the local organizing team’s experience.

Syslog-ng 4.12.0 Available for Ubuntu 26.04 (Resolute)

Peter Czanik’s Blog confirms that syslog-ng now supports Ubuntu 26.04 with ready-to-use packages alongside the 4.12.0 release. The post fills a gap in his usual coverage, which tends to focus on FreeBSD, Fedora and openSUSE.

Bare Weather – Weather Information on Your Desktop with Plasmoids for Plasma 6 (35)

The KDE Blog presents Bare Weather, the 35th entry in its Plasma 6 plasmoid series, which delivers interactive weather data directly on the desktop. The widget by corral76 offers two layouts: a card design with animated icons and color-coded headers, and a graph design with scrollable temperature and precipitation curves.

Bash and Fish Scripts to Display Meteoclimatic Weather Station Data

Victorhck shares Bash and Fish terminal scripts that display real-time weather data from Meteoclimatic amateur stations. The scripts use curl and awk with emoji icons to present the information, and the first run prompts for a station ID which is saved to a config file.

This Month in KDE Linux: June 2026

The KDE Blog translates Nate Graham’s monthly progress report on KDE Linux, the community’s upcoming operating system. The project has reached 78 percent completion toward its beta milestone. Updates include Audex replacing the old CD ripping tool, a built-in log collection utility, and UEFI-only boot support.

When the Code Remains Clean but Trust Collapses: The New Era of Open Source

Efstathios summarizes the openSUSE Conference 2026 keynote by Hans de Raad on the intersection of open source security, the Cyber Resilience Act, and AI tooling risks. The post examines the GSD framework incident where clean code masked a collapsed trust chain, drawing parallels to the xz-utils backdoor.

Audio Recording in Spectacle – This Week in Plasma

The KDE Blog translates Nate Graham’s weekly Plasma development update, which highlights audio recording arriving in Spectacle for screen captures in Plasma 6.8. The update also covers VRAM usage display in System Monitor, the Ethiopian calendar addition, improved combobox theming, tablet stylus support for Overview overlays, and numerous bugfix releases across Plasma 6.6.6, 6.7.3, and Frameworks 6.29.

Linux Saloon 209 | Fedora 44

Nathan’s Blog covers the latest Linux and technology news, including the Warthunder Sim Rig hardware build, font management in Linux, and the retirement of the “Father of the Internet.” The episode also discusses Firefox updates, the Steam Machine launch, and Fedora governance changes alongside the Fedora 44 release.

KDE Frameworks 6.28.0 Update

The KDE Blog announces KDE Frameworks 6.28 and continues its series describing each library in the framework collection. This month focuses on KCodecs, a Tier 1 library responsible for character set detection, XML entity translation, and email address validation across KDE applications.

Colors, Graphics, and Performance in Plasma 6.7

The KDE Blog covers the under-the-hood improvements in Plasma 6.7 related to color management, graphics rendering, and energy efficiency. Users can now use ICC color profiles and HDR content simultaneously. There is a new toggle to control reddish tinting at low brightness on AMD laptops. The team also achieved performance gains and reduced power consumption for CPU-rendered applications and Intel integrated GPUs.

openSUSE Tumbleweed Review of Week 28 of 2026

Victorhck and Dominique Leuenberger provide a Spanish and English language review of four Tumbleweed snapshots (0702, 0703, 0707, and 0708) published during the week. Highlights include the removal of Python 3.11 modules while keeping the interpreter and pip, KDE Gear 26.04.3, Plasma 6.7.2, Linux kernel 7.1.2 and 7.1.3, Mesa 26.1.4, and systemd 260.3. Upcoming packages include GStreamer 1.28.5, SELinux toolchain 3.11, and GCC 16 as the default compiler.

View more blogs or learn to publish your own on planet.opensuse.org.

a silhouette of a person's head and shoulders, used as a default avatar

Akademy-es 2026 se celebrará en Madrid #akademyes

 ¡Ya tenemos sede! Ayer fue anunciado la gran noticia para los simpatizantes y miembros de la Comunidad KDE: Akademy-es 2026 se celebrará en Madrid del 23 al 25 de octubre. Un evento que al que no puedes dejar de acudir si te gusta el Software Libre, y más si eres usuario o colaborador del proyecto KDE. Tanto si vienes como si no, ayúdanos a difundir el evento con la etiqueta #akademyes.

Akademy-es 2026 se celebrará en Madrid #akademyes

Como me gusta recordar cada cierto tiempo,el momento clave de mi vida que hizo que en estos momentos sea un miembro orgulloso de la Comunidad KDE fue mi primera Akademy-es, la del 2010 de Bilbao.

A lo largo de este evento me encontré con grandes personas y actuales amigos, descubrí lo enorme y fabulosa que era la gente que rodeaba a KDE. De esta forma llegué a la conclusión mientras conducía camino a casa que era un buen proyecto donde focalizar mis proyectos intereses personales y mis momentos de ocio.

Akademy-es 2026 se celebrará en Mádrid #akademyes
Foto de grupo de Akademy-es 2024 de València

Por eso me llena de alegría que KDE España siga realizando eventos de este tipo que no son más que unos excelentes momentos para compartir mucho más que conocimiento digital.

En fin, el escueto anuncio oficial, al que pronto le seguirán muchas más novedades, es el siguiente:

La asociación KDE España anuncia la celebración de Akademy-es 2026 en Madrid, en el Camping Arco Iris (Villaviciosa de Odón), del 23 al 25 de Octubre.
Para celebrar el trigésimo aniversario de KDE, así como el vigésimo aniversario de Akademy-es, este año hemos decidido celebrar un evento en un lugar diferente, centrándonos en la naturaleza comunitaria de KDE, y hemos elegido el Camping Arco Iris en Madrid.

Al igual que otros años, esperamos tener ponencias, talleres y otras actividades típicas de Akademy-es, pero también queremos fomentar los momentos de convivencia en un entorno privilegiado e integrado en la naturaleza como son las versátiles instalaciones de Madrid Arco Iris. Nos gustaría también animar a todos los participantes a que asistan con sus familias y/o amigos/as.

Próximamente abriremos la búsqueda de contribuciones, la inscripción y la forma de reservar los bungalows en Madrid Arco Iris para asistir al evento.

Los datos básicos son:

Fecha: 23,24 y 25 de octubre

Lugar: Camping Arco Iris (Villaviciosa de Odón), Madrid

Durante el evento, como es costumbre, se realizarán charlas tanto para usuarios como para desarrolladores, además de talleres prácticos y otras actividades de carácter más social con las que se pretenden cumplir los siguientes objetivos:

  • Poner en contacto a desarrolladores de KDE de toda España, para que puedan hablar de los proyectos en que están trabajando, compartir código, experiencias y conocimiento.
  • Dar a conocer los proyectos KDE como el entorno de escritorio nuevos usuarios.
  • Divulgar acerca de las tecnologías KDE, tanto para nuevos desarrolladores como para usuarios que quieran conocer mejor KDE.
  • Y por supuesto, el objetivo principal es que todos disfrutemos aprendiendo más sobre Software Libre y KDE.

¡Os esperamos!

La entrada Akademy-es 2026 se celebrará en Madrid #akademyes se publicó primero en KDE Blog.

a silhouette of a person's head and shoulders, used as a default avatar

Muestra los datos de Meteoclimatic en tu escritorio con este Plasmoide para Plasma 6 de #KDE

Este plasmoide que he realizado muestra de una manera muy gráfica los valores ofrecidos por las estaciones de aficionados que se recogen en Meteoclimatic

Hace unos días compartí por el blog otro Plasmoide similar que ofrece los datos de la estación metereológica de Meteoclimatic seleccionada en modo texto. Puedes leer ese artículo en este enlace:

Incluso también desarrollé un script en Bash (y para Fish) para mostrar esos datos en la terminal:

Y de uno y de otro, ahora llega esta nueva entrega del Plasmoide para Plasma 6 de KDE que puedes poner en tu escritorio, para mostrar los datos, pero de una manera más vistosa, con emojis, iconos y una presentación (creo) que más elegante.

Desde hace unos cuantos días he ido evolucionando la versión primigenia del plasmoide en modo texto para ir dando forma y puliendo el plasmoide para ofrecer esta nueva versión con entidad propia en la que se muestran los datos pero añadiendo emojis e iconos para presentar el texto de una manera más vistosa y elegante.

Para instalar el plasmoide, clona o descarga el repositorio de git en Codeberg:

Y copia la carpeta descargada Meteoclimatic.plasmoid y todo su contenido a la ruta ~/.local/share/plasma/plasmoids

Hecho eso entra en el modo configuración y añade el plasmoide en tu escritorio. Después configuralo a tu gusto. Lo primero ir a la web de Meteoclimatic y seleccionar la estación que prefieras y copiar su ID (que tendrá un aspecto similar a ESAST3300000033500A)

Y selecciona las opciones que prefieras, color del texto, mostrar o no el fondo del plasmoide, centrar el texto, tamaño de fuente, etc…

Aceptas y ya podrás presumir en el próximo #ViernesDeEscritorio de tu escritorio Plasma de KDE con este exclusivo plasmoide realizado por mí.

Si te animas a utilizarlo, me gustará ver tu captura y cómo lo has configurado, así que dame un «ping» por Mastodon y veré allí tu captura.

Si tienes sugerencias o comentarios constructivos, me gustará leerlos, en la sección de comentarios del blog. Todo es susceptible de mejora… aunque no prometo nada…

Botón con el icono de KDE y el texto: Powered by KDE
a silhouette of a person's head and shoulders, used as a default avatar

Nexus AI Workstation, la propuesta para tener IA local libre de Slimbook

¿Piensas que necesitas utilizar IA para cualquiera de tus proyectos serie? ¿Tienes una empresa y el consumo de tokens por parte de tus empleados se dispara mes a mes y con tus suscripciones mínimas ya no llegas? ¿Quieres tener un control preciso de tus datos y no quieres que otras empresas puedan utilizarlos? Quizás sea hora de pensar que lo que en realidad necesitas tu o tu empresa un servicio de IA local, y justo es lo que te propone Slimbook con su Nexus AI Workstation, un potente servidor que inicialmente cubre tus necesidades pero que es ampliable por si éstas aumentan. ¿Te interesa? Sigue leyendo.

Nexus AI Workstation, la propuesta para tener IA local libre de Slimbook

Antes de empezar quiero destacar no penséis que hago toda esta publicidad porque reciba una compensación económica, simplemente porque confío en esta empresa que no olvida que el Software Libre es algo más que Software y que busca ofrecer no solo productos sino un excelente servicio pos-venta, algo que en muchas ocasiones olvidamos que es importante.

Slimbook Creative, nuevo portátil de gama alta 100% GNU/Linux

Creo que la tan manida frase de «la Ia ha llegado para quedarse» es bastante cierta. El potencial es casi infinito: con conocimientos previos, ideas claras y ganas de aprender puedes hacer muchísimas cosas que antes tardarías mucho tiempo en conseguirlas.

Pero todo tiene un precio, sobre todo en cuestión de privacidad y, por qué no decirlo, dinero. Y es que todo es muy bonito hasta que te encuentras con que se acabaron los tokens y debes pagar a una empresa poco transparente por continuar. Evidentemente, esto escala si en vez de una persona tienes una empresa y tus empleado utilizan IA para aumentar su eficiencia.

Además, y creo que esto también es muy importante, hay que tener presente que tu no controlas el futuro en el uso de la IA, las empresas tienen la sartén por en mango y que si deciden cambiar precios o condiciones tendrás que aguantarte. Tenemos ejemplos en el mundo de los videojuegos de forma constante.

Es por eso que si crees que vas a utilizar la IA de forma continua, algo nada descabellado, podría ser interesante invertir en un hardware que te permita utilizarla, y justo eso es lo que ofrece la compañía valenciana Slimbook con su gama de productor Nexus AI Workstation.

En palabras del CEO de Slimbook:

[…] hemos anunciado Nexus AI Workstation, una nueva familia de estaciones de trabajo orientadas a inteligencia artificial. El objetivo es ofrecer una plataforma preparada para ejecutar y desarrollar cargas de trabajo de IA en local, combinando alto rendimiento con la flexibilidad que buscan profesionales, empresas, investigadores y desarrolladores.

Nexus AI Workstation, la propuesta para tener IA local libre de Slimbook

Esta familia Nexus llega con dos configuraciones Ryzen AI y Threadripper AI diseñadas para cubrir diferentes necesidades dentro del desarrollo y la ejecución de Inteligencia Artificial Local, desde estaciones de trabajo de alto rendimiento hasta plataformas profesionales para las cargas más exigentes.

Y esto se materializa con un servidor con las siguientes características:

  • Procesador: AMD hasta Ryzen 9
  • Tarjeta gráfica: Nvidia hasta RTX Blackwell 6000 disponible con x2 gráficas según placa
  • Refrigeración: disipación por aire, líquida todo en uno (3 ventiladores)
  • Chasis: ETX aluminio y metal
  • Memoria RAM: hasta 128GB DDR5 5200Mhz-6000Mhz
  • Disco duro M.2: hasta 4TB SSD NVMe 5.0 (5.0 sólo chipset X870 resto 4.0)
  • Discos duros SATA: hasta 140TB (varios discos según placa)
  • Conectividad: Incluye Wifi 6 (WiFi 7 según placa) + 2.5G Ethernet
  • Fuente: hasta 2500W Platinum
  • Sistema Operativo: Linux/Windows

Esperemos que tengan éxito con esta nueva gama de ordenadores.

Más información: Anuncio oficial | Tienda

La entrada Nexus AI Workstation, la propuesta para tener IA local libre de Slimbook se publicó primero en KDE Blog.

a silhouette of a person's head and shoulders, used as a default avatar

Informe de junio de 2026 de Krita

Hoy me apetece seguir promocionado un software que creo que será fundamental en la labor de una persona muy cercana. Así que bienvenidos al informe de junio de 2026 de Krita, la mejor (según nosotros y mucha más gente) aplicación para artistas digitales.

Informe de junio de 2026 de Krita

Nada tiene que envidiar Krita a otras aplicaciones de edición de imágenes, siendo el complemento perfecto a Gimp e Inkscape, si queremos tener una suite de edición de imágenes digitales.

Y este párrafo anterior se podría resumir en esta pequeña tabla:

Así que, no puede llenarme de más orgullo que el desarrollo de las tres aplicaciones sigue activo. La última versión estable de GIMP (la 3.2.4) fue publicada en abril, mientras que la última versión estable de Inkscape (la 1.4.4.) fue publicada en el mes de mayo.

Informe de junio de 2026 de Krita

Pues bien, hoy toca hablar del informe de junio de 2026 de Krita, una pequeña entrada del blog oficial en el que nos hablan de cosas como que se han publicado las versiones 5.3.2.1 y 6.0.2.1, que solucionan regresiones graves relacionadas con la selección de capas y cuelgues al trabajar con fotogramas de espera y cambios recientes en el manejo de fotogramas clave.
Además, en Krita Plus para Android se ha renovado el sistema de apoyo económico, sustituyendo las antiguas insignias de colaborador por paquetes de recursos descargables y una suscripción gestionada por Google Play, junto con mejoras en la escala de la interfaz, correcciones en la herramienta de transformación con múltiples capas y arreglos de cuelgues al deshacer operaciones de texto.

En Krita Next, nombre que recibe la versión de desarrollodo de Krita, destaca la posibilidad de exportar timelapses del grabador en Android mediante el codificador interno del sistema, preparando el terreno para la futura renderización de animaciones en esta plataforma, además de mejoras en el selector de color de gama amplia, que ahora guarda el historial, y en el panel de histograma, que ofrece opciones de visualización más flexibles.
En el ámbito de la comunidad se han anunciado los resultados del reto artístico de mayo “Animales y patrones”, se ha lanzado el desafío de junio “Algo inesperado” y se ha hecho un llamamiento a voluntarios para probar compilaciones con librerías de dependencias actualizadas, ayudando a garantizar la estabilidad de futuras versiones.

Magnolia Horse por npc, ganador del reto artístico de mayo.

Más información: Krita

La entrada Informe de junio de 2026 de Krita se publicó primero en KDE Blog.

a silhouette of a person's head and shoulders, used as a default avatar

Tercera actualización de Plasma 6.7

Me alegra compartir con todos vosotros la tercera actualización de Plasma 6.7, continuando así la serie de revisión de software que le dotará de más estabilidad, mejores traducción y resolución de errores. Estas actualizaciones son 100% recomendables y casi obligatorias para cualquier usuario ya que lo único que hacen es mejorar la versión sin comprometer sus funcionalidades.

Tercera actualización de Plasma 6.7

No existe Software creado por la humanidad que no contenga errores. Es un hecho incontestable y cuya única solución son las actualizaciones. Es por ello que en el ciclo de desarrollo del software creado por la Comunidad KDE se incluye siempre las fechas de las mismas siguiendo una especie de serie de Fibonacci.

Así que me congratula en presentar que ayer martes 14 de julio de 2026, unas semanas después de liberar el código de Plasma 6.7 la Comunidad KDE presentó la tercera actualización de errores.

Tercera actualización de Plasma 6.7

Más información: KDE

Las novedades generales de Plasma 6.7

Aprovecho para realizar un listado de las novedades generales de Plasma 6.7:

  • Escritorios virtuales por pantalla: Ahora es posible configurar escritorios virtuales de forma independiente para cada monitor.
  • Prueba del volumen del micrófono: Se ha añadido una herramienta para comprobar los niveles de entrada de audio, facilitando el diagnóstico de problemas con el micrófono.
  • Caracteres especiales en teclado virtual: Al usar el teclado virtual, es posible mantener pulsada una tecla para acceder a los caracteres especiales asociados a ella.
  • Interruptor rápido de temas: Se incluye un nuevo control para cambiar instantáneamente entre los temas globales claros y oscuros.
  • Calendario lunar vietnamita: Se ha integrado este calendario en el sistema para permitir su uso junto al gregoriano.
  • Mejora en «Aplicaciones en segundo plano»: La bandeja del sistema ahora muestra también las aplicaciones que utilizan el sistema de segundo plano moderno, frecuente en paquetes Flatpak.
  • Monitorización de impresión: El icono de la bandeja del sistema para impresoras ahora muestra una placa indicando el número de trabajos activos.
  • Gestión de colas de impresión: Se ha introducido una nueva herramienta para gestionar colas de impresión, diseñada tanto para un uso doméstico sencillo como para la gestión avanzada de múltiples impresoras.
  • Acceso rápido a escritorios en Vista general: Desde la Vista general (Meta + W), ahora es posible cambiar entre escritorios virtuales usando el ratón o las teclas RePág y AvPág.
  • Favoritos por arrastrar y soltar: Se ha simplificado la gestión de favoritos en los lanzadores y menús de aplicaciones mediante la función de arrastrar y soltar.

Más información: KDE

La entrada Tercera actualización de Plasma 6.7 se publicó primero en KDE Blog.

a silhouette of a person's head and shoulders, used as a default avatar

SELinux Userspace Utilities: Local Denial-of-Service Attack Vectors in seunshare in release 3.10

Table of Contents

1) Introduction

The seunshare program is part of the SELinux “sandbox” feature, which is used to confine untrusted programs using Linux mount namespaces and restrictive SELinux policies. The program is designed to be installed with setuid-root privileges, accessible to all users in the system.

We have been asked to review the program’s security with the intention of assigning the setuid bit to it on SUSE distributions in the future. Fedora Linux already ships this program with setuid-root enabled; other SELinux-enabled Linux distributions may do so as well.

During our review of the utility’s code in version 3.10 of the SELinux userspace utilities we identified two local Denial-of-Service attack vectors, which will be described in detail in the following sections. Upstream independently fixed these issues in version 3.11, without clearly marking them as security issues, however.

The rest of this report is based on version 3.10 of the codebase of seunshare.

2) Design Overview

The seunshare program is relatively small, consisting of about 1,000 lines of C code. The elevated root privileges are primarily needed to setup a custom mount namespace for the sandbox environment.

The program accepts a range of command line arguments which, among others, allow to request dedicated directories to be used for the following paths inside the sandbox:

  • the user’s home directory.
  • the /tmp directory.
  • the /run/user/<uid> directory.

For the /run and /tmp directories, the source paths specified by the user are copied into a random temporary directory in the initial mount namespace under /tmp/.sandbox-<label>-XXXXXX using the rsync program. These directories are then bind-mounted into the sandbox’s mount namespace to appear at the expected locations.

A lot of code in seunshare is concerned with securely maintaining these temporary directories. To allow the sandbox environment to modify the directory contents, seunshare assigns group write permissions for the real group ID of the calling user, as shown in this example:

drwxrwx--T. 2 root user 80 Jul  8 16:11 /tmp/.sandbox-user-OaxmUp/

To safely access user-provided paths, the program flips its filesystem UID to the real UID of the calling user and back to root, as needed.

3) Security Issues

Since seunshare is supposed to run on SELinux-enabled systems, it is important to understand what kind of privilege escalation can be achieved when vulnerabilities are exploited in a setuid-root binary like this. Many SELinux-enabled systems, such as Fedora and openSUSE, ship with the “targeted” SELinux policy by default. This policy is focused on confining well-known system services, but assigns an unconfined SELinux context to interactive users by default to achieve a balance between security and usability.

There is currently no domain transition from the unconfined domain to the more restricted seunshare_t defined in the SELinux policy for seunshare. This means the execution of seunshare continues in the unconfined domain. Thus in the context of attacks carried out by interactive users, the impact of the vulnerabilities below will be a root-like privilege escalation despite the system running in SELinux enforced mode.

3.1) Local File Deletion Attack Vector in rm_rf() (CVE-2026-59676)

The function rm_rf() is called at the end of the utility’s execution to recursively remove temporary directory trees. While a comment in the function suggests that no symbolic links would be followed by this routine, the reality is that the openat() system call is lacking the O_NOFOLLOW flag. This creates a race condition during the recursion of the rm_rf() function:

  • first an fstatat() is performed for directory contents obtained from readdir() to safely determine whether an entry refers to a sub-directory.
  • when a directory is encountered the unsafe openat() happens, allowing the unprivileged user to replace the directory entry by a symbolic link in the meantime. While the O_DIRECTORY flag is passed to openat(), symbolic links in the target are still followed, as long as they point to a directory.

When the user calling seunshare is running in the unconfined SELinux domain, arbitrary root-owned files can be deleted this way. The vulnerability does not allow to delete arbitrary files of other users, however, because seunshare drops all capabilities before calling rm_rf(). This leaves the process in a somewhat strange state of privilege: it can no longer override discretionary access control (DAC) but it is still allowed to operate on files owned by the filesystem-uid of the privileged process, which is 0 during the invocation of rm_rf().

We developed a reproducer for this issue, which succeeds in executing the exploit quickly after some fine tuning of the timing for the target system. We verified that the reproducer works on current openSUSE Tumbleweed with policycoreutils 3.10 and the setuid-root bit enabled on seunshare. It does not work on current Fedora 44, as it seems Fedora backported a patch to fix this issue (it passes O_NOFOLLOW to the openat() call in question).

Upstream fixed this issue in commit 38f0a4d9a which is part of of the 3.11 upstream release.

3.2) Process Kill Attack Vector in killall() (CVE-2026-59677)

seunshare offers --kill and -Z switches as documented in its man page:

-k --kill
       Kill all processes with matching MCS level

-Z context
       Use alternate SELinux context while running the executable

Both switches combined cause the killall() function to kill all processes running with the user-provided SELinux context. This does not fully work for arbitrary target processes due to SELinux access control; however, if the calling user is running in unconfined context (as explained previously) it allows to kill e.g. root-owned processes running also in unconfined context. Once the algorithm reaches its own PID (if the context matches), it kills itself, thus it is possible that only a certain range of PIDs can be killed this way depending on the PID selection order of the algorithm in killall().

We have been able to reproduce the issue both on openSUSE and on Fedora 44 using a command line like this:

seunshare --kill -Z unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 -t ~/some-dir/ -- /usr/bin/true

Upstream fixed this issue by dropping the --kill switch and the killall() function in commit 572db2fa.

4) Remaining Concerns

The code of seunshare has seen major changes between version 3.10 and 3.11 of the SELinux userspace utilities. The new version of the program improves on various aspects of the code; generally the code shows awareness of various filesystem-related security concerns that are relevant for setuid-root binaries. Still a number of concerns remain:

  • Data which is modified in temporary directories within the sandbox is transparently copied back into the calling user’s source directory via rsync. Since the program is untrusted it can potentially create all kinds of dangerous files, which will now reside e.g. in the user’s regular home directory and could lead to security issues at a later time when accessed without care.
  • The code flips the filesystem UID a lot to temporarily drop root privileges for file operations. This logic is hard to follow in parts and leaves the process in an unusual state of privilege, as the effective UID is still 0; during the first stages of the program it also still has all capabilities. Due to the filesystem UID being set to the real user’s UID, file operations are carried out using the calling user’s lower privileges, however. From a design point of view it would be preferable to let the process operate in an unprivileged state by default (effective UID and GID set to the real UID and GID). Privileges could then be raised for the few operations that actually need root privileges.
  • The code currently lacks some common security precautions for setuid-root programs:
    • while a new environment variable block is set up to execute the untrusted target program, the privileged parent process keeps the untrusted environment variables of the calling user in place. These are also inherited to tools like rsync that are invoked for the purposes of setting up the sandbox. While this is not an issue at the moment, it could turn into a security issue at a later time when the code changes.
    • the umask() of the process is also kept unchanged, inheriting whatever the unprivileged parent process configured. This can cause files to receive world-readable or world-writable bits leading to unexpected attack vectors.

5) CVE Assignments

We approached the upstream SELinux userspace utilities developers and suggested to assign CVEs for the two issues discussed above. Upstream informed us that they don’t take care of CVE assignment themselves, however. Since Red Hat developers are also involved with upstream development, we were waiting for an agreement on who will assign CVEs to avoid duplicates. On 2026-07-17, after the initial publication of this report, we received a response that there is no intention by RedHat developers to assign CVEs. As a result we assigned CVEs on our end as documented in the updated blog post.

6) Timeline

2026-07-03 We (mistakenly) approached the SELinux kernel code maintainer, asking for CVE assignments for these issues which have meanwhile been fixed in the 3.11 upstream release.
2026-07-03 The SELinux kernel code maintainer forwarded our report to the maintainers of the userspace utilities.
2026-07-06 An SELinux userspace developer informed us that the project is not actively assigning CVEs.
2026-07-07 We responded that we would be able to assign CVEs on our end, but would like to avoid a clash with any CVE assignment plans on the end of Red Hat developers working on SELinux. We thus asked for clarification of who will take care of it.
2026-07-15 Publication of this report.
2026-07-17 We received a reply from a RedHat upstream developer stating that there is no intention to assign CVEs on their end. Thus we assigned CVE-2026-59676 for issue 3.1 and CVE-2026-59677 for issue 3.2 and published the information.

7) References

8) Change History

2026-07-17 Added information about the CVEs we assigned for the issues.

the avatar of openSUSE News

openSUSE Asia Summit 2027 Call For Host

openSUSE.Asia Summit 2027: Call for Host

The openSUSE.Asia Summit is an annual conference that brings together openSUSE contributors, users, and Free and Open Source Software (FOSS) enthusiasts from across Asia. It provides a unique opportunity for the community to meet in person, exchange ideas, share technical knowledge, and strengthen collaboration.

As the openSUSE.Asia Summit 2026 will be held in Yogyakarta, Indonesia, the openSUSE.Asia Organization Committee is now inviting local openSUSE communities to submit proposals to host the 2027 summit.

Hosting the summit is a rewarding opportunity to showcase your local community, promote open source technologies, and connect with contributors from across Asia. The organizing committee will work closely with the selected team, providing guidance and sharing experiences from previous events throughout the planning process.

Important Dates

  • 10 August 2026 — Proposal submission deadline
  • 4 October 2026 — Host proposal presentation during openSUSE.Asia Summit 2026 in Yogyakarta, Indonesia
  • 31 October 2026 — Announcement of the openSUSE.Asia Summit 2027 host

Applicants are encouraged to join our regular online meetings before the summit. This is a great opportunity to learn about the event organization process, ask questions, and interact with organizers from previous years.

How to Submit

Please send your proposal to both:

  • summit@lists.opensuse.org
  • opensuseasia-summit@googlegroups.com

Since summit@lists.opensuse.org does not accept email attachments, please upload your proposal to a file-sharing service (such as Nextcloud, Google Drive, or Dropbox) and include the download link in your email.

Proposal Guidelines

Your proposal should include at least the following information:

  • Host city and venue
  • Transportation
    • International access to your city
    • Local transportation to the venue
  • Estimated budget
    • Venue
    • Catering (coffee break, lunch, dinner)
    • Conference dinner
    • Conference tour (optional)
    • T-shirts and event materials
    • Other operational expenses
  • Local organizing team
    • Introduction to your local openSUSE community
    • Experience organizing conferences or community events
    • Expected volunteers and organizing structure
  • Tentative event schedule
  • Potential local sponsors or partners (optional but recommended)

Before preparing your proposal, please read the openSUSE.Asia Summit Tips for Organizers:

We look forward to receiving your proposal and welcoming a new host community for openSUSE.Asia Summit 2027. We hope to see your community become the next destination for the openSUSE community in Asia!

a silhouette of a person's head and shoulders, used as a default avatar

Syslog-ng 4.12.0 available for Ubuntu 26.04 (Resolute)

Recently I was asked if syslog-ng supports Ubuntu 26.04 (Ubuntu Resolute). Yes, and with the arrival of the syslog-ng 4.12.0 release we also provide ready-to-use packages for it. The release notes mention it, and info is in the Readme on GitHub.

I tend to mention FreeBSD and openSUSE more often in my blogs (personal preference), so today I installed Ubuntu 26.04 and tested syslog-ng myself.

Read more at https://www.syslog-ng.com/community/b/blog/posts/syslog-ng-4-12-0-available-for-ubuntu-26-04-resolute

syslog-ng logo