There were several software package updates for openSUSE Tumbleweed during April and the later half of the month brought some urgency with Copy Fail, which is now safe for users of the rolling release and Slowroll for those who have done a zypper dup at the end of the month.

The information about affected flavors of openSUSE was covered in a blog by the security team.

April brought a major desktop release of GNOME 50 and there was a fourth Plasma 6.6 point release. PHP, GTK4 with the new native GtkSvg renderer, SQLite, iproute2, and nano were among some of the develop packages updated this month. The Linux kernel advances to 7.0.2, and Mesa progressed through 26.0.4 and 26.0.5 with raytracing fixes ahead of upcoming game releases. Security received heavy attention with WebKitGTK, Python, CUPS, Flatpak, sudo, and OpenEXR all receiving multiple Common Vulnerabilities and Exposures fixes.

As always, be sure to roll back using snapper if any issues arise.

For more details on the change logs for the month, visit the openSUSE Factory mailing list.

New Features and Enhancements

KDE Gear 26.04.0: This major release updates 129 packages from the 25.12.3 series across the core PIM suite (Akonadi, KMail, Kontact, KOrganizer), graphics tools (Gwenview, Okular), development tools (Kate, Kompare, Umbrello), and system utilities (Dolphin, Konsole, Kleopatra). Dolphin prevents re-entrant signal activation across multiple view states, and Ark prevents silent replacement of existing files by directory entries during extraction. Okular avoids processing HTML with QDomDocument and improves certificate selection, and kdegraphics-thumbnailers addresses multiple crashes for malformed files. Infrastructure-wide changes include CMake modernization, a port to QDoc documentation, and migration toward modern C++ patterns such as std::shared_ptr over QSharedPointer. The companion ktextaddons library jumps from 1.8.0 to 2.0.1.

KDE Frameworks 6.25.0: This release emphasizes code quality, memory safety, and developer experience. KIO reverts a problematic permissions-based readability check, restores proper FTP UTF-8 negotiation, fixes WebDAV copy/move headers, and resolves multiple memory leaks across file operations and preview jobs. KCodecs streamlines encoding detection with safer initialization, improved codec lookup performance, and removes obsolete code since Qt 6.8+ is required.Kirigami enhances component reliability by preventing dialog layer leaks and adds a configurable textFormat property to TitleSubtitle, while Breeze Icons expands the icon set with new status icons. KTextEditor improves document handling by using the first line as a fallback title and adding relevant MIME types to save dialogs.

GNOME 50 for developers: This release brings significant improvements to the development stack. Builder gains a new save delegate system for better draft handling, refined dark theme colors matching the Adwaita palette, and more integrated help documentation. Flatpak support now moves deleted files to the trash, the LSP client better handles delete notifications, and the build pipeline supports more flexible post-install commands. Mutter Devkit receives a major feature expansion including HiDPI and fractional scaling simulation, multi-monitor support within a single session, clipboard integration between host and Devkit, and resizable virtual displays with emulated monitor modes — reducing the need for physical multi-monitor test setups. GTK 4.22 introduces GtkSvg, a new native in-process SVG renderer integrated with the GTK Scene Graph that supports SVG animations, passes over 1,250 tests in the resvg test suite, and maintains 60fps+ performance for trusted system icons and application resources (untrusted SVGs should still use the sandboxed Glycin library). Libadwaita 1.9 introduces new sidebar widgets including AdwSidebar and AdwViewSwitcherSidebar (replacing GtkStackSidebar), automatic support for the system-wide reduced motion preference across most widgets, context menus on AdwAboutDialog link rows, and GTK_DEBUG=builder diagnostics for all standard widgets. Autoloaded style resources are deprecated in favor of standard CSS media queries.

GDM 50.0: The most significant change for this in the GNOME 50 release is the complete removal of X11 support for GDM’s own sessions, which now always run on Wayland. Features like XDMCP and the system-wide Xserver are gone, though launching other desktops’ X11 sessions via per-user X servers is still possible. Compiling GDM without Wayland support is no longer possible. With systemd v260+, remote desktop sessions and local background sessions are now granted GPU access, enabling accelerated graphics for remote sessions on distributions that restrict GPU device node permissions. service simplifies starting headless graphical sessions for RDP purposes. The gdm/gdm3` user is no longer needed since GDM now fully relies on dynamically allocated users. Wtmp/utmp/btmp records now contain more useful values, especially for Wayland and headless RDP sessions.

Plasma 6.6.4: KWin fixes blur flickering after wobbly windows, improves startup feedback icon clarity, resolves crashes with accessibility keyboards, and enhances pointer scaling and key repeat handling on Wayland. The Oxygen theme addresses pixelated buttons under fractional scaling, restores missing menu shadows, and adds a missing switch SVG. Usability improvements include better RTL support in Kicker, proper drag initiation only after pointer movement, and refined shortcut conflict prevention in keyboard settings. Plasma Keyboard hardens virtual input handling with UTF-8 length fixes and disables predictive text during capture. Other fixes improve Discover by correcting how it tracks the number of active transactions, Dr Konqi with more reliable crash debugging, and Spectacle with a workaround for an overlay issue introduced in Qt 6.11. Several system tray and menu rendering glitches across multiple applets are also resolved, resulting in a smoother and more resilient desktop experience.

w3m 0.5.6: This is a major update for the terminal web browser. New features include commands to scroll the current line to top/bottom, a change directory (CD) command, a vim-like smartcase search option, recognition of aria-label for buttons, gopher protocol support, and experimental session store and restore. The image display in the kitty terminal is fixed, and slow backward search in long lines is improved.

LibreOffice 26.2.2.2: This is a major version upgrade with completely new features, improvements, and bug fixes across Writer, Calc, Impress, Draw, Math, and Base. Detailed release notes are available at The Document Foundation wiki. Bundled components are refreshed including PDFium updated from 7012 to 7471 and 2D Graphics Library Skia updated from milestone 136 to 142.

SDL3 3.4.2: This update adds SDL_HINT_OPENGL_FORCE_SRGB_FRAMEBUFFER to control sRGB behavior for OpenGL and OpenGL ES contexts. A long startup time on Windows caused by non-compliant input devices was fixed, along with a divide-by-zero when using Nintendo Switch 2 controllers and improved GameCube adapter handling in PC mode. Support for the Razer Raiju V5 Pro is added.

cryptsetup 2.8.6: This update has several disk encryption fixes. The resumed device UUID is now verified against the UUID stored in metadata, and the LUKS2 reencryption lock name was corrected. FileVault (fvault2) metadata parsing is fixed, including reading from the correct image offset. The OpenSSL crypto backend works again when built with LibreSSL and allows up to 64 concurrent threads.

Mozilla Firefox 149.0.2: This update addresses multiple security vulnerabilities, including integer overflow and memory safety bugs in Graphics: Text and Graphics: WebGPU components. The update also includes enterprise-related features such as AI-feature management, prevention of built-in VPN and IP protection, and correct application of browser homepage and start page policies. Other fixes include resolution of layout issues with graphics (SVG), crash prevention for security keys and WebAuthn features, and improved handling of web page printing and website error pages. Additionally, the build process is updated to be compatible with clang-based building on Leap, with the necessary libraries specified. [Linux]

PHP 8.5.5: This minor version bump from the 8.4 series brings numerous bug fixes across the core, DOM, Opcache, and OpenSSL modules. Notable fixes address JIT compiler arithmetic errors, memory leaks, and use-after-free vulnerabilities. The package now requires libcapstone as a dependency.

nano 9.0: This is a major version bump for the popular terminal text editor. The release improves horizontal scrolling, changes how macro recording is handled, and brings other usability refinements that build on the 8.x series.

iproute2 7.0: A major version bump for the Linux network configuration toolkit. New features include CAN XL support and DPLL mode setting, both of which extend networking and timing capabilities for newer hardware platforms.

iw 6.17: This wireless configuration tool sees a significant jump from 6.9. It adds support for WPA3 SAE association, EHT rate and bitrate handling for Wi-Fi 7, multi-radio RTS configuration, and endianness fixes across the wireless stack.

GIMP 3.2.4: This minor update to the GNU Image Manipulation Program continues the 3.2 series with bug fixes and incremental improvements following the 3.2.2 release.

xterm 407: New private modes for UTF-8 and character width reporting are introduced, and Unicode handling and window resizing functionality are improved.

gnome-remote-desktop 50.1: This minor update to the GNOME 50 release fixes a black-screen issue when using NVIDIA GPUs.

Key Package Updates

Linux kernel 6.19.11 - 7.0.2: The 7.0.2 update fixes an SMB client out-of-bounds read in smb2_ioctl_query_info, DACL validation in cifsacl, and directory separator handling in SMB1 UNIX mounts. F2FS receives multiple fixes including a use-after-free in f2fs_compress_write_end_io() and f2fs_write_end_io(), a memory leak in f2fs_rename(), and improved sanity checks. FUSE fixes several issues including rejection of oversized dirents in page cache, aborting on fatal signals during sync init, and ensuring device file initialization before cloning. A TOCTOU race in net/packet on mmap’d vnet_hdr in tpacket_snd() is corrected, and crypto fixes address async decrypt skipping hash verification in krb5enc and failed PSP command handling in the CCP driver. The 7.0.1 version sees KVM SEV receive several hardening fixes including locking all vCPUs when synchronizing VMSAs for SNP launch finish, disallowing LAUNCH_FINISH if vCPUs are actively being created, and protecting sev_mem_enc_register_region() with proper locking. Multiple use-after-free bugs are resolved across subsystems including bcache (crash in cached_dev.sb_bio), ocfs2 (fault handling with VM_FAULT_RETRY), the em28xx media driver, blk-cgroup writeback, and ALSA 6fire on USB disconnect. The 6.19.11 update brings several BPF fixes including reset of register ID for BPF_END value tracking, constant blinding for PROBE_MEM32 stores, undefined behavior in interpreter sdiv/smod for INT_MIN, and unsound scalar forking in maybe_fork_scalars(). CXL receives multiple corrections including a use-after-free of parent_port in cxl_detach_ep() and a leak in region construction. NVMe-PCI now caps queue creation to used queues, and platform support is expanded with several HP Omen and Victus laptops, OneXPlayer handheld variants, and Dell 14 Plus 2-in-1 keyboard support.

Mesa 26.0.4 & 26.0.5: The 26.0.4 out-of-schedule release combines bugfix updates and important raytracing fixes for an upcoming game. RADV corrects an invalid hitAttributeEXT value when using function-call RT pipelines, fixes a memory leak in radv_rt_nir_to_asm, and emits BOP events after every draw to work around a VRS bug on GFX12. RadeonSI fixes a missing ground texture and ANV (Intel) addresses flashing effects in Horizon Forbidden West. Nouveau fixes a segmentation fault in gm200_validate_sample_locations triggered by Firefox on GTX 1070 Ti, and NVK corrects barrier cache invalidation and viewport handling on Turing with FSR. The 26.0.5 follow-up is another bugfix release that refreshes the GL headers from libglvnd and disables Vulkan and Panfrost on armv6. Full release notes are available at the Mesa documentation site.

SQLite 3.53.0: A new Query Result Formatter library is introduced in this release for the popular embedded database, and ALTER TABLE is enhanced with additional capabilities. The jump from 3.51.3 also brings query planner refinements and incremental improvements that benefit any application linking against the system SQLite.

libxml2 2.15.3: A point release follow-up to the major 2.15 update. Multiple security fixes are included for type confusion, double-free, and use-after-free issues in the XML parser.

libpng16 1.6.57: A small but security-relevant point release that fixes a use-after-free in chunk setters tracked as CVE-2026-34757.

libjpeg-turbo 3.1.4.1: This update to the widely used JPEG codec includes multiple API hardening fixes and improved buffer handling, providing a more robust foundation for image-processing software across the system.

libarchive 3.8.7: A heap buffer overflow in CAB archive handling is fixed, along with a buffer overflow in the ISO9660 reader. As libarchive is used by package managers and archive tools across the distribution, this update is broadly relevant.

mozilla-nss 3.122.1: This release of the Network Security Services library brings 30+ bug fixes, including patches for multiple heap use-after-free, integer overflow, and ASN.1 parsing vulnerabilities that affect TLS handling in Firefox, Thunderbird, and other consumers.

pipewire 1.6.4: This audio and video pipeline server resolves segmentation faults, improves JACK compatibility, and corrects regressions in the RAOP (AirPlay) module.

SSSD 2.13.0: The pam_sss_gss module can now read SIDs from the Kerberos ticket PAC and apply authentication indicators via the new pam_gssapi_indicators_apply option, supporting Active Directory’s Authentication Mechanism Assurance (AMA). Active Directory Foreign Security Principals (FSP) are now properly detected and ignored when reading nested group members. Support for the KDE Plasma Login Manager is added. New options include avoid_by_id_lookups for preferring name-based lookups, and interactive/interactive_prompt for customizing OAuth2 prompting behavior. Cache performance is optimized for large deployments.

mpc 1.4.1: This complex-number arithmetic library steps from 1.3.1 to 1.4.1 and adds new functions including mpc_exp10, mpc_exp2, and mpc_log2. Sign handling for imaginary parts is improved and pkg-config generation is included.

leancrypto 1.7.2: This cryptographic library jumps from 1.6.0 and adds post-quantum primitives ML-DSA, SLH-DSA, and ML-KEM along with an X.509 fix tracked as CVE-2026-34610.

SELinux Policy 20260410: This update contains a wide range of policy refinements. Missing Nextcloud file contexts are added, the openSUSE /var/lib/php8 path and /srv/www/htdocs Apache DocumentRoot are properly labeled. Cloud-init is now allowed to domtrans into ssh-keygen, and accountsd gains proper D-Bus communication with systemd-homed along with corrected file context labeling for /usr/share/accountsservice. OpenSSH receives a policy adjustment allowing sshd-session to send a generic signal to sshd-auth. Polkit support is updated for its agent helper. Additional permissions are granted for staff and sysadm users, including reading PID1 process state, connecting to systemd-logind and lvm over Unix stream sockets, mounting /proc, and gaining sandboxing features. Virtualization policies gain several adjustments for virtqemud and virtnetworkd, and a new local_login_allow_accountutils_fallback_mode boolean is introduced. The snapper sdbootutil plugin is allowed to read kernel modules. The embedded container-selinux is updated to v2.247.0.

texinfo 7.3: The documentation format package adds new title-page commands, flexible node headings, and cross-reference features. texi2any gains major HTML speedups, optional C implementation, improved diagnostics, and defaults updates. HTML, Info, LaTeX, XML, and info tool receive enhancements and cleanups. The updated deprecated @clickstyle and removed old patches.

XZ Utils 5.8.3: This update fixes a buffer overflow in lzma_index_append() and an invalid memory access in xz when using --files and --files0 options. Arabic man page translations are added.

GTK4 4.22.2: The headline change is native SVG rendering via the new GtkSvg renderer, which drops the librsvg dependency entirely for icon and image rendering. The new renderer supports animations, state names, and SVG filters, with filters now operating in linear RGB by default. The GStreamer media backend now supports gapless looping with GStreamer 1.28, and gtk4-rendernode-tool gains a new filter command for node manipulation. Several drag-and-drop fixes are included, notably restoring the DropTarget::leave signal emission when a drop finishes. Vulkan handling is improved with fixes for SWAPCHAIN_MAINTENANCE checks, pending offset resets on Wayland, and invalid reads. Symbolic icon fallback rendering is corrected, dmabuf support now handles fewer fds than planes, and drop shadow rendering no longer darkens transparent textures. For Tumbleweed users, this brings major rendering architecture improvements and broad stability fixes to GTK4 applications.

webkitgtk3 and webkitgtk4 2.52.1: Numerous security vulnerabilities are patched across both releases. Touch scrolling for small movements is smoother, and scrollend events are now correctly emitted after scroll animations. Async scrolling is improved when the main thread is busy by rendering scrollbars from the scrolling thread. The GPU process is disabled by default in this cycle. A build option to disable USE_GSTREAMER is added for configurations without multimedia support.

Security Updates

Python:

• CVE-2026-25645: Addresses an issue in Python allowing a local attacker to pre-create malicious files that could be reused and loaded without validation.

• CVE-2026-4519: Fixes a command-line option injection in Python’s webbrowser.open() where leading dashes in URLs could be interpreted as browser command-line arguments.

• CVE-2025-13462: Addresses an issue where Python’s tarfile module can cause crafted archives to be misinterpreted.

• CVE-2026-4224: Resolves a stack overflow that could lead to a crash.

python-cryptography 46.0.7:

• CVE-2026-39892: Fixes a buffer overflow that can occurr when a non-contiguous buffer was passed to APIs accepting Python buffers.

w3m 0.5.6:

• CVE-2023-38252: Fixes an out-of-bounds read that could allow a crafted HTML file to cause a denial of service.

• CVE-2023-38253: Fixes an out-of-bounds read that could allow a crafted HTML file to cause a denial of service.

webkitgtk3 and webkitgtk4 2.52.1:

• CVE-2025-43213: Fixes an issue where processing maliciously crafted web content could lead to an unexpected crash.

• CVE-2025-43214: Addresses a flaw where processing maliciously crafted web content could cause an unexpected crash.

• CVE-2025-43457: Resolves a vulnerability where processing maliciously crafted web content could lead to an unexpected crash.

• CVE-2025-43511: Fixes an issue where processing maliciously crafted web content could lead to memory corruption.

• CVE-2025-46299: Addresses a flaw in WebKit where processing maliciously crafted web content could lead to unexpected behavior.

• CVE-2026-20608: Resolves a vulnerability where processing maliciously crafted web content could lead to memory corruption.

• CVE-2026-20635: Fixes a WebKit flaw where processing maliciously crafted web content could cause an unexpected crash.

• CVE-2026-20636: Addresses an issue where processing maliciously crafted web content could lead to memory corruption.

• CVE-2026-20644: Resolves a WebKit vulnerability where processing maliciously crafted web content could lead to an unexpected crash.

• CVE-2026-20652: Fixes an issue where processing maliciously crafted web content could cause memory corruption.

• CVE-2026-20676: Addresses a WebKit flaw where processing maliciously crafted web content could lead to unexpected behavior or a crash.

• CVE-2026-20643: Resolves a cross-origin issue in the Navigation API where processing maliciously crafted web content could bypass the Same Origin Policy.

• CVE-2026-20664: Fixes a WebKit memory handling flaw where processing maliciously crafted web content could cause an unexpected process crash.

• CVE-2026-20665: Addresses an issue where processing maliciously crafted web content could prevent Content Security Policy from being enforced.

• CVE-2026-20691: Resolves an authorization flaw where a maliciously crafted webpage could be used to fingerprint the user.

• CVE-2026-28857: Fixes a WebKit memory handling issue where processing maliciously crafted web content could cause an unexpected process crash.

• CVE-2026-28859: Addresses a flaw where a malicious website could process restricted web content outside the sandbox.

• CVE-2026-28861: Resolves a logic issue where a malicious website could access script message handlers intended for other origins.

• CVE-2026-28871: Fixes a logic flaw where visiting a maliciously crafted website could lead to a cross-site scripting attack.

libcap 2.78:

• CVE-2026-4878: Addresses a race condition that could lead to local privilege escalation.

OpenJDK 25 25.0.3:

• CVE-2026-22007: Fixes an information disclosure vulnerability in the Security component of Java SE that could allow a local attacker to read a subset of accessible data.

• CVE-2026-22008: Addresses a flaw in the Libraries component of Java SE that could allow an unauthenticated network attacker to modify some accessible data.

• CVE-2026-22013: Resolves an information disclosure vulnerability in the JGSS component of Java SE that could expose critical data to an unauthenticated network attacker.

• CVE-2026-22016: Fixes an information disclosure flaw in the JAXP component of Java SE that could allow an unauthenticated attacker to access critical data via network protocols.

• CVE-2026-22018: Addresses a denial-of-service vulnerability in the Libraries component of Java SE that could be triggered by an unauthenticated network attacker.

• CVE-2026-22021: Resolves a denial-of-service flaw in the JSSE component of Java SE exploitable via HTTPS by an unauthenticated attacker.

• CVE-2026-23865: Fixes a vulnerability in the bundled FreeType library that could allow memory corruption when processing crafted font data.

• CVE-2026-34268: A patch was added for an information disclosure issue in the Security component of Java SE that could allow a local attacker to read a subset of accessible data.

• CVE-2026-34282: Addresses a denial-of-service vulnerability in the Networking component of Java SE that could allow an unauthenticated attacker to cause a complete crash or hang.

Flatpak 1.16.6:

• CVE-2026-34078: Fixes a sandbox escape where the portal accepted app-controlled symlinks in sandbox-expose paths, allowing arbitrary host file access and code execution in the host context.

• CVE-2026-34079: Addresses a path traversal flaw that could allow an app to delete arbitrary files on the host.

libinput 1.31.1:

• CVE-2026-35093: Fixes a code injection flaw where a local attacker could place a crafted Lua bytecode file in system or user configuration directories to bypass security restrictions and execute code with the privileges of the affected program.

• CVE-2026-35094: Addresses a dangling pointer that could leak memory contents to system logs.

opensc 0.27.1:

• CVE-2025-49010: Fixes a stack buffer overflow that could cause memory corruption.

• CVE-2025-66215: Fixes a stack buffer overflow that could cause memory corruption. .

• CVE-2025-66038: Addresses an out-of-bounds read that could lead to memory corruption during smart card processing.

• CVE-2025-66037: Addresses an out-of-bounds heap read that could lead to denial of service.

• CVE-2025-13763: Fixes several uses of potentially uninitialized memory in OpenSC detected by fuzzers.

XZ Utils 5.8.3:

• CVE-2026-34743: Fixes a heap buffer overflow in XZ Utils where decoding an empty Index left lzma_index in a state that caused undersized allocation in a subsequent lzma_index_append() call.

389ds 3.1.4+e2562f589:

• CVE-2025-14905: Fixes a heap buffer overflow caused by incorrect buffer size calculation that could potentially lead to denial of service or remote code execution.

openexr 3.4.9:

• CVE-2026-34589: Fixes a heap out-of-bounds write that could lead to memory corruption.

• CVE-2026-34588: Addresses a signed 32-bit overflow leading to out-of-bounds read/write.

• CVE-2026-34380: Resolves a signed integer overflow that could allow bounds-check bypass during PXR24 decompression.

• CVE-2026-34379: Fixes a misaligned write leading to undefined behavior.

• CVE-2026-34378: Addresses a signed integer overflow in generic_unpack() when parsing EXR files with crafted negative dataWindow.min.x values.

• CVE-2026-34543: Resolves a heap information disclosure that could cause uninitialized heap memory to leak into output pixel data.

• CVE-2026-34544: Fixes a signed integer overflow that could lead to an out-of-bounds write and memory corruption.

evolution-data-server 3.60.0:

CVE-2026-2604: The advisory for this vulnerability indicates it involves an insecure local cache file removal.

SSSD 2.13.0:

• CVE-2026-6245: Fixes an out-of-bounds read in the PAM passkey responder.

glib2 2.88.0:

• CVE-2026-23868: Fixes a vulnerability caused by a shallow copy that may lead to memory corruption.

• CVE-2026-32776: Fixes a NULL pointer dereference when processing empty external parameter entity content.

• CVE-2026-32777: Addresses an issue that could result in an infinite loop while parsing DTD content, potentially leading to a denial of service.

• CVE-2026-32778: Resolves a NULL pointer dereference following an earlier out-of-memory condition.

sudo:

• CVE-2026-35535: Fixes a privilege escalation in sudo where a failed setuid, setgid, or setgroups call during the privilege drop was not treated as a fatal error.

CUPS 2.4.17:

• CVE-2026-27447: Fixes a case-sensitivity vulnerability in user/group handling that could allow access bypass.

• CVE-2026-34978: Addresses a directory traversal flaw in the RSS notifier.

• CVE-2026-34979: Resolves insufficient memory allocation for job options that could lead to buffer issues.

• CVE-2026-34980: Fixes incomplete control character filtering in option values.

• CVE-2026-34990: Addresses missing certificate validation over loopback connections.

• CVE-2026-39314: Resolves a job password range check flaw.

• CVE-2026-39316: Fixes a scheduler subscription bug that could be abused to disrupt printing.

mozilla-nss 3.122.1:

• This release rolls up more than 30 fixes across the Network Security Services library, including patches for multiple heap use-after-free, integer overflow, and ASN.1 parsing vulnerabilities affecting TLS handling.

ruby4.0 4.0.3:

• CVE-2026-41316: Fixes a vulnerability in the ERB component affecting Marshal.load operations with untrusted data.

python-lxml 6.1.0:

• CVE-2026-41066: Fixes an external entity injection (XXE) vulnerability in iterparse() that could allow disclosure of local files or server-side request forgery.

libXpm:

• CVE-2026-4367: Addresses an out-of-bounds read when parsing crafted XPM image files that could lead to information disclosure or a crash.

dnsmasq:

• CVE-2026-6507: Fixes an out-of-bounds write in DHCP BOOTREPLY processing that could be triggered by a malicious DHCP server response.

libpng16 1.6.57:

• CVE-2026-34757: Fixes a use-after-free in chunk setters that could lead to memory corruption.

libarchive 3.8.7:

• Fixes a heap buffer overflow in CAB archive handling and a buffer overflow in the ISO9660 reader. Both flaws could be triggered by crafted archive files and are relevant given libarchive’s broad use across packaging and extraction tools.

libxml2 2.15.3:

• This release rolls up multiple security fixes including a type confusion issue, a double-free, and a use-after-free in the XML parser.

ImageMagick 7.1.2.19:

• CVE-2026-33905: Fixes a flaw that could be triggered by crafted images and lead to a crash or memory corruption.

GraphicsMagick:

• CVE-2026-33535: Addresses an out-of-bounds write in X11 display interaction that could lead to a crash or potential code execution.

• CVE-2026-26284: Fixes a heap overflow that could be triggered while processing crafted images.

leancrypto 1.7.2:

• CVE-2026-34610: Fixes an X.509 parsing flaw that could lead to certificate validation bypass.

openldap2 2.6.13:

• Addresses a heap buffer overflow in parse_whsp and a potential NULL pointer dereference, both of which could be triggered by malformed input to the LDAP server.

Users are advised to update to the latest versions to mitigate these vulnerabilities.

Conclusion

April 2026 was a busy month for openSUSE Tumbleweed with two of the largest desktop releases of the year landing back to back: GNOME 50 and KDE Gear 26.04.0. GTK4 4.22 introduced the new native GtkSvg renderer and dropped the librsvg dependency for icon rendering, while LibreOffice 26.2 brought a fresh major office suite. Developers received major version bumps across PHP 8.5, SQLite 3.53, iproute2 7.0, nano 9.0, and the iw wireless tool. Security continued to be a heavy theme with WebKitGTK, CUPS, Python, Flatpak, sudo, and OpenEXR all receiving multiple CVE fixes alongside a steady cadence of cryptographic library hardening from mozilla-nss, libgcrypt, and leancrypto.

Slowroll Arrivals

Please note that these updates also apply to Slowroll and arrive between an average of 5 to 10 days after being released in Tumbleweed snapshot. This monthly approach has been consistent for many months, ensuring stability and timely enhancements for users. Updated packages for Slowroll are regularly published in emails on openSUSE Factory mailing list.

Contributing to openSUSE Tumbleweed

Stay updated with the latest snapshots by subscribing to the openSUSE Factory mailing list. For those Tumbleweed users who want to contribute or want to engage with detailed technological discussions, subscribe to the openSUSE Factory mailing list . The openSUSE team encourages users to continue participating through bug reports, feature suggestions and discussions.

Your contributions and feedback make openSUSE Tumbleweed better with every update. Whether reporting bugs, suggesting features, or participating in community discussions, your involvement is highly valued.

Cockpit es la aplicación web que viene en openSUSE a reemplazar al veterano YaST. Veamos cómo gestionar los repositorios o instalar/desinstalar software con esta nueva herramienta.

Mediante cockpit, ahora en openSUSE desde un navegador web o una aplicación propia podrás gestionar y controlar todo tu sistema. Cockpit apunta a sustituir parte del uso de YaST, especialmente en administración remota y tareas comunes y desde hace un tiempo lo estoy probando y me gusta. Así lo instalé:

• https://victorhckinthefreeworld.com/2026/04/22/probando-cockpit-el-sustituto-de-yast-en-opensuse-tumbleweed/

Cockpit al igual que YaST es un software modular, es decir, tendrás diferentes módulos que se encarguen de diferentes áreas de tu sistema. Algunos serán comunes e imprescindibles y otros serán opcionales dependiendo de lo que controlen.

Algo imprescindible (bueno, no tanto, pero sí muy importante) son sus módulos para gestionar los repositorios y para instalar o desinstalar paquetes de software. Vamos a echarles un vistazo.

Cockpit forma parte de la nueva dirección de openSUSE para la administración del sistema, junto con Agama como instalador o Myrlyn como gestor específico de paquetes. Aunque YaST sigue disponible, su desarrollo es más limitado y progresivamente se están adoptando herramientas más modernas y especializadas.

A largo plazo, Cockpit está llamado a cubrir gran parte del uso cotidiano que tradicionalmente se hacía con YaST, especialmente en entornos de servidor. Y para gestión remota de equipos. Podremos acceder via mediante el navegador conociendo la IP a la configuración del equipo remoto con una interfaz web.

Una vez instalado cockpit, accedemos bien mediante la aplicación o directamente en el navegador mediante la url localhost:9090. Accedemos con nuestra cuenta root y le damos en la esquina superior derecha acceso ilimitado si no lo hemos hecho antes.

En la parte izquierda tendremos todos los módulos instalados de cockpit. Bajo la sección de Herramientas encontramos paquetes y repositorios.

Gestión de paquetes mediante cockpit

En la parte superior encontramos un campo de búsqueda y a la derecha un par de botones con las opciones Desinstalar / Instalar.

En el cuadro de búsqueda podremos meter un texto y buscar cierto paquete en concreto.

Si está seleccionada la opción Desinstalar, nos mostrará todos los paquetes que tenemos en nuestro sistema y que podremos seleccionar para eliminar del equipo. O si tiene actualizaciones disponibles.

Si seleccionamos instalar, podremos buscar un paquete en concreto e instalarlo mediante cockpit. Si tiene dependencias se mostrarán, junto con el tamaño total de lo que va a instalar y una opción de instalar lo seleccionado o de cancelar la acción.

Según tengo entendido cockpit, no utiliza directamente libzypp, si no que se apoya en PakageKit: Cockpit → PackageKit → libzypp → repositorios (RPM). Yo personalmente preferiría que detrás estuviera directamente libzypp.

Para un control más profundo de paquetes de software (marcar como tabú algún paquete, etc) zypper o Myrlyn siguen siendo las herramientas que hay que utilizar. Pero para una gestión básica con cockpit es suficiente.

Gestión de repositorios mediante cockpit

Mediante cockpit podremos añadir nuevos repositorios, o editar (parte) los que ya tenemos configurados.

En la lista de repositorios, podremos hacer clic sobre los tres puntos verticales de la derecha de cada repositorio para editar sus características o eliminarlo.

Podremos editar todos sus campos, excepto la url. Para eso último de nuevo deberemos hacerlo mediante zypper o Myrlyn.

También podremos añadir nuevos repositorios desde la interfaz web de cockpit.

---

Desde cockpit tendremos un control con una interfaz más moderna y accesible en remoto desde un navegador web a otros equipos o servidores. Para una gestión básica de ciertos aspectos, será suficiente. Pero cabe señalar que hay ciertos aspectos que todavía no están accesibles y que se deberá hacer mediante otras herramientas.

Y quizás te estés preguntando ¿Cuándo usar Cockpit?

• Cockpit: Para una gestión rápida y remota (aunque también se puede utilizar en una máquina local)
• zypper: Para un control total, que requiere el uso de la terminal, lo que puede «asustar» a usuarios recién llegados.
• Myrlyn: Una alternativa gráfica moderna más familiar a lo ya conocido con YaST y que sigue ofreciento bastante control al usuario.

Hace unas semanas que fue lanzado KDE Gear 26.04, la primera gran actualización de este año de la rama de aplicaciones de la Comunidad. Seguimos el repaso con las Novedades de aplicaciones multimedia de KDE Gear 26.04,la compilación de las pequeñas mejoras para esta categoría de softeware.

Novedades de aplicaciones multimedia de KDE Gear 26.04, Edición «KDE a los 30»

Hace unas semanas ya realicé la presentación de KDE Gear 26.04, Edición «KDE a los 30», que los desarrolladores presentaban así:

¡KDE ya lleva 30 años de existencia! Muchos de los proyectos de KDE también son maduros y consolidados: Okular tiene 21 años, KOrganizer tiene 23 y Kdenlive tiene 24.
Otros proyectos son jóvenes y prometedores, como NeoChat, Merkuro y AudioTube, ya que nuestra comunidad genera constantemente nuevas ideas y las convierte en productos para que los disfrutes.
Hoy traemos nuevas versiones de muchas de estas aplicaciones, tanto antiguas como nuevas. Sigue leyendo y descubre todas las funciones y mejoras que pronto estarán disponibles en tu escritorio.

Para finalizar la serie vamos a repasar todas las pequeñas novedades que no tienen suficiente entidad para una entrada completa pero que merece la pena reseñar:

Arianna (Lector de libros electrónicos): Se ha solucionado un error que impedía guardar los ajustes de las fuentes (letras). Ahora tus preferencias de lectura se mantendrán guardadas correctamente cada vez que abras un libro.

AudioCD KIO (Lector de CD de música): Por defecto, ahora muestra primero el número de pista al listar las canciones de un CD, lo que facilita mucho el orden al pasar tu música al ordenador.

Audiotube (Reproductor de YouTube Music): Ahora recuerda la última página que abriste y muestra las portadas de los discos con mejor calidad (sin desenfoque), además de incluir una nueva sección para explorar música según tu estado de ánimo.

Elisa (Reproductor de música): Ahora el reproductor es más inteligente al gestionar las portadas de los discos, evitando que se vean borrosas en pantallas de alta resolución. También se ha mejorado la velocidad al escanear carpetas de música muy grandes.

Gwenview (Visor de imágenes): Se ha añadido soporte para ver más formatos de imagen modernos y se ha optimizado el modo de «Pantalla completa» para que la navegación entre fotos sea más fluida y rápida.

Y, recuerda, todo este software es gratuito y sin publicidad en todos los sentidos: no te cuesta ni un euro y no se cobra en en forma de datos personales. No obstante, si quieres ayudar a su desarrollo siempre puedes participar en su campaña de recaudación de fondos.

• 
  Lanzado KDE Gear 26.04, Edición «KDE a los 30»
  Lanzado KDE Gear 26.04, Edición «KDE a los 30»
• 
  Novedades de Dolphin en KDE Gear 26.04, Edición «KDE a los 30»
  Novedades de Dolphin en KDE Gear 26.04, Edición «KDE a los 30»
• 
  Mejoras en la gestión de información personal en KDE Gear 26.04, Edición «KDE a los 30»
  Mejoras en la gestión de información personal en KDE Gear 26.04, Edición «KDE a los 30»
• 
  Novedades de aplicaciones multimedia de KDE Gear 26.04, Edición «KDE a los 30»
  Lanzado KDE Gear 25.12, Edición del Engranaje que Nunca se Detiene
• 
  Novedades de Kdenlive en KDE Gear 26.04, Edición «KDE a los 30»
  Lanzado KDE Gear 25.12, Edición del Engranaje que Nunca se Detiene

La entrada Novedades de aplicaciones multimedia de KDE Gear 26.04, Edición «KDE a los 30» se publicó primero en KDE Blog.

Tux Manager is a new application designed for the KDE Plasma Desktop, inspired by Windows Task Manager. While it doesn't replace the standard Plasma System Monitor, its familiar aesthetic caters to users transitioning from Windows. Installation is straightforward via GitHub, and it features an appealing Performance tab. Recommended for anyone exploring fun software.

O AutoRound (https://github.com/intel/auto-round) é uma ferramenta de quantização para LLMs e VLMs desenvolvida pela Intel. A ideia central é reduzir o modelo para 2, 3, 4 ou 8 bits, mantendo boa precisão, principalmente em cenários de low-bit weight-only quantization (converte os pesos mas manter a inferência), como W4A16, W3A16 e W2A16. O próprio repositório descreve o AutoRound como um toolkit para LLMs/VLMs que usa signed gradient descent para obter alta acurácia em 2–4 bits com baixo custo de ajuste.

Como Intel Innovator, tenho a missão mostrar o compromisso sério da Intel neste vertical tecnológica. A tecnologia beneficia GPU NVIDIA, CPU e XPU

Em termos simples: ele não apenas “arredonda” os pesos para 4 bits como um método ingênuo faria. Ele aprende a melhor forma de arredondar os pesos e também ajusta os limites de clipping para reduzir o erro entre a saída do bloco original e a saída do bloco quantizado. O paper do SignRound (https://arxiv.org/html/2309.05516v3) explica que o método adiciona parâmetros treináveis para ajustar o rounding e dois parâmetros extras para ajustar o clipping dos pesos; depois usa reconstrução por bloco e otimização com SignSGD.

Como ele funciona

O fluxo é mais ou menos assim:

1. Você passa um modelo Hugging Face, por exemplo Qwen/Qwen3-0.6B, Llama, Mistral, etc.
2. Ele usa um dataset de calibração. Por padrão, usa NeelNanda/pile-10k, mas aceita datasets customizados, JSON local, lista de strings, input ids, concatenação de datasets e aplicação de chat template.
3. Para cada bloco/camada, ele compara a saída do modelo original com a saída do modelo quantizado.
4. Ele otimiza o rounding dos pesos e o range de clipping usando signed gradient descent.
5. No final, salva o modelo em um formato escolhido: auto_round, auto_gptq, auto_awq, gguf, llm_compressor, mlx, entre outros.

Como usar?

pip install auto-round
auto-round \
--model Qwen/Qwen3-0.6B \
--scheme "W4A16" \
--format "auto_round" \
--output_dir ./qwen_autoround_w4a16

Para exportar para GGUF:

auto-round \
--model Qwen/Qwen3-0.6B \
--format "gguf:q4_k_m" \
--output_dir ./qwen_gguf_q4_k_m

O repositório mostra instalação via pip install auto-round, suporte a CPU/GPU CUDA, Intel XPU e Gaudi/HPU, além de exemplos com Qwen/Qwen3-0.6B

O que significa W4A16, W3A16, W2A16

W4A16 significa:

Campo	Significado
W4	pesos em 4 bits
A16	ativações em 16 bits, normalmente FP16/BF16
group_size=128	quantização por grupos de pesos
sym=True	quantização simétrica

O AutoRound documenta esquemas como W4A16, W8A16, W3A16, W2A16, mixed bits, GGUF, NVFP4, MXFP4, FP8 e outros.

Na prática, W4A16 costuma ser o ponto mais seguro: boa redução de memória com perda pequena. W2A16 é muito mais agressivo: pode reduzir muito mais o tamanho dos pesos, mas exige algoritmo melhor, calibração melhor e validação forte.

Diferença para GPTQ, AWQ, SmoothQuant, bitsandbytes e GGUF

Tecnologia	O que faz	Diferença principal em relação ao AutoRound
AutoRound / SignRound	PTQ weight-only com otimização de rounding e clipping por SignSGD	Mais focado em otimizar o arredondamento dos pesos, bom para 2–4 bits, com exportação para vários formatos
GPTQ	Quantização weight-only baseada em informação de segunda ordem/Hessian	GPTQ é “one-shot” e muito usado para 3/4 bits; AutoRound usa otimização de rounding/clipping e pode inclusive exportar em formato GPTQ
AWQ	Activation-aware weight quantization	AWQ identifica canais importantes pelas ativações e protege pesos salientes; não depende de backprop/reconstrução, enquanto AutoRound otimiza com calibração e SignSGD
SmoothQuant	Quantização W8A8, pesos e ativações em INT8	SmoothQuant é mais voltado para INT8 completo, migrando dificuldade das ativações para os pesos; AutoRound é mais focado em weight-only low-bit, como W4A16/W2A16
bitsandbytes / QLoRA	Quantização 8-bit/4-bit prática para carregar e fine-tunar modelos	bitsandbytes é ótimo para fine-tuning com LoRA/QLoRA e carregamento simples; AutoRound é mais um pipeline offline de quantização calibrada/exportável
GGUF / llama.cpp	Formato/ecossistema de arquivo e kernels para CPU/GPU	GGUF não é apenas algoritmo; é formato + tipos de quantização. AutoRound pode exportar para GGUF, inclusive q4_k_m, q2_k_s, etc.

GPTQ se baseia em quantização weight-only com informação aproximada de segunda ordem e mostrou bons resultados em 3/4 bits em modelos grandes. AWQ usa estatísticas de ativação para proteger canais salientes e evitar quantização mista ineficiente, sem backpropagation ou reconstrução. SmoothQuant é uma abordagem PTQ para W8A8, suavizando outliers de ativação por uma transformação matematicamente equivalente entre ativações e pesos. bitsandbytes fornece camadas quantizadas 8-bit/4-bit, otimizadores 8-bit, LLM.int8() e QLoRA com NF4 para reduzir uso de memória.

Vantagens do AutoRound

A grande vantagem é que ele tenta entregar mais qualidade em baixa precisão, principalmente em 2, 3, 4 e 8 bits, onde métodos simples como RTN geralmente degradam bastante. No paper original, os autores comparam com GPTQ, AWQ, HQQ, OmniQuant e RTN, e relatam ganhos maiores conforme os bits diminuem, especialmente em W2G128, com melhorias absolutas de acurácia média entre 6,91% e 33,22% em 11 tarefas zero-shot.

Outra vantagem é a compatibilidade de ecossistema: o AutoRound suporta exportação para auto_round, auto_gptq, auto_awq, gguf, llm_compressor e mlx, além de integração com Transformers, vLLM e SGLang.

Dicas:

# equilíbrio entre qualidade e custo
auto-round --model Qwen/Qwen3-0.6B --scheme "W4A16"
# melhor qualidade, mais lento
auto-round-best --model Qwen/Qwen3-0.6B --scheme "W4A16"
# mais rápido, com possível perda de acurácia
auto-round-light --model Qwen/Qwen3-0.6B --scheme "W4A16"

A documentação recomenda auto-round como bom equilíbrio geral, auto-round-best para melhor acurácia — especialmente 2-bit — e auto-round-light para velocidade, mais indicado em 4-bit e modelos maiores que 3B.

O AutoRound não elimina a necessidade de benchmark real. Quantização muda o comportamento do modelo, e a perda pode aparecer em raciocínio, código, português, instruções longas ou domínios específicos. Para um modelo que você usa em produção, eu validaria pelo menos:

# exemplo conceitual
lm_eval \
--model hf \
--model_args pretrained=./qwen_autoround_w4a16 \
--tasks hellaswag,arc_challenge,mmlu,truthfulqa \
--batch_size auto

Também é importante entender que W4A16 quantiza principalmente os pesos, mantendo ativações em 16 bits. Isso reduz muito o tamanho do modelo, mas não resolve sozinho todos os gargalos, por exemplo KV-cache em contextos longos. O paper original deixa claro que o foco experimental era weight-only quantization em camadas lineares dos blocos transformer.

Outro ponto: alguns esquemas novos, como MXFP4/MXINT4/MXFP8, aparecem na documentação como recursos de pesquisa ou sem kernel real em certos casos; então o formato escolhido precisa casar com o runtime que você vai usar.

Minha leitura particular: AutoRound é uma das opções mais interessantes hoje para quantização low-bit de LLMs quando qualidade importa mais do que apenas velocidade de conversão. Para W4A16, eu testaria como alternativa séria a GPTQ/AWQ. Para W2A16, eu priorizaria AutoRound/SignRound, mas sempre com avaliação no seu conjunto de tarefas.

Código fonte: https://github.com/intel/auto-round

I have 30 years of documented history on the web and in my personal recordings. That defines very well who I am, what I do, how I see the world, and how people see me. I worked on that. Sometimes consciously, sometimes as a side effect of my job, my side projects, my community work. Now that AI agents make it easy to use this kind of material, I have a base to anchor them, to build on what I did before and accelerate what I do, still staying me.

If you are starting now, you won't have this body of material to anchor your agents. So do spend some time building this corpus of what is genuinely you. Don't let an AI generate what you are. Write yourself, publish, think through your thoughts, give presentations. Small things are fine. They will accumulate over time.

Of course, tools will shape part of your identity. I used to do my presentations with xfig, printed on overhead projector slides. This was painful, but it shaped quite a bit how I worked and how the result looked. So it is part of my identity. The technical constraints did influence how I spoke, how I presented. It also shaped what I presented, because there was a bias toward what I could show with the tools available to me.

This won't be different with AI. It will shape who you are. But be aware, and make sure that there is a signal from the human in there. It's ok if it's imperfect, if it's a bit weird. It's ok if it's different. But make sure it's yours.

Shape that signal. That's you. That's your identity.

En ocasiones, el Software Libre recibe impulsos que merecerían ser alabados. Hoy me complace compartir con vosotros que ha sido lanzado exeLeaning 4.0, una nueva versión que demuestra que este proyecto está más vivo que nunca y que tiene ante si un brillante futuro.

Lanzado exeLearning 4.0

En menos de un año, exeLearning, la herramienta para generar contenidos digitales libre, ha recibido dos versiones mayores, mostrando una rápida evolución poco frecuente en el mundo del Software Libre, lo cual no puede llenarme más de alegría.

Para los que no lo conozcan, eXeLearning (extraído de su página web) es una herramienta libre y gratuita que permite crear recursos digitales de forma fácil con textos, imágenes, vídeos y actividades interactivas. Puedes publicar y compartir tus contenidos en distintos formatos y plataformas, mientras participas en un proyecto colaborativo que impulsa el software libre y la comunidad educativa.

En esta versión 4.0 nos presenta una gran novedad bajo el capó ya que utiliza una nueva arquitectura basada en Bun y Elysia, que le confiere rapidez y ligereza.

Las características más destacadas son las siguientes:

Nuevo gestor de archivos: Permite subir, organizar en carpetas, renombrar, eliminar e insertar imágenes y documentos de forma centralizada.

Opciones de configuración de página: Acceso desde el panel de estructura para añadir subpáginas, clonar, borrar, ocultar títulos o resaltar páginas en el menú.

Importación avanzada: Permite importar bloques, iDevices, archivos elp/elpx completos o páginas específicas.

Exportación de página única: Opción para generar un archivo .elpx que contenga solamente una página seleccionada.

Optimizador de imágenes: Herramienta para reducir el tamaño de las imágenes del recurso definiendo el nivel de optimización.

iDevice DigCompEdu: Nuevo iDevice para indicar las áreas e indicadores del Marco de Referencia de la Competencia Digital Docente (MRCDD).

Búsqueda en modo edición: Posibilidad de buscar palabras o textos dentro de todo el recurso mientras se está editando.

Impresión mejorada: Configuración desde la vista previa para decidir si las cajas de retroalimentación aparecen abiertas/cerradas o si los juegos aparecen minimizados al imprimir.

Deshacer/Rehacer global (Ctrl+Z): Funcionalidad extendida para acciones realizadas fuera de los iDevices (como cambios en la estructura o configuraciones).

Nuevo estilo Universal: Estilo visual diseñado específicamente para crear materiales accesibles.

Importación de estilos: Capacidad para añadir nuevos estilos (aunque se especifica que los de la versión 2.9 ya no son compatibles).

Nuevos instaladores optimizados: Diseñados para un funcionamiento más rápido tanto en la instalación como en el uso diario offline.

En resumen, una gran noticia para la Comunidad Educativa que gana una herramienta que ya funciona pero que mejora a efectos de usabilidad.

La entrada Lanzado exeLearning 4.0 se publicó primero en KDE Blog.

In a recent News Flight Night, discussions included Colin's use of his Surface Go with Cosmic Desktop, the release of Ubuntu 26.04 LTS, and updates on Framework Computer's Laptop 13 Pro. Topics also covered containerized apps and various Linux-related news, emphasizing community engagement and technological advancements.

Es increíble el trabajo de promoción que está realizando Nate (ahora con ayuda de otros desarrolladores) en su blog, desde hace más del tiempo que puedo recordar. Cada semana hace un resumen de las novedades más destacadas, pero no en forma de telegrama, sino de artículo completo. Su cita semanal no falla y voy a intentar hacer algo que es simple pero requiere constancia. Traducir sus artículos al castellano utilizando los magníficos traductores lo cual hará que la gente que no domine el inglés esté al día y que yo me entere bien de todo. Bienvenidos pues a «Aplicaciones en segundo plano y escalado con zoom – Esta semana en Plasma» de Esta semana en Plasma. Espero que os guste.

Aplicaciones en segundo plano y escalado con zoom – Esta semana en Plasma

Nota: Artículo original en Blogs KDE. Traducción realizada utilizando Perplexity. Esta entrada está llena de novedades de la Comunidad KDE. Mis escasos comentarios sobre las mejoras entre corchetes.

Mejoras notables

Plasma 6.7

Se implementó compatibilidad con el portal de “Aplicaciones en segundo plano”. Esto permite que las aplicaciones, especialmente las aplicaciones GNOME más recientes, que usan este portal puedan ponerse en segundo plano y aparecer como iconos en la bandeja del sistema, junto a los iconos similares de otras aplicaciones que usan la funcionalidad existente de icono en la bandeja del sistema. (David Redondo, plasma-workspace MR #5703)

Se implementó una función de escalado para el contenido de la pantalla al usar el efecto Zoom de KWin. El filtro hace todo lo posible por enfocar y reescalar el contenido, lo que da como resultado una apariencia más suave y menos pixelada, especialmente en niveles de zoom relativamente altos. Si este efecto no es para ti, puedes desactivarlo. (Ritchie Frodomar, KDE Bugzilla #509770)

El widget de impresoras ahora muestra una insignia con el número de trabajos de impresión activos y en cola. (Mike Noe, print-manager MR #323)

Mejoras en la interfaz de usuario

Plasma 6.7

El software que usa XWayland y solicita poder enviar eventos sintéticos de teclado y ratón, como xdotool —que, al parecer, varias aplicaciones invocan—, ahora se identifica por su nombre para que sepas qué está pidiendo. Además, ahora puedes ver una lista de las aplicaciones a las que has concedido este permiso y revocarlo más adelante. (David Redondo, kwin MR #9123) [Mejorando la gestión de permisos].

Se aplicó un estilo de KDE al componente genérico MessageDialog de Qt, lo que resuelve el problema de que estos diálogos se vieran muy feos y desentonaran en distintas aplicaciones, incluido el diálogo de confirmación de eliminación del widget de notas adhesivas. (Tobias Fella, KDE Bugzilla #499562) [Mejorando la integración].

Se mejoró el funcionamiento de Discover cuando se inicia sin conexión a Internet. (Tobias Fella, KDE Bugzilla #511002)

Se mejoró la forma en que Discover informa de que una actualización de firmware ha quedado en cola para instalarse después del próximo reinicio. (Tobias Fella, KDE Bugzilla #422498) [Mejorando Discover a todos los niveles].

Se eliminó el efecto de “doble botón Atrás” visible en el widget de redes al mostrar el código QR de una red. (Tobias Fella, plasma-nm MR #541)[Esto ya se hizo con los enlaces].

La función automática de brillo de pantalla ahora tiene en cuenta más datos, con la esperanza de que responda mejor a tus preferencias y sea menos inestable en entornos donde la iluminación de fondo cambia mucho. (Prajna Sariputra, kwin MR #9145) [Lo cual puede llegar a ser tan irritante que al final se desactiva].

Los botones situados en la parte superior de la barra lateral del explorador de widgets ahora respetan la ley de Fitts, lo que te permite activarlos pegando el puntero al borde de la pantalla contiguo y haciendo clic. (Tobias Fella, plasma-desktop MR #3511 y libplasma MR #1479)

Se simplificó la presentación de la notificación sobre el teléfono conectado mediante KDE Connect cuando tiene poca batería. (Kai Uwe Broulik, powerdevil MR #619)

Ahora dispones de más de 25 segundos para elegir un color una vez que has invocado esta función desde el widget Selector de color. Ahora puedes tomarte todo el tiempo que quieras. (Kai Uwe Broulik, kdeplasma-addons MR #1013) [Por que a veces las decisiones necesitan más tiempo].

Frameworks 6.28

Se mejoró la apariencia de la transición de fundido cruzado al moverse entre páginas en muchas aplicaciones basadas en Kirigami. (HeCheng Yu, kirigami MR #2079)

Corrección de errores importantes

[No comento las correcciones de errores ya que son bastante evidentes].

Plasma 6.6.5

Se corrigió un problema que hacía que el Gestor de inicio de sesión de Plasma no se lanzara correctamente en ciertos dispositivos con determinado hardware gráfico, en particular portátiles con Apple Silicon. (Matthias Kurz, plasma-login-manager MR #130)

Se corrigió un problema que hacía que los toques en una pantalla táctil dejaran de aplicarse a la parte correcta de la pantalla cuando la pantalla táctil se reflejaba en otra pantalla con geometría distinta. (David Edmundson, KDE Bugzilla #514688)

Ahora es posible seleccionar un tema de sonido mediante el teclado. (Nicolas Fella, KDE Bugzilla #519194)

Se corrigió un fallo visual en la página Tableta de dibujo de Configuración del Sistema que hacía que las líneas que indican las asignaciones de los botones del lápiz salieran disparadas hacia la esquina superior izquierda de la ventana con algunas tabletas. (David Redondo, KDE Bugzilla #519600)

Plasma 6.7

Se corrigió un caso en el que KWin podía bloquearse al activar un elemento en un panel oculto mientras se usaba el backend de renderizado Vulkan, todavía en desarrollo. (Vlad Zahorodnii, KDE Bugzilla #518721)

Se corrigieron dos casos en los que algunos controles de la página Ajustes rápidos de Configuración del Sistema no eran leídos por el lector de pantalla Orca. (Nicolas Fella, KDE Bugzilla #519433)

Desactivar globalmente los complementos de KRunner ahora también los desactiva en el widget del menú de aplicaciones Kicker. (Christoph Wolk, KDE Bugzilla #501200)

Mejoras de rendimiento y aspectos técnicos

Plasma 6.6.5

Se corrigieron algunos problemas de rendimiento experimentados en una variedad de GPUs NVIDIA que fueron introducidos por la versión 595 del controlador propietario de NVIDIA. (Xaver Hugl, KDE Bugzilla #517987)

Plasma 6.7

Se implementó compatibilidad para renombrar o reubicar la nueva carpeta estándar «Proyectos» que ha empezado a aparecer en las carpetas personales de los usuarios. (Jakob Dev, plasma-desktop MR #3657)

Cómo puedes ayudar

KDE se ha vuelto importante en el mundo, y tu tiempo y contribuciones han ayudado a llegar hasta aquí. A medida que crecemos, necesitamos tu apoyo para mantener KDE sostenible.

¿Te gustaría ayudar a preparar este informe semanal? Preséntate en la sala de Matrix y únete al equipo.

Más allá de eso, puedes ayudar a KDE involucrándote directamente en cualquier otro proyecto. Donar tiempo es realmente más impactante que donar dinero. Cada colaborador marca una gran diferencia en KDE — ¡no eres un número ni un engranaje en una máquina! No tienes que ser programador, existen muchas otras oportunidades.

También puedes ayudar haciendo una donación. Esto ayuda a cubrir costes operativos, salarios, gastos de viaje para colaboradores y, en general, a mantener KDE llevando Software Libre al mundo.

La entrada Aplicaciones en segundo plano y escalado con zoom – Esta semana en Plasma se publicó primero en KDE Blog.

¡Este mayo de 2026 es el mes de LibreLocal! La Free Software Foundation (FSF) invita a partidarios del software libre como tú a organizar un meetup para reunir a la gente y intercambiar ideas, aprender unos de otros y celebrar el software libre

Los meetup de LibreLocal se organizaron por primera vez en 2025. Partidarios del software libre organizaron 29 encuentros de LibreLocal en cinco continentes el año pasado. Este año de nuevo la FSF repite llamamiento.

Aquí en España se celebrarán 6 encuentros en los que se hablará y difundirá el software libre, pero también servirá para conectar personas con una misma afición. Echemos un vistazo:

Islas Canarias

• Ciudad: Santa Cruz de Tenerife – Islas Canarias – España
• Fecha: 30 de Mayo de 2026 a las 10:15
• Ubicación: Local de Canarias GoRetro Avenida de los Menceyes 263, 2ª planta, oficina 12. La Cuesta (La Laguna) – Tenerife
• Registro: El registro es libre y gratuito. Visita la página oficial https://librecan.com
• Organización: LibreCan Comunidad de Software Libre y Cultura Libre de Canarias – Lucio Albenga
• Descripción: Encuentro de mentes curiosas sobre software libre, cultura libre, derechos digitales y tecnología ética en Canarias

Sobre este evento ya pudiste leer en el blog una entrevista en exclusiva a su organizador:

• https://victorhckinthefreeworld.com/2026/04/15/librecan-2026-el-encuentro-de-software-libre-en-canarias-crece/

LibreCan es el evento de software libre y cultura libre en Canarias. Es un encuentro informal para personas que tienen curiosidad e interés por la cultura libre, el software libre, los derechos digitales, las redes sociales descentralizadas, el derecho a reparar, el libre acceso a la información y otros temas afines. Si te interesa o tienes curiosidad por alguno de estos temas este es tu evento. Este año tendremos ponencias sobre diversos temas y como siempre también sesión de conversación libre y sin formalidades, entro todos los asistentes. Solo ideas y buena compañía. Conecta con gente con tus mismas inquietudes en la segunda LibreCan y participa en el foro ¡Esta comunidad también es tuya!

Oviedo

• Ciudad: Oviedo (Asturias – España).
• Fecha: 5 de mayo a las 19:00 h, mas opcionalmente algún sábado de mayo (quizás el 12).
• Ubicación: El Olivar (Calle Oscura, 1/3 – Oviedo – Asturias – España).
• Organización: PicaHack https://www.picahack.org
• Description: Charla de iniciación a la informática libre, instalación de sistemas operativos libres a quien quiera, taller de iniciación al uso de sistemas operativos libres, reparación de ordenadores.

Salamanca

• Ciudad: Salamanca (España)
• Fecha: 7 de mayo a las 17:00 h
• Ubicación: Aula D1 (Facultad de Ciencias, Pz de los Caídos S/N, Salamanca).
• Organización: Rodrigo Santamaría (http://vis.usal.es/rodrigo)
• Description: Charla-debate sobre software libre de uso común y funcional para los asistentes, compartición de experiencias y toma de contacto, tal vez poner las bases para establecer un grupo local de difusión.

Tarragona

• Ciudad: Tarragona (Catalunya)
• Fecha 8 de mayo de 15:00h a 20:00h.
• Ubicación: CRAI Biblioteca Campus Sescelades, URV Avinguda Països Catalans, 26 43007 Tarragona
• Registro: Aún pendiente. Por favor, contacta en la dirección xavi92 @ disroot org si tienes interés.
• Description: El evento será una LAN party dedicada a los videojuegos libres. La comunidad del software libre ha dedicado mucho esfuerzo a crear grandes videojuegos (0 A.D., SuperTuxKart, Hurry Curry, Xonotic… ¡hay tantos por elegir!) y creemos que puede ser una forma divertida e interesante de difundir el mensaje del software libre a los estudiantes.

Valencia

• Ciudad: València (España)
• Fecha: 16 de mayo desde las 10:30
• Ubicación: COiP (Casal Obrer i Popular) Carrer Olimpia Arozena Torres 42 46018, València.
• Registro: https://mobilizon.fr/events/523c1407-f38f-4ac8-9726-499cfa8f34a4
• Organización: Associació GNU/Linux València
• Description: El evento LibreLocal València 2026 será una jornada de encuentro, debate y acción para colectivos y simpatizantes de la cultura libre. Organizado por GNU/Linux València bajo el lema «¡Colectivos y simpatizantes del software libre, organicémonos!», el objetivo es vertebrar el movimiento tecnológico crítico local mediante charlas relámpago, una asamblea abierta y la planificación colaborativa de estrategias de futuro.

---

Si tienes la suerte de que alguno de estos eventos está cerca o puedes desplazarte, no dudes en asistir y formar parte de una comunidad que se desvirtua e interactúa cara a cara compartiendo conocimientos e intereses por el software libre.

Tienes más información en este enlace sobre otros encuentros en otros países:

• https://libreplanet.org/wiki/Group:Librelocal/2026