Es increíble el trabajo de promoción que está realizando Nate en su blog, desde hace más del tiempo que puedo recordar. Cada semana hace un resumen de las novedades más destacadas, pero no en forma de telegrama, sino de artículo completo. Su cita semanal no falla y voy a intentar hacer algo que es simple pero requiere constancia. Traducir sus artículos al castellano utilizando los magníficos traductores lo cual hará que la gente que no domine el inglés esté al día y que yo me entere bien de todo. Bienvenidos pues a «Control de la intensidad de los marcos y el enfoque de la imagen – Esta semana en Plasma«. Espero que os guste.

Control de la intensidad de los marcos y el enfoque de la imagen – Esta semana en Plasma

Nota: artículo original en Blogs KDE. Traducción realizada utilizando Perplexity. Esta entrada está llena de novedades de la Comunidad KDE. Mis comentarios están entre corchetes.

Novedades destacadas

Plasma 6.6.0

Puedes configurar tu nivel preferido de grosor visual para los marcos y contornos alrededor de los elementos de la interfaz con el tema Breeze, o incluso desactivarlos por completo. Esto ofrece soporte tanto a quienes prefieren que todos los elementos se integren visualmente diferenciándose solo por los colores de fondo, como a quienes necesitan esquemas de color con alto contraste y orientados a la accesibilidad. (Akseli Lahtinen, enlace) [Todavía más personalización para adaptar el espacio de trabajo a tu gusto].

Cuando uses hardware compatible y la versión 6.20 del núcleo de Linux, podrás ajustar la “nitidez” visual de todo el contenido de la pantalla. (Adarsh G M, enlace 1, enlace 2, enlace 3, enlace 4)

Se ha implementado el portal USB, que permite a las aplicaciones aisladas solicitar acceso a dispositivos USB. (David Redondo, enlace)

Mejoras en la interfaz de usuario

Plasma 6.5.2

Se ha mejorado el orden de los resultados de búsqueda de KRunner, ya que la función difusa introducida en Plasma 6.5 había revelado y agravado algunas deficiencias preexistentes. Ahora KRunner prioriza las coincidencias exactas de nombres y palabras clave, las coincidencias de subcadenas ancladas al comienzo del nombre o subtítulo, y las coincidencias de subcadenas en el medio, antes de pasar a las coincidencias difusas. (Harald Sitter, enlace 1, enlace 2 y enlace 3) [Optimizando el resultado, no es fácil encontrar la forma correcta].

Se ha cambiado la implementación del desenfoque en Plasma 6.5 para que se parezca más a la de Plasma 6.4: ahora el efecto de “contraste de fondo” está desactivado por defecto y debe activarse manualmente, mientras que el estilo Breeze de Plasma sí lo activa. Esto debería resolver los problemas de desenfoques que aparecían más brillantes de lo previsto, especialmente con esquemas de color oscuros y estilos de Plasma “totalmente transparentes”. (Marco Martin, Vlad Zahorodnii y Niccolò Venerandi, enlace)

Plasma 6.6.0

La cuadrícula de miniaturas del fondo de pantalla con diapositivas que aparece en algunos lugares ahora incluye los botones “Seleccionar todo” y “Deseleccionar todo”. (Adam S., enlace)

Se ha mejorado la forma en que algunas páginas del Centro de Información muestran su contenido. (Michał Kula, enlace)

El tema Breeze GTK ha eliminado los degradados de los botones, igual que hizo hace tiempo el tema Breeze para aplicaciones Qt. (Un colaborador con el alias “chocolate image”, enlace)

Todos los deslizadores de la página Pantalla y monitor en Preferencias del sistema ahora tienen el mismo ancho. (Vsevolod Stopchanskyi, enlace)

La página de Bluetooth en Preferencias del sistema ha recibido algunos ajustes para adaptarse mejor a las KDE Human Interface Guidelines: los botones de los elementos de lista tienen marco, los botones “Conectar” muestran texto visible y la página del dispositivo activo se cierra al desactivar el Bluetooth. (Nate Graham e Ivan Tkachenko, enlace 1, enlace 2 y enlace 3) [Lo cierto es que es una elemento que necesitaba un ajustes].

Ahora es posible volver a comprobar si hay actualizaciones en Discover después de que se hayan instalado las existentes y la aplicación te solicite reiniciar. (Nate Graham, enlace)

Se ha añadido un poco del relleno que faltaba en la parte superior del diseño de un solo monitor en la página Fondo de pantalla de Preferencias del sistema. (Nate Graham, enlace)

Ahora puedes abrir Preferencias del sistema con la combinación Meta+I, algo que quizá resulte familiar para quienes vienen de Windows. (Méven Car, enlace)

Se ha añadido “dxdiag” a la lista de palabras clave que permiten encontrar las páginas de información gráfica en el Centro de Información. Nota para ciertos comentaristas de Phoronix: los castigos continuarán hasta que mejore la moral. (Michał Kula, enlace)

Los campos de texto de Plasma ahora usan botones de estilo estándar para sus acciones integradas, lo que mejora la coherencia visual y la accesibilidad. Este cambio también llegará a las aplicaciones basadas en Kirigami de KDE en Frameworks 6.20. (Nate Graham, enlace)

Frameworks 6.20

Los iconos de “marcado/no marcado con estrella” usados en Plasma y las aplicaciones de KDE ahora tienen márgenes que coinciden con otros iconos. (Nate Graham, enlace)

Corrección de errores importantes

Plasma 6.4.6

Se ha solucionado uno de los dos únicos problemas conocidos de pérdida de datos en Plasma: el texto de un widget Sticky Note

en el escritorio podía perderse si la nota se creaba mediante pegar con clic central y nunca se hacía clic para enfocarla, o cuando Plasma se bloqueaba o el sistema perdía energía mientras la nota estaba activa con cambios no guardados. Ahora el texto se guarda automáticamente de forma continua 10 segundos después del último cambio. (Nate Graham, enlace)

Las grabaciones de pantalla de regiones rectangulares ya no pierden resolución en pantallas que usan un factor de escala superior al 100%. (David Redondo, enlace)

Al usar el movimiento del puntero basado en el teclado numérico y mantener pulsada la tecla “5” para simular una pulsación prolongada, mover el puntero con un dispositivo señalador como un ratón ya no libera la acción de arrastrar prematuramente. (David Redondo, enlace)

Se corrigió un problema que impedía que los fondos de pantalla con ciertos símbolos en sus nombres de archivo mostraran miniaturas previas correctamente. (Kai Uwe Broulik, enlace)

Plasma 6.5.1

Se corrigió un caso donde KWin podía bloquearse al desconectar una pantalla. (Xaver Hugl, enlace)

Se solucionó una regresión que impedía pegar el contenido del portapapeles en aplicaciones WINE . (Vlad Zahorodnii, enlace)

Se arregló un error que impedía que la columna “Memoria de intercambio” apareciera en el System Monitor. (Arjen Hiemstra, enlace)

Se corrigió otra causa del error que hacía que los widgets de System Monitor usando el estilo “Solo texto” aparecieran vacíos tras un reinicio. (Arjen Hiemstra, enlace)

Se solucionó un error que hacía que el interruptor para activar y desactivar el firewall siguiera siendo interactivo cuando no había un backend de firewall instalado. (Kai Uwe Broulik, enlace)

Plasma 6.5.2

Se corrigió un caso en el que KWin podía bloquearse al mover el puntero en ciertas pantallas externas conectadas a ciertos portátiles con ciertos controladores gráficos. (Xaver Hugl, enlace)

Se solucionó un caso en el que el selector de pantalla podía bloquearse al pedir crear una nueva salida virtual. (Xaver Hugl, enlace)

Se arregló un caso donde Discover podía bloquearse al acceder a la página “Instalado” en distribuciones con aserciones activadas que incluyen archivos de firmware en sus repositorios principales. (Aleix Pol Gonzalez, enlace)

Se corrigió una regresión que impedía copiar y pegar desde ciertas aplicaciones a ciertas máquinas virtuales. (Vlad Zahorodnii, enlace)

Se arregló una regresión que rompía las opciones de Spectacle para excluir sombras de ventana, bordes y barras de título en capturas de pantalla de ventanas. (Xaver Hugl, enlace)

Se solucionó una regresión que podía hacer que el puntero quedara atascado en juegos jugados con WINE en modo Wayland nativo. (Xaver Hugl, enlace)

Se corrigió una regresión que hacía visible la interfaz de loopback en el widget de Redes. (Nate Graham, enlace)

Se arregló una regresión que rompía la función emergente del widget de Lanzador rápido, que está desactivada por defecto. (Nicolas Fella, enlace)

Se solucionó un problema que hacía que Plasma enviara notificaciones inapropiadas sobre conexiones de loopback y otras conexiones especiales después de despertar del modo suspensión. (Kai Uwe Broulik, enlace)

Se corrigió un problema que afectaba a la función de cambio de color día/noche con horarios de puesta de sol después de la medianoche. (Vlad Zahorodnii, enlace)

Frameworks 6.20

Se solucionó uno de los 10 principales bloqueos de Plasma que podía ocurrir a usuarios que utilizan muchos widgets de System Monitor. (Arjen Hiemstra, enlace)

Se corrigió un error que hacía que el diálogo de abrir/guardar no mostrara archivos cuando era invocado por ciertas aplicaciones Flatpak que especificaban sus tipos MIME soportados usando globbing de archivos. (David Redondo, enlace)

1. https://invent.kde.org/frameworks/kquickcharts/-/merge_requests/103

Qt 6.10.1

Se solucionó el bloqueo más común de Plasma en Qt . (Ulf Hermann, enlace)

Se corrigió una regresión que hacía que el efecto de resplandor en los bordes y esquinas de la pantalla no usara el color correcto. (Hatem ElKharashy, enlace)

Otra información de errores destacables:

• 4 errores Plasma de muy alta prioridad (4 más que la semana pasada). Lista actual de errores
• 30 fallos de Plasma de 15 minutos (igual que la semana pasada). Lista actual de fallos

Mejoras de rendimiento y aspectos técnicos

Plasma 6.6.0

El límite de escritorios virtuales en KDE Plasma ha sido aumentado de 20 a 25, permitiéndote crear perfectas cuadrículas de 5×5 si así lo prefieres. (Blazer Silving, enlace)

Frameworks 6.20

Se realizó un cambio técnico en la forma en que se bloquean los archivos de configuración, con el objetivo de evitar un caso raro donde Plasma podía quedarse colgado para siempre al iniciar sesión cuando se usa un directorio home administrado por LDAP en una carpeta NFS compartida. (Sebastian Sauer, enlace)

Cómo puedes ayudar

¡Donad a la recaudación de fondos de 2025 de KDE! Realmente marca una gran diferencia.

Si andáis mal de dinero, podéis ayudar a KDE convirtiéndoos en un miembro activo de la comunidad e involucrándoos de alguna manera. Cada colaborador marca una enorme diferencia en KDE — ¡no sois un número ni un engranaje en una máquina! Tampoco es necesario que seáis programadores; también existen muchas otras oportunidades.

No tienes que ser programador. Existen muchas otras oportunidades:

• Clasificar y confirmar informes de errores, tal vez incluso identificar su causa raíz.
• Contribuir al diseño de fondos de pantalla, iconos e interfaces de aplicaciones.
• Diseñar y mantener sitios web
• Traducir elementos de texto de la interfaz de usuario a su propio idioma.
• Promover KDE en su comunidad local
• …¡Y un montón de cosas más!

Para obtener una nueva característica de Plasma o una corrección de errores mencionada aquí, siéntase libre de enviar un commit a la solicitud de fusión correspondiente en invent.kde.org.

La entrada Control de la intensidad de los marcos y el enfoque de la imagen – Esta semana en Plasma se publicó primero en KDE Blog.

Tumbleweed es una distribución de GNU/Linux «Rolling Release» o de actualización contínua. Aquí puedes estar al tanto de las últimas novedades.

openSUSE Tumbleweed es la versión «rolling release» o de actualización continua de la distribución de GNU/Linux openSUSE.

Hagamos un repaso a las novedades que han llegado hasta los repositorios esta semana.

Y recuerda que puedes estar al tanto de las nuevas publicaciones de snapshots en esta web:

• https://victorhck.gitlab.io/tumbleweed_snapshots/

El anuncio original lo puedes leer en el blog de Dominique Leuenberger, publicado bajo licencia CC-by-sa, en este este enlace:

• https://dominique.leuenberger.net/blog/2025/10/tumbleweed-review-of-the-weeks-2025-43-44/

Durante este periodo de dos semanas se han publicado un total de 11 nuevas snapshots 1016, 1017, 1018, 1020 – 1024, 1027, 1028, y 1029 que han traido la actualización a Plasma 6.5, pero hay mucho más.

Las actualizaciones más destacadas de esta semana:

• Linux kernel 6.17.3, 6.17.4, and 6.17.5
• clamav 1.5.1
• python 3.13.9
• Mozilla Firefox 144.0
• GStreamer 1.26.7
• gnome-shell & mutter 49.1
• Samba 4.22.5
• util-linux 2.41.2
• binutils 2.45
• KDE Plasma 6.5.0 & 6.5.1
• VirtualBox 7.2.4
• Mesa 25.2.5
• garphviz 14.0.0
• Java 25

Y para próximas snapshots, ya se están preparando las siguientes actualizaciones:

• Mozilla Firefox 144.0.2
• Linux kernel 6.17.6
• Mesa 25.2.6
• Cambio de grub2 a grub2-bls
• transactional-update 5.5.0: habilita soft-reboot si es posible
• openSSL 3.6.0
• securización del kernel: prevenir que un usuario sin privilegios pueda ver dmesg

Si quieres estar a la última con software actualizado y probado utiliza openSUSE Tumbleweed la opción rolling release de la distribución de GNU/Linux openSUSE.

Mantente actualizado y ya sabes: Have a lot of fun!!

Enlaces de interés

• ¿Por qué deberías utilizar openSUSE Tumbleweed?
• zypper dup en Tumbleweed hace todo el trabajo al actualizar
• ¿Cual es el mejor comando para actualizar Tumbleweed?
• ¿Qué es el test openQA?
• http://download.opensuse.org/tumbleweed/iso/
• https://es.opensuse.org/Portal:Tumbleweed

——————————–

Dear Tumbleweed users and hackers,

My slacking off last week and taking some days for myself has the consequence that I have to cover two weeks without crushing you under too many boring updates. Let’s dive right in and cover the 11! snapshots published during this time (1016, 1017, 1018, 1020 – 1024, 1027, 1028, and 1029).

The most relevant changes were:

• Linux kernel 6.17.3, 6.17.4, and 6.17.5
• clamav 1.5.1
• python 3.13.9
• Mozilla Firefox 144.0 (no longer built for i586!)
• GStreamer 1.26.7
• gnome-shell & mutter 49.1
• Samba 4.22.5
• util-linux 2.41.2
• binutils 2.45
• KDE Plasma 6.5.0 & 6.5.1
• VirtualBox 7.2.4
• Mesa 25.2.5
• garphviz 14.0.0
• Java 25 openJDK
• Changes in Lua interpreter: luajit implementation has changed to the openresty fork (formerly luajit2 package)

The next snapshot is already building, and our testing areas are busy confirming these updates to be made available to you:

• Mozilla Firefox 144.0.2
• Linux kernel 6.17.6
• Mesa 25.2.6
• Switch from grub2 to grub2-bls
• transactional-update 5.5.0: enables soft-reboot if possible
• openSSL 3.6.0: regression detected, which causes nodejs22 testsuite to fail
• kernel hardening: prevent normal users from seeing dmesg

Allá por el año 1998, se filtraron una serie de documentos confidenciales internos de Microsoft donde se documentaban sus estrategias para hacer frente al software de «código abierto» en general y GNU/Linux en particular

Desde hace un tiempo grandes empresas tecnológicas se han vuelto «adoradoras» del software de código abierto u «open source». Una versión descafeinada y menos «radical» que software libre, para que a sus accionistas no piensen que aquello es un nido de wokes radicales.

Microsoft, la gran empresa de Bill Gates que desarrolló el sistema operativo más conocido: Windows, es una de esas empresas que se decanta por esas bondades del open source que tan bien sientan en las descripciones de sus productos.

Pero no siempre ha sido así (realmente ahora es así o es un «green washing» tecnológico). Hubo un tiempo en el que Microsoft tenía estrategias contra software que amenazaba su hegemonía y que se estaba desarrollando bajo eso tan alejado de sus políticas empresariales como era el código abierto y el software libre.

Y así se inicia esta «pesadilla» de Halloween…

Esas estrategias se suponía que tenían que ser confidenciales e internas. Una serie de pautas a seguir para hacer calar en el ideario colectivo que eso del código abierto, eso del software libre, eso de GNU/Linux era una moda pasajera, y que contenía peligros que desconocíamos, pero que desde Microsoft nos relataban.

Pero hete aquí que esos documentos secretos, que relataban la versión interna de desprestigio de esas tecnologías diametralmente opuestas al software privativo y restrictivo de Microsoft se filtraron y vieron la luz.

El exponer sus estrategias internas para tratar de acabar con el código abierto y GNU/Linux, además de revelar sus prácticas nada respetuosas, revelaba que aunque trataban de minimizar su impacto, lo que veían o a lo que tenían miedo era al potencial que aquello pudiera tener y que el número de frikis que «militaba» en alguno de esos proyectos de software libre y GNU/Linux creciera. Y lo que es peor que muchas empresas adoptaran ese nuevo modelo, haciendo así peligrar su estatus.

El número de personas, proyectos y empresas que han adoptado el código abierto y/o GNU/Linux efectivamente creció de manera muy superior a lo imaginado. Hoy el 100% de los grandes supercomputadores utilizan GNU/Linux o variantes. Los servidores que hacen que funcione Internet corren GNU/Linux y software de código abierto o software libre (o una mezcla de ambos)

Pero apesar de esas cifras enormes y crecientes, Microsoft no vio peligrar su hegemonía y sigue reinando en muchos campos de la tecnología. Eso sí, ha mudado su discurso de una actitud en contra de ese código abierto a posiciones a favor (o ese es el márqueting que quieren vender)

Pero volvamos a esos documentos Halloween que evidenciaron su lucha contra la amenaza del software de código abierto. Esos documentos son reales, y son auténticos, así lo ha reconocido Microsoft. Se dieron a conocer porque llegaron a manos de Eric S. Raymond (personaje controvertido por el cual no siento mucha simpatía).

Llegaron a sus manos un 30 de octubre de 1998 y los publicó en su web con anotaciones propias un 1 de noviembre de 1998. Por coincidir con fechas de celebración de la festividad de Halloween recibieron ese nombre.

Microsoft veía en ese movimiento del código abierto y software libre, en el que también englobamos a GNU/Linux, como una amenaza y expone que una de sus estrategias sería aplicar Embrace, Extend and Extinguish en español adoptar, extender, y extinguir para tratar que Microsoft siguiera siendo la pieza fundamental de esos nuevos tiempos y seguir siendo quien marcara los pasos a seguir.

Frente a esa nueva competencia también había intentado la estrategia FUD frente a sus competidores. FUD sería Fear, Uncertainly and Doubt traducido como Miedo, Incertidumbre y Duda. Es decir frente a un competidor, hacer creer desde tu postura dominante y con capacidades casi infinitas que los competidores representan una amenaza, en quien no se puede confiar. Algo así como el miente que algo queda de Goebbles que siguen practicando la extrema derecha en el terreno político en pleno siglo XXI… pero me desvío del tema.

Eric S. Raymond publicó esos documentos con sus propias anotaciones y además de los propios documentos de Microsoft, se han complementado con otros documentos relacionados.

¿Y todo esto a qué viene?

La cosa es que echando un vistazo por la red, me pareció muy pobre, que los documentos siguieran en la web de Eric S. Raymond y que esta estuviera en un dominio sin la «s» en su http. Ese siempre me parece un paso previo a la desaparición del dominio por completo.

Cierto que hay una versión archivada en archive.org, que es desde la que he cogido los textos de los documentos, porque referencian en los enlaces a páginas también archivadas en archive.org que en muchos casos las originales ya no existen.

Con los textos de los documentos descargados he querido subirlos a un repositorio Git, para seguir dándoles visibilidad y difusión en internet y seguir haciendo que estén disponibles, si otras fuentes fallasen.

He traducido algunas partes, no de los propios documentos originales, si no de la introducción que de ellos hace Eric S. Raymond y de algunas aclaraciones respuestas a preguntas más frecuentes (FAQ) que le hicieron al respecto.

Los documentos que descargué están en un repositorio de git en GitLab y he construido una pequeña página html con ellos. Tienes la web disponible en este enlace:

• https://victorhck.gitlab.io/documentos_halloween/

No espero que los leas todos (yo no lo he hecho) pero sí que les eches un vistazo o que leas las acotaciones de Eric S. Raymond o los anexos a los documentos originales.

Recordemos que Microsoft viene de estos pensamientos, que sí, que muchos ejecutivos han cambiado y los tiempos con ellos, peeeeeero siempre me causa cierto reparo admitir que todo aquello cambió y ahora el rumbo es diametralmente opuesto. Como dijo alguna vez uno de los protagonistas sin quererlo de esos documentos Halloween, Linus Torvalds: «Hablar es fácil, enséñame el código».

Es decir, Microsoft puede comprar el mayor repositorio de código abierto y software libre que existe, como es GitHub, y muchas otras acciones, pero sigue siendo una empresa de estándares cerrados y de código privativo. Desarrolla productos abusivos con sus usuarios y les fuerza a admitir condiciones nada respetuosas… Por eso siempre tengo ese resquemor de que si lo hicieron una vez, quizás lo sigan haciendo.

En fin, aquí tienes los enlaces a los documentos originales, a los de archive.org, a mi web, etc. Lee y saca tus propias conclusiones al respecto.

Happy Halloween !!

Enlaces de interés

• https://victorhck.gitlab.io/documentos_halloween/
• https://gitlab.com/victorhck/documentos_halloween
• http://www.catb.org/~esr/halloween/
• https://web.archive.org/web/20051225052023/http://www.catb.org/~esr/halloween/index.html

Sigo con la décima entrada de este año de la iniciativa #viernesdeescritorio. Bienvenidos a mi escritorio Plasma de octubre 2025, realizado sobre ordenador de sobremesa, un Slimbook Kymera, con el que llegamos a las 65 entregas compartiendo «Mi escritorio» de forma mensual.

Mi escritorio Plasma de octubre 2025 #viernesdeescritorio

Esta va a ser la sexagésimaquinta (65 para los que nos cuesta leer esto) vez que muestro mi escritorio Plasma 6 en público, lo cual es número nada desdeñable de entradas que sigue creciendo de forma constante.

De nuevo lo realizo de nuevo sobre mi Slimbook Kymera, el cual tiene instalado un KDE Neon con Plasma 6.5.0, sobre una versión de KDE Frameworks 6.19.0 y una versión de Qt 6.9.2. El servidor gráfico es Wayland y el Kernel es 6.14.0-33-generic (64 bits).

En este equipo sigo utilizando un aspecto bastante muy oscuro, pero en esta ocasión he cambiado el tema global dado que el gran Jorge Dangelo, conocido también como Jomada, presentó uno recientemente y me ha encantado. Se trata de con el tema global Bart (oscuro, con transparencias y con resaltado de color naranja) combinado con el paquete de iconos Tela Nord Dark.

La barra de tareas a la izquierda se ha quedado para siempre y contiene (de arriba a abajo) el selector de escritorios virturales, el reloj digital, widget de Clima Plus /estoy en temporada de recolección de olivas y necesito información precisa), el gestor de tareas solo iconos, la bandeja del sistema, el visor del escritorio y un pequeño bloc de notas para acceder de forma rápida a esas cosas que pasan por mi mente y necesito apuntar para recordar después y el lanzador de aplicaciones. Todo ello separados por barra coloreadas.

Para el fondo he seleccionado el que viene por defecto con el tema Global Bart llamado «Astronaut Girl» (que por cierto tiene entrada propia en el blog de Jomada) que además contiene el plasmoide que muestra las fases de la luna llamado Luna 3 de Samuel Jiménez.

El resultado de mi escritorio Plasma de octubre de 2025 es un entorno de trabajo oscuro y, como siempre, funcional que podéis ver en la imagen inferior (pinchad sobre ella para verlo un poco más grande).

La entrada Mi escritorio Plasma de octubre 2025 #viernesdeescritorio se publicó primero en KDE Blog.

Software packages updating on openSUSE Tumbleweed continued at a brisk pace in October as snapshots arrived almost daily to deliver key software upgrades across desktop environments, development tools, and core system components.

KDE Gear 25.08.2 and Plasma 6.5 refined the KDE desktop with improved performance, accessibility, and stability, while GNOME 49.1 polished the user experience with better session handling and input reliability. Major updates also landed for Kernel Source 6.17.5, Mesa 25.2.5, and PipeWire 1.5.81, and more. Other notable package updates included PHP 8.4.14, curl 8.16.0, ClamAV 1.5.1, and GStreamer 1.26.7.

As always, be sure to roll back using snapper if any issues arise.

For more details on the change logs for the month, visit the openSUSE Factory mailing list.

New Features and Enhancements

KDE Gear 25.08.2: This release fixes video preview crashes with Dolphin and Kdenlive resolves crashes with effects, filter jobs, and sequence clips. Itinerary and Kitinerary expand transport and booking support with new scripts and more resilient parsing. Other highlights include a crash fix in Okular when saving password-protected files, refined behavior in KClock and KWeather, and QR permission fixes in Keysmith. NeoChat improves push notifications, Tokodon enhances interaction layouts, and backend libraries like K3b, Akonadi, and KMime receive compatibility and performance updates.

GNOME 49.1: This release updates several GNOME apps with bug fixes, accessibility improvements, and translation updates. Highlights include corrected currency rates in Calculator, refined UI and input handling in Control Center, and improved update notifications in GNOME Software. Sudoku resolves RTL input bugs, while System Monitor fixes memory leaks and metadata. The package formerly known as gnome-tour-minimal was renamed to opensuse-welcome, and a new donations page was added with links to both the GNOME Foundation and the Geeko Foundation. GDM fixes a shell lock-up bug and has safety checks for deleting / and /home, which now run in production builds, and Wayland availability detection is corrected. GNOME Characters improves language handling with alias support and has fixes for IBus checks, Flatpak language lists, and active window tracking. GNOME Session improves session reliability by fixing zombie process leaks, resolving option parsing regressions in gnome-session-inhibit, and refines how DBUS_SESSION_BUS_ADDRESS is detected for better operation outside systemd.

File Roller 44.6: The update improves archive handling and fixes multiple format-specific issues. It correctly parses LHA listings, resolves errors with large RAR files, and restores proper follow links behavior for 7zip archives. The update also allows StuffIt files to be opened via Unarchiver, fixes sensitivity issues in the “New Archive” and “Extract” dialogs, and corrects directory detection during compression. Updated translations were also made.

Plasma 6.5: This release provides a smoother, more intuitive experience. Highlights include automatic light/dark theme switching with matching wallpapers, pinned clipboard items, and rounded window corners. Usability improves with better Wi-Fi sharing (including passwords), smarter audio muting, and hibernation from the login screen. Accessibility gains a grayscale filter, Caps Lock announcements for screen readers, and fixes for photosensitive flashing. KRunnerintroduces fuzzy search, Sticky Notes become more flexible, and Wayland desktops can be reordered. Discover is faster with Flathub one-click installs, and Spectacle records popups, and Emoji Selector improves usability. Performance is boosted by faster startup, HDR tuning, and overlay plane support for efficient full-screen playback. Plasma 6.5 feels like the desktop KDE has been perfecting for 29 years now. Also released this month was the Plasma 6.5.1 bugfixe update. This update fixes a crash in Discover, corrected window corner rendering in Breeze-GTK, and had multiple stability improvements in KWin. The bugfix update also resolves issues in KRDp user management, Spectacle screenshot timestamps, and ensures proper firewall UI behavior in Plasma Firewall.

Mesa 25.2.4: The 3D Graphics package has fixes for AMD and Intel GPUs, addresses crashes in games such as FINAL FANTASY XVI, Elite Dangerous, and Call of the Wild: The Angler. Intel Xe2 hardware benefits from corrected display buffer handling and AMD users see improved reliability with shader compilation across uniform blocks. Vulkan video decoding and SPIR-V shader processing receive improvements, and memory management is better during screen shutdown.

curl 8.16.0: This release fixes two security issues; CVE-2025-9086 and CVE-2025-10148. New features include --follow, --out-null, and --parallel-max-host, decimal values for retry options, and caching negative DNS resolutions. TLS 1.2 is now the minimum default, and WebSockets support CURLOPT_READFUNCTION. Numerous fixes improve cookie handling, OpenSSL integration, QUIC/HTTP3 support, and WebSocket stability. Together, these changes enhance security, performance, and developer flexibility across HTTP, SMTP, and TLS use cases.

QEMU 10.1.1: The emulator sees corrections for vector extension handling with RISC-V and compressed instruction IOMMU table limits while SPARC gains more flexible instruction decoding. Migration stability improves with better error handling during postcopy. Memory management is hardened with clearer address space destruction. Build and test infrastructure are also refined to ensure smoother compilation and CI runs.

ClamAV 1.5.1: The malware detection package fixes handling of PE and TNEF files, has more accurate processing of ZIP, RAR, OOXML, and OLE2 documents, and improves fuzzy hashing for images. The update also raises limits for embedded file detection and refines VBA signature matching. The software package added URI metadata extraction for HTML/PDF, regex support for on-access exclusions, CVD signing with .sign files, FIPS-like restrictions on weak hashes, and new administrative controls in ClamD.

PHP 8.4.14: The update fixes property handling bypasses, crashes in closures and array flag inconsistencies. Key modules like curl, GD, MySQLnd, Soap, SimpleXML, and Zip receive stability improvements, while Opcache and JIT-related race conditions are resolved.

Key Package Updates

Kernel Source 6.17.0 through 6.17.5: Linux kernel 6.17.5 has stability improvements for Btrfs, Ext4, and F2FS, fixes for CIFS/SMB and NFS handling, and multiple sound driver quirks for Realtek and Intel hardware. Graphics updates address issues in AMDGPU and Xe drivers. The 6.17.3 update had networking improvements addressing bonding in broadcast mode, USB transport overflow, and multiple Wi-Fi driver issues. The release also fixes crashes and memory handling problems in AMDGPU, ext4, KVM, ksmbd, and LoongArch BPF, along with numerous NULL pointer dereferences across drivers (USB, PCI, RPC, and input). The 6.17.2 version adds support for new USB serial (SIMCom 8230C) and Bluetooth (D-Link AX9U) devices, while adjusting Wi-Fi drivers to avoid conflicts on RTL8192/8188 adapters. Rust subsystem documentation and driver references are corrected, and configuration updates refine console defaults and FIPS handling. The result is improved reliability, hardware support, and security. The 6.17.0 release updates configs that include enabling DEBUG_WX for stricter memory protections and refining platform-specific HID and debugging options. Documentation tooling has been adjusted to handle deprecated Python interfaces, and serial console handling in hvc_console has been improved with more reliable write behavior.

iproute2 6.17: The update to advanced networking package introduces support for new networking attributes, including netns-immutable, mcast_reprobes, and the extern_valid flag for neighbors. It adds mdb_offload_fail_notification to bridge tools and tc-bw in devlink-rate. Color handling was refined to better adapt to dark backgrounds.

python311 3.11.14: This security update strengthens parsing and archive handling. html.parser.HTMLParser was aligned with HTML5 standards, fixing multiple tag, attribute, and comment parsing issues and closing complexity-related vulnerabilities. The bundled Expat library fixed memory safety concerns, and tarfile now validates non-negative offsets to prevent crafted archive exploits.

gpg2 2.5.13: This release fixes compliance and security issues, including OCB handling with passwords, duplicate key detection, cv25519 encryption prefixes, and potential SHA1 downgrades in third-party signatures. It improves signature verification by erroring on unverified outputs, switches gpgsm encryption/decryption to the KEM interface, and fixes certificate locking glitches. Keybox handling was refined to improve locking and compression safety. Other updates include LDAP keyserver upload support, PIN change fixes, and retries for private key deletion to handle sharing violations.

Mesa 25.2.5: This update resolves rendering corruption in Age of Wonders 4 on Intel Arc GPUs, fixes a broken pipeline cache in AMD’s RADV Vulkan driver, and addresses failing tests on older Intel hardware. The release also corrects issues with occlusion queries on Qualcomm Adreno GPUs, improves handling of 3D image views in Vulkan render passes, and fixes memory leaks.

Mutter 49.1 & 49.1.1: This update improves Wayland stability, input handling, and window management. Wayland fixes include better handling of invalid or empty geometries, always sending configure events after popup repositioning, and requiring pointer interaction before allowing warps. There was a fix in the 49.1.1 version for broken menus in some Xwayland clients. Input reliability was enhanced with correct modifier state checks. Rendering and performance benefits were made and improvements were also made with frame clock scheduling. Additional fixes cover udev memory leaks, fallback cursor sizing and gesture handling crashes.

AppStream 1.1.1: This package introduces an option to disable man page creation and improves YAML handling with explicit string quoting and UTF-8 test coverage. Qt5 support has been fully dropped; the build system and spec file were cleaned accordingly.

SDL3 3.2.24: This release fixes multiple input and rendering issues, which includes fixes for crashes with Steam Controllers and webcams mistakenly detected as joysticks. Mouse capture in VMware and detached thread memory handling were corrected. Rendering gains support for up to 8-color target bindings, and letterboxing now uses clear coloring that improves consistency.

SELinux Policy 20251006: SSH policies are enhanced in this update with support for /usr/libexec/ssh, wtmpdb logging, and new default contexts, while guest and xguest domains gain better session handling. Policies now allow services like valkey-server, blueman, geoclue, apcupsd, and nfs-generator to use additional sockets or filesystem attributes. Kdump and EFI access are improved, and virt guests can conditionally read certificates in home directories.

webkit2gtk3 2.50.1: This update improves both webkit2gtk3 and webkit2gtk4. It fixes broken audio playback on Instagram, and corrects rendering issues with fractional transforms. It also resolves build problems on s390x and with video disabled, alongside multiple crash and rendering fixes. A critical security patch for CVE-2025-43343 is included, making this a recommended stability and security upgrade for both the GTK 4.1 and 6.0 backends.

WirePlumber 0.5.12:
This release introduces mono audio configuration support, automatic muting of ALSA devices when nodes are removed, a new notifications API module, and an expanded wpctl man page. It fixes shutdown race conditions in the permissions portal that prevent crashes from invalid devices during async operations, which fixes logging errors in device-info-cache, and improves device hook handling. A patch was added to suppress dispatcher errors when re-registering or removing hooks.

GStreamer 1.26.7: This update improves handling in cea608overlay. RTP handling was expanded with new linear audio payloaders/depayloaders and keepalive fixes in RTSP interleaved mode. Other fixes address Opus in MPEG-TS, memory leaks in Editing Services, improved threadshare latency, muxer EOS handling, and introspection annotations.

PipeWire 1.5.81: This is the first release candidate for the upcoming 1.6 branch; it remains API and ABI compatible with earlier 1.0.x through 1.4.x versions. The release brings a refactored link negotiation system for better default matching, improved loop locking with priority inversion handling for real-time performance and safer control stream parsing. It introduces new features such as MIDI 2.0 clip support, Bluetooth ASHA support for hearing aids, and ALSA tweaks to lower latency.

Binutils 2.45: This update introduces a new versioned libsframe.so.2, expands RISC-V and ARM architecture support, and adds new directives and predefined assembler symbols. On x86, support has been added for Intel Diamond Rapids AMX, AVX10.2, and new Zhaoxin instructions, while s390 tools now support SFrame v2 and the “z17” CPU. The release fixes multiple security issues.

Security Updates

Binutils 2.45:

• CVE-2025-1149: This fixes a memory leak when handling certain inputs.
• CVE-2025-1150: This fixes a memory leak under certain conditions that could potentially lead to resource exhaustion.
• CVE-2025-1151: A memory-handling issue may lead to leaks or instability.
• CVE-2025-1152: Another leak-type issue impacts linking behavior and potentially weakens system robustness.
• CVE-2025-1153: A crafted input could lead to memory corruption.
• CVE-2025-1176: A critical issue that under crafted conditions may lead to memory corruption or crash.
• CVE-2025-1178: A memory-safety issue may be triggered by malformed linking operations.
• CVE-2025-1179: Another memory-safety vulnerability that could possibly be exploitable under specific build/link workflows.
• CVE-2025-1180: A fix for a flaw classified as problematic that could affect linking behavior and system stability.
• CVE-2025-1181: A vulnerability may allow errant linking or crash the tool.
• CVE-2025-1182: Fixes an issue that could impact the tool chain and may have wide-ranging effects if exploited.
• CVE-2025-3198: A vulnerability classified as problematic that may lead to mis-linking or tool failure.
• CVE-2025-5244: A fix for a security flaw that could affect linking and build integrity; recommended to update.
• CVE-2025-5245: A fix for a bug affecting core linking functionality that may allow crash or unintended behavior.
• CVE-2025-7545: A fix for a problematic memory-safety issue resulting in linking failures.
• CVE-2025-7546: Another fix for a memory‐safety/leak vulnerability that could have compromised build reliability and system integrity.
• CVE-2025-8224: A fix for a vulnerability that could be exploited in build/link processes.
• CVE-2025-8225: A fix for another flaw that may lead to unstable linking or toolchain failure.
• CVE-2025-11083: A fix for a vulnerability affecting linking components that could impact system builds and integrity.
• CVE-2025-11495: A flaw related to linking logic that could cause crashes or unexpected behavior.

Unbound 1.24.0:

• CVE-2025-11411: A vulnerability that could allow an attacker to inject bogus DNS name-server records, which could trick a DNS resolver into updating delegation information and result in domain-hijacking.

java-21-openjdk 21.0.9.0:

• CVE-2025-53066: A vulnerability fix that could have allowed an unauthenticated attacker to gain unauthorized access to critical data over the network.
• CVE-2025-61748: A flaw that could have allowed an unauthenticated attacker to perform unauthorized update, insert or delete operations on accessible data via network API access.
• CVE-2025-53057: A weakness that could have allowed an unauthenticated attacker to create, delete or modify critical data remotely.

gimp:

• CVE-2025-10925: A fix for a stack-based buffer overflow where an attacker could craft a malicious image to execute code when it’s opened.
• CVE-2025-10922: A fix for a heap buffer overflow had the potential to allow remote code execution via a malicious file.
• CVE-2025-10920: A fix for an out-of-bounds write bug where specially crafted images may cause crashes or allow attackers to run arbitrary code.

curl 8.16.0:

• CVE-2025-9086: A flaw was fixed this may crash curl or allow a malicious site to override a “secure” cookie unexpectedly.
• CVE-2025-10148: A predictable pattern was fixed that could allow a malicious server to trick a proxy into treating malicious content as legitimate and pollute its cache.

Bind 9.20.15:

• CVE-2025-8677: A fix for a flaw that could potentially deny service to DNS resolvers.
• CVE-2025-40778: Attackers could inject forged DNS records into a resolver’s cache, redirecting future queries to malicious destinations.
• CVE-2025-40780: A weakness in the pseudo-random number generator allows attackers to predict the source port and query ID of DNS requests to make cache poisoning easier.

qt6-svg 6.10.0:

• CVE-2025-10728: A flaw in a graphics module that renders SVG files can cause recursive rendering leading to a stack overflow and crash.
• CVE-2025-10729: A use-after-free bug in the graphics module can lead to crashes or other memory corruption.

python-ldap 3.4.5:

• CVE-2025-61911: Passing a crafted list or dict for the assertion_value parameter when using escape_mode=1 can skip escaping special characters, which might let an attacker manipulate LDAP filters.
• CVE-2025-61912: A client can fail before sending a request to the LDAP server (client-side denial of service).

webkit2gtk3/4 2.50.1:

• CVE-2025-43343: A memory-handling flaw lets specially crafted web pages cause unexpected process crashes, potentially allowing attackers to disrupt the software or gain deeper access.

**libsoup **:

• CVE-2025-11021: A flaw could allow an attacker to craft a cookie with a specially formatted expiration date that triggers a memory read outside of the intended bounds and potentially exposes sensitive information.

libxslt:

• CVE-2025-11731: A flaw could wrongly treat a document node like an element node, which can lead to type confusion and unexpected memory reads and possible crashes (denial of service).

python311 3.11.14:

• CVE-2025-8194: A defect in the CPython tarfile module where processing specially-crafted tar archives with negative offsets can cause an infinite loop or deadlock and result in a denial of service.
• CVE-2025-6069: A vulnerability can trigger quadratic complexity and amplify a denial of service by consuming excessive CPU/time.

open-vm-tools 13.0.5:

• CVE-2025-41244: A vulnerability was fixed inside a VM that could exploit a flaw to gain root (administrator) privileges on the same VM.

Ruby 3.4.7:

• CVE-2025-61594: A vulnerability was fixed that could allow leaking of authentication details via crafted URIs.

poppler:

• CVE-2025-52885: The vulnerability can lead to dangling pointers when the vector is resized and may allow memory corruption or crashes.

ImageMagick 7.1.2.7:

• CVE-2025-62171: A flaw with BMP image decoder on 32-bit systems can trigger an integer overflow and cause a potential crash or denial of service.

** samba**:

• CVE-2025-10230: A command-injection flaw could allow an unauthenticated remote attacker to run arbitrary commands.
• CVE-2025-9640: A bug could allow a user to read leftover memory contents and potentially disclose sensitive data.

Mozilla Firefox 143.0.3, 144.0:

• CVE-2025-11152: A vulnerability allowing remote code execution via memory corruption.
• CVE-2025-11153: A miscompilation may enable attackers to execute arbitrary code.
• CVE-2025-11708: A use-after-free bug in the browser’s media subsystem that could let attackers crash the application or run code.
• CVE-2025-11709: A flaw where a webpage could trigger out-of-bounds reads or writes in a privileged process and risk data exposure or code execution.
• CVE-2025-11710: A compromised web process could use malicious inter-process messages to make the privileged browser process leak parts of its memory.
• CVE-2025-11711: A browser bug that allowed modification of JavaScript object properties, which were supposed to be non-writable.
• CVE-2025-11712: A webpage could use an OBJECT tag’s type attribute (when no content-type header was given) to override browser behavior and potentially enable XSS.
• CVE-2025-11714: A collection of memory-safety bugs that were fixed in recent browser versions because they could lead to crashes or code execution.
• CVE-2025-11715: More memory-safety fixes covering multiple components in the browser/Thunderbird stack to reduce risk of exploitation.

Users are advised to update to the latest versions to mitigate these vulnerabilities.

Conclusion

Tumbleweed closed October with near-daily snapshots that paired desktop polish with deep stack hardening. Plasma 6.5, KDE Gear 25.08.2 and GNOME 49.1 landed alongside kernel 6.17, Mesa 25.2.x and PipeWire 1.5.81, while developer and platform tools like PHP, curl, QEMU, GStreamer and Binutils delivered tested security fixes.

Slowroll Arrivals

Please note that these updates also apply to Slowroll and arrive between an average of 5 to 10 days after being released in Tumbleweed snapshot. This monthly approach has been consistent for many months, ensuring stability and timely enhancements for users. Updated packages for Slowroll are regularly published in emails on openSUSE Factory mailing list.

Contributing to openSUSE Tumbleweed

Stay updated with the latest snapshots by subscribing to the openSUSE Factory mailing list. For those Tumbleweed users who want to contribute or want to engage with detailed technological discussions, subscribe to the openSUSE Factory mailing list . The openSUSE team encourages users to continue participating through bug reports, feature suggestions and discussions.

Your contributions and feedback make openSUSE Tumbleweed better with every update. Whether reporting bugs, suggesting features, or participating in community discussions, your involvement is highly valued.

Table of Contents

• 1) Introduction
• 2) Local DoS Issue via UNIX Domain Socket (CVE-2025-62875)
  • Memory Leak on Regular Connection Close
  • Workaround by Adjusting Socket Permissions
  • Reproducer
  • Affected Versions
  • Affected Systems
  • CVE Assignment
  • Upstream Bugfix
• 3) Notes on setuid and setgid Binaries
  • lockspool
  • smtpctl
• 4) Notes on the Network-Facing OpenSMTPD Code
• 5) Timeline
• 6) Links

1) Introduction

OpenSMTPD is an implementation of the server-side SMTP protocol offered by the OpenBSD project. A few months ago a SUSE colleague started packaging it for openSUSE Tumbleweed, which led to a code review of the package.

While looking into a local API offered by OpenSMTPD we discovered a trivial local Denial-of-Service (DoS) attack vector which allows unprivileged users to cause the shutdown of all smtpd services. The full details about the issue follow in section 2. Some additional remarks about setuid-root and setgid utilities contained in OpenSMTPD are found in section 3. A quick survey of the network-facing code of OpenSMTPD is provided in section 4.

Note that two source code repositories for OpenSMTPD exist. The most up-to-date code is found in the OpenBSD CVS repository, while the portable version is found on GitHub. The portable version offers cross platform support for various kinds of UNIX systems, including Linux and the other BSDs. This report is based on the portable OpenSMTPD version 7.7.0p0.

We reported the local DoS issue to upstream but did not get a response until two days before publication, due to communication issues. By now an upstream bugfix is available which will be part of a pending 7.8.0 release, but it seems an independent memory leak issue remains unaddressed.

2) Local DoS Issue via UNIX Domain Socket (CVE-2025-62875)

OpenSMTPD contains the smtpctl program, which communicates with the smtpd: control daemon instance via a UNIX domain socket in /var/run/smtpd.sock. While looking into the protocol used for this purpose, we noticed a trivial local Denial-of-Service attack vector affecting all of OpenSMTPD.

The UNIX domain socket smtpd.sock has file mode 0666 and is thus writable for all users in the system, allowing anybody to create local connections towards smtpd.

In the daemon’s code in mproc_dispatch() the process exits via fatal() in case anything goes wrong while handling such a UNIX domain socket connection. Two common error situations leading to this are bad returns from readv() in ibuf_read() or a bad message length value in the message header, which is detected in imsg_parse_hdr(). Similar error conditions exist in the msgbuf_read() call path which is used when file descriptor passing is enabled on the connection (see imsgbuf_read()).

As a result, sending a malformed message with a bad header length is enough for a client to provoke the invocation of fatal() on the daemon side. Once fatal() is called, the smtpd: control instance ends execution and causes the whole smtpd instance to be shut down along with it.

We learned from upstream that the reason for the call to fatal() is that smtpd.sock is used for two different purposes at the same time:

• connections from other, trusted smtpd daemon instances.
• connections from arbitrary other clients using the smtpctl program.

The call to fatal() is made with the first kind of connections in mind. These connections are established during startup, and if anything goes wrong while processing data from other smtpd daemon instances, then a bug in OpenSMTPD itself is assumed, and a shutdown of all daemon processes is a viable course of action.

The second kind of connections was left unconsidered in this logic, thus allowing unprivileged clients to trigger this code path which leads to the local DoS. The upstream bugfix consequently consists of an added if clause which excludes the second type of connections from the call to fatal().

Memory Leak on Regular Connection Close

While looking into a possible bugfix for the DoS issue, we noticed a comment in the code, which points to unsolved cleanup issues, when processing a connection fails:

ibuf_read_process(struct msgbuf *msgbuf, int fd)
{
    /* <<< SNIP >>> */
fail:
    /* XXX how to properly clean up is unclear */
    if (fd != -1)
        close(fd);
    return (-1);
}

This made us wonder, if the cleanup is unclear in error conditions, is it maybe also unclear during regular operation? After all, proper cleanup will be needed regardless of whether a connection ends gracefully or not. As it happens, the cleanup logic for a regular connection close and for an erroneous connection close indeed is equivalent in OpenSMTPD.

To this end, we tested what happens when a lot of UNIX domain socket connections towards smtpd are created and closed in succession. The outcome indeed is that the memory used by the smtpd: control instance continuously grows. Thus it seems there is a memory leak present here as well independently of the main issue described above. We did not analyze this in more detail, but upstream is aware of the issue and is analyzing it on their end.

This independent issue means that unprivileged clients can trigger the memory leak in the smtpd: control daemon, even after applying the upstream bugfix to fix the main issue in this report. The impact will also be a local DoS, it will take a much longer time to execute it, however, because the memory leak is small and in our tests only consumes about 100 megabytes within half an hour. The next section describes a possible temporary workaround to avoid this issue, as well.

Workaround by Adjusting Socket Permissions

We initially suggested a different patch to address the local DoS issue, tightening the permissions of the smtpd.sock UNIX domain socket. We wrongly assumed that there were no valid use cases for non-root users connecting to this socket. Shortly before publication we learned from upstream that there actually is a valid use case for this scenario: non-root users can enqueue mail using the sendmail interface, which makes use of this socket.

Even though our suggested patch causes a regression in this case, it reduces attack surface and provides protection against the memory leak described in the previous section. For some users of OpenSMTPD it can thus be a sensible option to use this patch if the described use case is not needed, at least until upstream provides a fix for the memory leak issue, as well.

Reproducer

We offer a simple Python script to reproduce the issue. The script creates a connection towards smtpd.sock and sends an excessive header length. If the reproducer works, the smtpd daemon processes will all exit immediately.

Affected Versions

In commit 3270e23a6eb, which first made its way into version 7.7.0, major changes to the message parsing code have been introduced, including the call to fatal(). Triggering the issue was easily possible in our tests for all packages based on this version.

It is unclear if older versions might be affected by some variant of this issue as well. We only verified that the trivial reproducer does not work against version 7.6.0 of OpenSMTPD.

Affected Systems

We verified that the issue affects the following systems, which all offer OpenSMTPD version 7.7.0:

• Arch Linux (fully updated on 2025-09-29)
• Debian 13
• Fedora 42
• Gentoo Linux using the 7.7.0p0 ebuild
• OpenBSD 7.7
• NetBSD 10.1 (using the package available from pkgsrc)

On FreeBSD 14.2, where only the older version 7.6.0 of OpenSMTPD is available, we could not reproduce the issue.

CVE Assignment

Without a formal confirmation from upstream we were reluctant to assign a CVE for the issue. The case seemed clear-cut, however, and when we were asked to provide a CVE on the distros mailing list, we assigned CVE-2025-62875 and also communicated this to upstream.

When contact to upstream was established shortly before the publication of this report, upstream picked up this CVE and used it to document their bugfix.

Upstream Bugfix

Upstream already published the bugfix commit for the main issue in this report. The release of OpenSMTPD version 7.8.0 containing this bugfix is expected soon, and was already announced on the upstream mailing list.

3) Notes on setuid and setgid Binaries

The original reason for reviewing OpenSMTPD in the first place was the presence of setuid and setgid binaries in the package. The following sub-sections give a short summary of the outcome of the review.

lockspool

/usr/libexec/opensmtpd/lockspool is a world-accessible setuid-root binary which is used to synchronize parallel access to a user’s spool.

The lockspool code found in the OpenSMTPD portable release is quite complex and is based on some assumptions that might not hold true. This code can allow for a minor local DoS in multi-user scenarios. The OpenBSD CVS repository already contains a simplified locking algorithm which is not affected by this.

We reached out to upstream about this separately from the UNIX domain socket DoS issue. In this instance we quickly got a reply and upstream merged the change from the CVS repository into the OpenBSD portable repository. This change will be part of the OpenSMTPD 7.8.0 release. We backported the change into the openSUSE packaging of OpenSMTPD as well.

smtpctl

/usr/sbin/smtpctl is a world-accessible setgid binary operating in _smtpq group context. The program uses these special group privileges to store mail in the directory
/var/spool/smtpd/offline, when the smtpd services are not running.

The _smtpq group privileges are only used for this well defined purpose and the extra privileges are also dropped as soon as they are no longer needed. We found no issues in this aspect of the program.

4) Notes on the Network-Facing OpenSMTPD Code

After we found the local security issues described in this report, we thought it a good idea to also have at least a cursory look at the actual network-facing SMTP protocol parsing code found in OpenSMTPD. We could not find any tangible security issues in these parts, still here is a short summary of our impression of the code:

• the protocol parsing is implemented in plain C and thus error prone. The implementation does have this under control, however, even though there is some redundancy in handling the various message types.
• a lot of parsing is done manually without the help of third party libraries, including things like domain name end email address verification.
• transmission of plaintext passwords is rejected on unencrypted connections, which is a good security stance.
• the daemon processing network data is running with limited service user credentials and is also placed into a chroot jail, which reduces attack surface.
• the daemon logs every bad SMTP protocol message by default, including attacker controlled data, which is a bit peculiar. The logging systems on the BSDs and Linux systems we looked into are able to deal with this in safe ways, however (e.g. terminal escape sequences are escaped or stripped).

5) Timeline

6) Links

• OpenSMTPD website
• OpenSMTPD portable Git repository
• Suggested patch to work around the issue (includes a possible regression!)
• Upstream bugfix of the issue (leaves a memory leak issue unaddressed)
• Python script to reproduce the issue
• openSUSE Bugzilla review bug for OpenSMTPD

hoy me complace compartir con vosotros un nuevo episodio de Compilando Podcast, que ha vuelto con fuerza en forma de DOS episodios tipo píldora muy instructivos. En esta ocasión se trata del episodio 61 que lleva por título «IA Open Source ¿transparencia real o etiqueta de marketing?» donde Paco nos explica que no por llevar la etiqueta Open Source realmente nos encontramos con algo libre.

IA Open Source ¿transparencia real o etiqueta de marketing? en Compilando Podcast

En palabras del gran Paco Estrada, extraídas de la nueva web de Compilando Podcast y que sirven de introducción del episodio 61:

En este episodio de Compilando Podcast exploramos el debate sobre la inteligencia artificial open source. ¿Qué significa realmente, en qué se diferencia del software libre clásico y por qué está generando tanta controversia?. Analizamos las licencias bajo las que se liberan los principales modelos —desde GPT o Claude, cerrados; hasta LLaMA o Mistral, con distintos grados de apertura. También revisamos la definición propuesta por la Open Source Initiative (OSI) para “Open Source AI”.

Un viaje por el presente y futuro de la «IA abierta», donde se cruzan intereses científicos, empresariales y regulatorios. ¿Qué partes de un modelo deben estar realmente abiertas: el código, los pesos, los datos? Y lo más importante: ¿qué impacto tendrá esa respuesta en el acceso, la transparencia y la confianza en la Inteligencia Artificial?

Música: https://incompetech.filmmusic.io/ by Kevin McLeod y musopen.org

Licencia : Creative Commons (CC BY-NC-SA)

Más información: Compilando Podcast

¿Qué es Compilando Podcast?

Dentro del mundo de los audios de Software Libre, que los hay muchos y de calidad, destaca uno por la profesionalidad de la voz que lo lleva, el gran Paco Estrada, y por el mimo con el que está hecho. No es por nada que ganó el Open Awards’18 al mejor medio, un reconocimiento al trabajo realizado por la promoción .

A modo de resumen, Compilando Podcast es un proyecto personal de su locutor Paco Estrada que aúna sus pasiones y que además, nos ofrece una voz prodigiosa y una dicción perfecta.

La entrada IA Open Source ¿transparencia real o etiqueta de marketing? en Compilando Podcast se publicó primero en KDE Blog.

Las historias más escalofriantes del software privativo acechan en cada época del año. Ese acoso constante es el que las hace todavía más aterradoras

Aunque las monstruosidades escalofriantes de la larga y oscura noche de Walpurgis sean en su mayoría imaginarias, las siniestras amenazas de los proveedores de software privativo depredador siguen siendo demasiado reales.

¡Pero no temáis! La comunidad KDE, se encargarán de ahuyentar a esos seres malignos y proteger a nuestros amigos, familiares, empresa y comunidad de todas las aplicaciones y servicios privativos inquietantes e insidiosos que acechan nuestras computadoras, teléfonos y electrodomésticos.

¡Pero no pueden hacerlo solos! Necesitamos tu ayuda para librar esta batalla contra los fantasmas tecnológicos. Realiza un donativo de cualquier cantidad a su campaña de recaudación de fondos y ayudemosles a mantener a raya a las fuerzas oscuras.

Mientras tanto, disfrutemos (o suframos) con un par de nuevas historias que nos provocarán ansiedad y reflexionen sobre las lecciones que nos enseñan. Aprendamos de ellas, porque para los protagonistas, ya era demasiado tarde…

La noche de las camas vivientes

Una epidemia de tortícolis, lumbalgia y dolor de hombros fue la primera señal de que algo andaba muy mal.

Luego, Charles, nuestro querido vecino de 80 años, postrado en cama, murió doblado por la mitad «¡Como un taco!», lamentó desconsolada su viuda. Nadie podía comprender cómo su cuerpo artrítico había logrado adoptar semejante forma.

Cuando la pareja de tres casas más abajo murió asfixiada mientras dormía, la historia dio un giro aún más extraño. Las empleadas de la limpieza los encontraron con tela acolchada y espuma viscoelástica introducidas en sus gargantas.

Haz clic para revelar la dramática historia detrás de estos espeluznantes sucesos

Es la segunda semana y ya no nos atrevemos a subir. Oímos cómo «ellos» hacen ruido arriba, intentando salir. Por ahora estamos a salvo en la planta baja, ya que todavía no dominan los pomos de las puertas ni las escaleras.

Salir de casa para escapar no es una opción. Observamos horrorizados desde la ventana de la cocina cómo un pobre incauto lo intentaba. Corrió hacia su coche, pero una enorme cama California King, sorprendentemente ágil para su tamaño, lo alcanzó. La gigantesca losa grisácea le cayó encima, aplastándolo como a un insecto.

Otros aparatos se están sumando. La última vez que probamos el filtro de agua inteligente, nos dio una mezcla tan asquerosa que nos hemos visto obligados a beber directamente del grifo.

¡Qué horror!

No podemos confiar en nada electrónico. La televisión nos mantiene confundidos con noticias falsas: ¿algo sobre la demolición de la Casa Blanca? Obviamente, se trata de IA; así que no tenemos ni idea de si es un fenómeno global o si solo afecta al microverso de nuestra tranquila calle sin salida en las afueras.

Estoy escribiendo estas memorias en la encimera de la cocina con un cuchillo, ya que el iPad ya estaba conspirando contra la humanidad incluso antes de que lo sacáramos de la caja. En resumen, si alguien lee esto, espero que sirva de advertencia a las futuras generaciones, menos ingenuas.

Sea quien sea, escuche atentamente mi advertencia: ¡Por nada del mundo se le ocurra comprar una cama conectada a la nube de AWS!

El software de KDE funciona de manera local en tu equipo, directamente en tu ordenador, sin conectarse a ningún servicio en línea a menos que tú lo decidas. No tendrás que crear una cuenta para usar Krita; KDE Connect conecta todos tus dispositivos ÚNICAMENTE en tu red local doméstica o de trabajo, sin conectarse nunca a Internet; Kdenlive solo descargará recursos cuando se lo pidas explícitamente. Con KDE, todo tu software está bajo tu control absoluto y no recibirá órdenes de servidores en línea.

Al donar a KDE, garantizas que esa comunidad de software libre pueda seguir ofreciéndote aplicaciones y entornos que te permiten mantener el control, proteger tu privacidad y evitar que te causen problemas mientras duermes.

El color de los residuos

Caminando por el denso bosque, uno llega al Páramo Estéril de forma gradual. Rodeado de helechos, bajo la sombra de árboles de veinte metros de altura, apenas se percata de que, a partir de cierto punto, la maleza comienza a volverse más escasa.

Pero si uno se adentra lo suficiente en el páramo, lo nota. Pronto, no hay vegetación alguna bajo los pies. Los pocos árboles, con hojas amarillas y escasas, yacen a ras del suelo, con los troncos retorcidos y debilitados por la putrefacción.

Haz clic para revelar la dramática historia detrás de estos espeluznantes sucesos

Llegué a una aldea. El sendero que seguía se convirtió en un camino fangoso entre chozas destartaladas. Vi a poca gente, pero también estaban demacrados y arrugados, la mayoría solo podía caminar con dos bastones.

Me miraron con recelo y no respondieron a mi saludo. Seguí adelante apresuradamente, llegando pronto al límite norte del páramo.

La vegetación volvía a espesarse cuando divisé una cabaña y a un anciano fumando en pipa en el umbral.

—¿Vienes de la ciudad? —preguntó.

—Sí —respondí—. Es un lugar precioso.

—El sol te debe haber afectado los ojos si piensas eso —rió—. Ven, tómate algo y deja que se te pase el enfado.

Cansado de caminar, la idea de probar un poco de aguardiente casero se volvió más tentadora.

Le pregunté qué había llevado a la zona a un estado tan desolador.

—¿Ves? Cayó un meteorito en la propiedad del viejo Whateley, allá —dijo señalando vagamente hacia donde yo había venido.

Me contó cómo algo se había filtrado en la tierra, envenenando el agua del pozo y luego los cuerpos y las mentes de los habitantes de la granja.

La esposa había sido internada en un psiquiátrico; el hijo andaba suelto, desnudo, por el bosque. Al viejo Whateley lo encontraron vagando por la casa vacía, balbuceando en una lengua extranjera. Como el veneno también le oscureció la piel, la policía lo confundió con un mexicano y lo envió a El Salvador.

—Está creciendo, esa cosa que dejó el meteorito, ¿ves? Se come los árboles, los insectos y las bestias.

Se estremeció.

—¡¿En serio?! —exclamé sin aliento.

—¡Qué va, hombre! Ustedes, los de la ciudad, se creen cualquier chorrada. Hay un vertedero de basura electrónica río arriba. Hace unos años, cuando Windows 11 dejó de funcionar en los ordenadores, tiraron allí cincuenta mil ordenadores viejos. Los arrasaron con excavadoras y todo para que nadie pudiera llevárselos a casa. Cadmio, ¿ves? Esa porquería está en el río, en el aire, por todas partes, y bueno… —Señaló el páramo y se encogió de hombros.

—Aun así —dijo, mientras me rellenaba el vaso—, podría haber sido peor.

—¿Por qué?

—En el pueblo de al lado van a montar un centro de datos de Meta AI —se rió entre dientes—. Estamos jodidos durante una generación, pero esos cabrones están jodidos para siempre.

Me abstuve de decirle que Windows 13 saldría ese mismo año.

KDE combate la contaminación tecnológica con su proyecto KDE Eco. No solo reducen la huella de carbono del software, sino que también se aseguran de que todo su software funcione en ordenadores de baja potencia y supuestamente obsoletos.

Si te han hecho creer que necesitas un dispositivo nuevo porque una actualización de algún software privativo indeseable impedirá que funcione en el tuyo, piénsalo dos veces. Consulta la campaña End of 10 y descubre cómo tú también puedes combatir la obsolescencia programada.

Dona a KDE y ayuda a una comunidad global a seguir luchando por el medio ambiente… ¡y por tu bolsillo!

Estas historias «teatralizadas» sirven como ejemplos reales de cómo el software privativo (aquel que te restringe tu libertad como usuario de utilizarlo como prefieras) es no solo una cortapisa tecnológica, si no también una manera de hacerte dependiente de sus decisiones comerciales.

Con el software libre, tienes libertad. Y la comunidad de KDE crea un montón de software libre para darte la libertad que mereces. Empezar a utilizar KDE es descubrir un mundo nuevo de aplicaciones útiles y variadas que hacen que puedas utilizar tus equipos con libertad.

Pero para realizar toda esa labor, la comunidad de KDE necesita dinero para sufragar todos los gastos. El software que realizan es libre y gratuito, pero requiere un montón de infraestructura y manos de obra que no lo son.

La meta de donaciones era de 50K, y en dos semans ya ha sido sobrepasada y se acerca al ambiciosa meta de 75K.

¿Ya has donado a la comunidad que crea tu entorno de escritorio favorito? No lo pienses más y colabora con la cantidad que desees, y haz que estas historias de miedo se conviertan solo en ficción… aunque hay muchas otras amenazas ahí fuera…

• https://kde.org/es/fundraisers/yearend2025/