第 5 章 软件包更新

程序错误修复

BZ#834096

在此次更新之前，同时删除条目中的属性的更新可能会导致域目录服务器中止，并带有分段错误。在这个版本中，检查修改后的属性条目是否具有 NULL 值。现在，服务器可以如预期同时处理更新。

BZ#836251

在此次更新之前，get_entry 函数不接受 NULL pblock。因此，帐户 Usability 功能不会返回用户帐户过期和锁定状态的正确信息。在这个版本中，修改底层代码，以便 get_entry 函数现在接受 NULL pblock。

安全修复

CVE-2012-2678

389 Directory Server 处理密码更改的方式中发现了一个安全漏洞。如果 LDAP 用户更改了其密码，且目录服务器没有重启，则攻击者能够绑定到目录服务器，可以通过"unhashed"属性获取该用户的密码的纯文本版本。

CVE-2012-2746

找到，当 LDAP 用户的密码被改变时，启用了审计日志记录（默认为禁用），新密码以纯文本形式写入审计日志。这个更新引入了一个新的配置参数 "nsslapd-auditlog-logging-hide-unhashed-pw"，当设为 "on" （默认选项）时，防止 389 Directory Server 将纯文本密码写入审计日志。这个选项可以在 /etc/dirsrv/slapd-ID/dse.ldif 中配置。

安全修复

CVE-2012-0833

在 389 目录服务器守护进程(ns-slapd)使用证书组处理访问控制指令(ACI)的方式中发现了一个安全漏洞。如果定义了证书组的 LDAP 用户试图绑定到目录服务器，则会导致 ns-slapd 进入无限循环并消耗大量 CPU 时间。

程序错误修复

BZ#743979

在以前的版本中，389 目录服务器使用读/写锁定机制的 Netscape Portable Runtime (NSPR)实现。因此，服务器有时会停止对负载过重的请求做出响应。在这个版本中，原始锁定机制替换为 POSIX （可移植操作系统接口）读/写锁定机制。服务器现在始终在负载过重时响应。

BZ#745201

在以前的版本中，访问 LDAP 比较操作的日志记录中没有包括可辨识名称(DN)。因此，访问日志中缺少此信息。这个版本修改了底层源代码，以便记录 DN，并可在访问日志中找到。

BZ#752577

在以前的版本中，当 389 目录服务器负载非常重时，在网络出现大量负载和运行时，客户端连接有时会出现问题。当服务器向客户端发送简单 Paged Result (SPR)搜索结果时，当服务器有连接问题时，称为清理例程的 LDAP 服务器会错误地调用清理过程。因此，会发生内存泄漏，服务器会意外终止。在这个版本中修复了底层源代码，以确保清理任务被正确运行，且不会发生内存泄漏。因此，在服务 SPR 请求时，服务器不会终止或变得无响应。

BZ#757897

在以前的版本中，服务器无法有效地执行带有 Change Sequence Number (CSN)的某些操作。因此，在内容复制期间执行大量 CSN 操作时，ns-slapd 守护进程最多消耗 100% 的 CPU 时间。在这个版本中，底层源代码已被修改，以便有效地执行 CSN 操作。因此，可在内容复制过程中执行大量 CSN 操作，而无需性能问题。

BZ#757898

在以前的版本中，当检查简单身份验证和安全层(SASL)身份映射时，在 SASL GSSAPI 验证方法的底层代码中无法正确发布分配的内存。这个问题可能会在处理 SASL 绑定请求时导致内存泄漏，这最终会导致 LDAP 服务器因为分段错误而意外终止。在这个版本中，添加了正确释放内存所需的功能调用。内存泄漏不再发生，LDAP 服务器在这种情况下不再崩溃。

BZ#759301

在以前的版本中，389 目录服务器无法正确处理 Entry USN (Update Sequence Number)索引。因此，索引有时会与主数据库和搜索操作不同步，而对 USN 条目的搜索操作会返回不正确的结果。这个版本修改了 Entry USN 插件的底层源代码。因此，Entry USN 索引现在由服务器正确处理。

BZ#772777

在以前的版本中，搜索过滤器属性是规范化的，并且为搜索结果集中的每个条目重复编译正则表达式。因此，使用带有许多属性和子字符串的搜索过滤器会导致搜索性能不佳。在这个版本中，确保在应用前预先编译和预规范化搜索过滤器。当应用带有许多属性和子字符串子字符串的搜索过滤器时，这些更改提高了搜索性能。

BZ#772778

在以前的版本中，要缓存的 ACI （访问权限控制信息记录）的数量限制为 200。因此，根据 200 ACI 评估 Directory Server 条目失败，并显示以下错误消息：

acl_TestRights - cache overflown

在这个版本中，默认的 ACI 缓存限制增加到 2000，并允许通过配置文件条目 "cn=ACL Plugin,cn=config" 中的新参数 nsslapd-aclpb-max-selected-acls 来配置它。因此，除非超过了新限制，否则不会显示上述错误消息，现在可以在需要时更改限制。

BZ#772779

在以前的版本中，恢复命令包含一个包括无限循环的代码路径。因此，在从数据库备份执行恢复时，389 目录服务器有时会变得无响应。在这个版本中，从底层源代码中删除无限循环代码路径。因此，服务器在执行数据库恢复时不会停止响应。

BZ#781485

在以前的版本中，允许 ldapmodify 操作来修改 RUV (Replica Update Vector)条目。因此，在执行此类操作时，389 Directory Server 变得无响应。在这个版本中，不允许直接修改 RUV 条目。因此，服务器在执行此类操作时不会停止响应，并返回错误消息 advising usage of the CLEANRUV 操作。

BZ#781495

在以前的版本中，要识别 389 Directory Server 的重启事件，logconv.pl 脚本搜索服务器日志 "conn=0 fd=" string.因此，脚本会报告一个错误的服务器重启数量。在这个版本中，修改脚本以改为搜索 "conn=1 fd=" 字符串。因此，现在会返回正确的服务器重启数量。

BZ#781500

当从 LDIF (LDAP Data Interchange Format)文件重新载入数据库时，其中包含带有过时或停用的复制 master 的 RUV 元素时，更改日志会无效。因此，389 目录服务器发出了错误消息和需要重新初始化。在这个版本中，确保用户正确告知用户已过时或停用的复制 master，这些 master 已从 RUV 条目中删除。现在，在这种情况下，数据库会如预期重新载入。

BZ#781516

在以前的版本中，当非叶节点成为 tombstone 条目时，其子条目会丢失父子关系。因此，在子 tombstone 条目前，非叶的 tombstone 条目可能已被获取。在这个版本中修复了底层源代码，以便在删除非叶条目时也保持父子关系。因此，tombstones 现在以底部顺序正确获取。

BZ#781529

在以前的版本中，在更新 389 Directory Server 的受管条目条目之前，不会针对受管条目模板验证受管条目属性。因此，在更新没有包含在受管条目模板中的原始条目属性后，受管条目可能会被更新。在这个版本中，添加了一个检查，将修改后的属性与受管条目模板属性进行比较。因此，受管条目不会更新，除非受管条目模板中包含原始条目的修改属性。

BZ#781533

在以前的版本中，389 目录服务器不会在所有运行的任务完成前关闭。因此，当执行长时间运行的任务时，目录服务器有时会需要很长时间才能关闭。这个版本增强了底层源代码，在性能长时间运行任务期间检查服务器关闭请求。因此，即使处理长时间运行的任务，服务器也会在标准时间内关闭。

BZ#781537

在以前的版本中，389 目录服务器预期 authzid 属性的值被完全编码了 BER （基本编码规则）。因此，在使用代理授权执行 ldapsearch 命令时会返回以下错误：

unable to parse proxied authorization control (2 (protocol error))

在这个版本中，修改底层源代码，因此不需要完整的 authzid 值的 BER 编码。因此，上面描述的场景中不会返回任何错误。

BZ#781538

在以前的版本中，匹配规则 OID （对象标识符）的缓冲的固定大小为 1024 个字符。因此，匹配的规则 OID 会在其总长度超过 1024 个字符时被截断。在这个版本中，修改底层源代码以使用动态分配的缓冲区，而不是使用固定大小。因此，任何数量的匹配规则 OID 可以在不截断的情况下处理。

BZ#781539

在以前的版本中，在 "cn=config" 对象上执行 ldapsearch 命令会返回对象的所有属性，包括带有空值的属性。在这个版本中，确保带有空值的属性不会保存到 "cn=config" 中，并使用检查空属性来增强 ldapsearch 命令。因此，在上述场景中仅返回具有值的属性。

BZ#781541

在以前的版本中，使用代理用户作为执行操作的用户包含 main 用户执行的操作记录。在这个版本中，确保代理用户记录在搜索、add、mod、del 和 modrdn 操作的日志记录中。

BZ#784343

在以前的版本中，通过检查是否存在 .pid 文件来检查服务器是否离线，数据库升级脚本会检查。然而，在某些情况下，即使关联的进程已经终止，文件仍会存在。因此，升级脚本有时会假设 Directory Server 在线，即使服务器实际离线，也不会进行数据库升级。在这个版本中，添加了一个显式测试，用于检查 .pid 文件中引用的进程是否确实在运行。因此，升级脚本现在可以正常工作。

BZ#784344

在以前的版本中，repl-monitor 命令只使用主机名的子域部分进行主机识别。因此，具有相同子域部分的主机名（例如："ldap.domain1", "ldap.domain2"）被识别为单个主机，且生成不准确输出。在这个版本中，确保整个主机名用于主机识别。因此，所有主机名都被识别为独立的，repl-monitor 命令的输出是准确的。

BZ#788140

在以前的版本中，服务器使用非规范化 DN 字符串来执行内部搜索和修改操作，而代码用于修改操作预期的规范化 DN 字符串。因此，在使用非常规格式指定的域名执行复制时，会记录类似以下的错误消息：

NSMMReplicationPlugin - repl_set_mtn_referrals: could not set referrals for 
replica dc=example,dc=com: 32

在这个版本中，确保 DN 字符串在修改操作之前被规范化。因此，复制不会在上述场景中生成错误消息。

BZ#788722

在以前的版本中，389-ds-base/ldap/servers/snmp/ 目录包含没有版权标头的 .mib 文件。因此，由于版权原因，这些文件不能包含在某些 Linux 发行版中。这个版本将所有此类文件的信息合并到 redhat-directory.mib 文件中，该文件包含必要的版权信息，并确保它是目录中的唯一文件。因此，没有版权问题阻止 389 目录服务器包含在任何 Linux 发行版本中。

BZ#788724

在以前的版本中，可扩展搜索过滤器的底层源代码使用 strcmp 例程进行值比较。因此，使用带有二进制数据的可扩展搜索过滤器返回不正确的结果。这个版本修改了底层源代码以使用二进制感知功能。因此，可扩展的搜索过滤器可以与二进制数据正常工作。

BZ#788725

在以前的版本中，搜索过滤器的值规范化不会遵循使用的过滤器类型和匹配规则。因此，当对 search 属性语法使用不同的值时，搜索会尝试返回不正确的结果。在这个版本中，修改了底层源代码，以使用规范化敏感来匹配过滤属性和值的规则。因此，会根据匹配规则返回搜索结果。

BZ#788729

在以前的版本中，在 Directory 服务器上，数据库中子条目的 tombstones 会错误地处理。因此，如果数据库包含转换为 tombstones 的已删除条目，尝试重新索引 entryrdn 索引会失败，并显示以下错误消息：

_entryrdn_insert_key: Getting "nsuniqueid=ca681083-69f011e0-8115a0d5-f42e0a24,ou=People,dc=example,dc=com" failed

在这个版本中，389 目录服务器可以正确地处理子条目的 tombstones，entryrdn 索引现在可以成功重新索引且没有错误。

BZ#788731

在以前的版本中，RUV tombstone 条目被 entryrdn 索引错误地索引。因此，尝试搜索这些条目将无法成功。在这个版本中，确保对 entryrdn 索引中的 RUV tombstone 条目的正确索引，并尝试此类条目现在可以成功。

BZ#788741

在以前的版本中，DNA （分布式分配）插件对请求使用太短的超时来复制一系列 UID。因此，在带有高延迟的网络中使用复制与 DNA 添加用户有时会失败，返回以下出错信息：

Operations error: Allocation of a new value for range cn=posix ids,cn=distributed 
numeric assignment plugin,cn=plugins,cn=config failed

在这个版本中，此类复制请求的默认超时时间被设置为 10 分钟。因此，使用带有 DNA 的复制来添加用户时不会返回任何错误，操作会成功。

BZ#788745

在以前的版本中，当更改复制角色时，在 RUV 中更改序列号(CSN)不会被刷新。因此，服务器上的数据不一致。在这个版本中，确保在复制角色更改时刷新 CSN。因此，在前面提到的情形中，不再会出现数据不一致的问题。

BZ#788749

在以前的版本中，日志文件中不会明确报告模式文件中的错误。因此，信息可能会被错误地解释为 dse.ldif 文件中报告错误。在这个版本中，修改错误消息，以便它们包含找到错误的文件的名称和路径。

BZ#788750

在以前的版本中，服务器在升级后使用 nisDomain 模式的过时版本。因此，在升级后重启 389 Directory Server 会产生以下出错信息：

attr_syntax_create - Error: the EQUALITY matching rule [caseIgnoreMatch] is not 
compatible with the syntax [1.3.6.1.4.1.1466.115.121.1.26] for the attribute [nisDomain]

此更新可确保服务器使用最新版本的 nisDomain 模式。因此，升级后重启服务器不会显示任何错误。

BZ#788751

389 目录服务器之前在完成规范化操作后无法正确释放分配的内存。这会导致在服务器运行时发生内存泄漏。在这个版本中，底层代码可以正确释放内存，以便在这些情况下不再发生内存泄漏

BZ#788753

在以前的版本中，cn=monitor 模式中没有包括 "connection" 属性，这会导致访问控制信息(ACI)处理代码忽略 ACI。因此，当对 cn=monitor 执行匿名搜索时请求 connection 属性，即使默认 ACI 会拒绝连接属性。在这个版本中，即使属性不在 schema 中，也会处理 ACI。因此，如果 ACI 拒绝，则不会显示 connection 属性。

BZ#788754

在以前的版本中，在服务器运行时有时会发生几个内存泄漏错误。在这个版本中解决了所有内存泄漏错误，因此不会再发生它们。

BZ#788755

在以前的版本中，对于 389 目录服务器，IPv4-mapped IPv6 地址被视为独立的地址。因此，当此类地址与标准 IPv4 地址冲突时，会在服务器启动过程中报告错误。在这个版本中，确保每个 IPv4 映射 IPv6 地址的 IPv4 部分与现有的 IPv4 地址进行比较。因此，即使 IPv4 映射 IPv6 地址与标准 IPv4 地址冲突，服务器也会以无错误开头。

BZ#788756

在以前的版本中，389-ds-base man page 包含多个拼写错误和事实错误。在这个版本中修正了 man page，以便它们包含正确的信息，且没有拼写错误。

BZ#790491

在以前的版本中，在初始化目录服务器副本时有时会发生 NULL pointer dereference。因此，服务器会意外终止，并显示分段错误。在这个版本中，通过检查 NULL 值增强了副本初始化的底层源代码。因此，副本初始化总是成功完成。

BZ#796770

在以前的版本中，在带有孤立 tombstone 条目的操作过程中有时会发生双空闲错误。因此，当将孤立的 tombstone 条目传递给 tombstone_to_glue 功能时，Directory 服务器会意外终止。在这个版本中修复了获取上级 tombstone 条目的逻辑，并消除了将 tombstone 条目转换为孤立条目的机会。因此，意外的服务器终止不再发生在上述场景中。

BZ#800215

在以前的版本中，在 ldapcompare 命令代码中错误地处理内部循环。因此，对虚拟属性执行并发比较操作会导致 Directory 服务器变得无响应。在这个版本中解决了内部循环问题。因此，服务器在不出现问题的情况下执行并发比较操作。

BZ#803930

在以前的版本中，当升级 389 目录服务器时，会在实际升级步骤完成前启动服务器启动。因此，启动会失败并显示以下错误消息：

ldif2dbm - _get_and_add_parent_rdns: Failed to convert DN cn=TESTRELM.COM to RDN

在这个版本中，确保服务器在升级过程完成前不会启动。因此，服务器在升级后成功启动。

BZ#811291

在以前的版本中，当执行范围的搜索操作时，当删除条目时，范围读取操作的代码无法正确处理情况。因此，在负载过重时同时执行 delete 和 ranged search 操作会导致 Directory Server 意外终止。在这个版本中，底层源代码可以正确处理这种情况。因此，服务器不会在同时负载时执行删除和范围搜索操作前终止。

BZ#813964

当在高负载下对 389 目录服务器执行删除和搜索操作时，到堆栈缓冲区的 DB_MULTIPLE_NEXT 指针可能会被设置为无效的值。因此，指针的 dereference 会导致尝试访问没有为堆栈缓冲区分配的内存。这会导致服务器意外终止并出现分段错误。在这个版本中，DB_MULTIPLE_NEXT pointer 可以被正确测试。如果指针的值无效，则页面或值被视为已删除，并重新加载堆栈缓冲区。因此，在这种情况下不再会发生分段错误。

BZ#815991

ldap_initialize() 功能不是 thread-safe。因此，在使用带有许多复制协议的复制时，389 目录服务器在启动时意外终止。在这个版本中，确保调用 ldap_initialize() 功能会受到相互排除的保护。因此，当使用带有许多复制协议的复制时，服务器会正确启动。

BZ#819643

由于底层源代码中的错误，如果新字符串序列与某些字母不同，则尝试重命名 RDN (Relative Distinguished Name)字符串会失败。在这个版本中修复了代码，以便可以将 RDN 重命名为具有相同字符串序列，但大小写不同。

BZ#821542

在以前的版本中，重命名 DN 字符串时会忽略字母问题单信息。因此，如果新字符串序列仅在某些字母时有所不同，则 DN 字符串仅转换为小写，且问题单信息会丢失。在这个版本中，修改底层代码，以便现在可以将 RDN 重命名为具有相同字符串序列，但大小写不同。

BZ#822700

在以前的版本中，ACI 处理的代码不会拒绝错误指定的 DN。因此，在 ACI 中错误指定的 DN 会导致 389 Directory Server 在启动或在线导入过程中意外终止。在这个版本中，确保 ACI 处理的基本源代码拒绝错误指定的 DN。因此，服务器不会在这种情况下终止。

BZ#824014

在以前的版本中，代码直接处理 “entryusn” 属性修改的缓存条目。因此，在负载过重时，使用启用了引用完整性的 “entryusn” 和 “memberof” 属性执行 delete 和 search 操作时，服务器会意外终止。在这个版本中，确保不会直接在缓存中修改条目。因此，服务器会在前面描述的条件中执行搜索，而不会意外终止。

功能增强

BZ#683241

在以前的版本中，在初始操作结果返回 LDAP 客户端后，执行 post-operation 插件。因此，初始操作的一些结果可能不会立即可用。这个版本引入了 "betxnpreoperation" 和 "betxnpostoperation" 插件类型。这些类型的插件在初始操作的常规事务中运行。因此，当使用这些插件类型时，初始操作触发的操作会在完成初始操作前完成。

BZ#766322

在以前的版本中，无法轻松确定 LDAP 客户端应使用的默认搜索基础。因此，没有配置搜索基础的 LDAP 客户端会尝试针对 389 Directory Server 搜索。在这个版本中，在 root DSE (Directory Server Entry)中添加了一个新属性 defaultNamingContext。因此，客户端可以查询 root DSE 以获取 defaultNamingContext 属性的值，并使用返回的值作为搜索基础。

BZ#768086

在这个版本中引进了 nsslapd-minssf-exclude-rootdse 配置属性，带有可能的值 "on" 和 "off"。如果它的值是 "off" （默认值），服务器允许客户端访问根 DSE，即使 Security Strenght Factor (SSF) 值小于 nsslapd-minssf 属性值。因此，即使剩余的服务器需要 SSL/TLS，也可以允许访问根 DSE。

BZ#768091

在以前的版本中，对于 Managed Entry Config 条目不允许 delete 操作。因此，尝试删除这些条目会被拒绝，并显示以下错误消息：

ldap_delete: Server is unwilling to perform (53)
additional info: Not a valid operation.

在这个版本中，修改底层源代码，以便允许删除 Managed Entry Config 条目，并可成功执行。

BZ#781501

在以前的版本中，在 389 目录服务器中的 LDAP 客户端无法使用扩展用户帐户信息。在这个版本中，增加了对帐户 Usable Request Control 的支持，它允许 LDAP 客户端获得扩展用户帐户信息。

BZ#788760

在以前的版本中，logconv.pl 脚本只能为文件或请求的周期生成操作摘要。在这个版本中引进了用于生成每秒统计的 -m 选项，使用 -M 选项生成每分钟的统计数据。统计数据以 CSV 格式生成，适合进一步处理。

BZ#790433

在以前的版本中，所有新创建的条目都必须手动添加到组中。在这个版本中，添加了一个新的插件，这样可确保在与特定条件匹配时自动将每个新条目添加到组中。

安全修复

CVE-2012-5659

它发现，/usr/libexec/abrt-action-install-debuginfo-to-abrt-cache 工具没有足够地清理其环境变量。这可能会导致从非标准目录（如 /tmp/）加载并运行 Python 模块。一个本地的攻击者可以利用此漏洞将其权限升级到一个brt 用户的权限。

CVE-2012-5660

在 ABRT 处理用于存储崩溃信息的目录的方式中发现了一个竞争条件。具有无人权限的本地攻击者可以利用此漏洞执行符号链接攻击，可能会允许他们将权限升级到 root。

安全修复

CVE-2012-1106

如果启用了 ABRT 中的 C 处理程序插件（默认安装了 abrt-addon-ccpp 软件包）和 abrt-ccpp 服务，并且 sysctl fs.suid_dumpable 选项被设置为 "2" （默认为 "0"），则设置用户 ID (setuid)程序的核心转储是不安全的组 ID 权限。这可以允许本地无特权用户从 setuid 进程的内核转储文件获取敏感信息，否则它们将无法访问。

CVE-2011-4088

ABRT 不允许用户在提交敏感数据之前轻松搜索收集的崩溃信息。这可能会导致用户意外通过提交的崩溃报告公开敏感信息。在这个版本中，添加了在所有收集的数据间搜索的功能。请注意，这个修复不适用于默认配置，其中报告会发送给红帽客户支持。它只对向 Red Hat Bugzilla 发送信息的用户生效。

程序错误修复

BZ#809587, BZ#745976

当使用 ABRT GUI 使用菜单按钮报告错误报告 ABRT 的问题时，会创建一个空错误。在这个版本中，删除了这个按钮，因为它仅用于测试目的。

BZ#800828

当新转储目录通过 reporter-upload 程序保存到 /var/spool/abrt-upload/ 时，ABRT 守护进程将转储目录复制到 /var/spool/abrt/，并递增了之前已递增的崩溃计数。由于崩溃计数递增两次，因此转储目录被标记为本身的副本并删除。在这个版本中，远程上传的转储目录不再递增崩溃计数，从而解决了这个问题。

BZ#747624

/usr/bin/abrt-cli 工具缺少 man page。在这个版本中，添加了 abrt-cli (1) 手册页。

BZ#796216

分析内核 oops 的行会导致 line 变量释放两次。在这个版本中解决了这个程序错误，内核 oopses 已被正确地分析。

BZ#770357

在此次更新之前，因为 mailx 插件缺少了 mailx 插件的默认配置文件，通过 mailx 插件的 ABRT 电子邮件通知无法正常工作。在这个版本中，为 mailx 插件添加了一个默认配置文件： /etc/libreport/plugins/mailx.conf。

BZ#799352

如果系统上未安装 dbus，启动 ABRT 守护进程会导致错误。在这个版本中，删除了 dbus 依赖项，即使系统上没有安装 dbus，也可以启动 ABRT 守护进程。

BZ#727494

之前版本的 ABRT 静默允许用户多次向 Bugzilla 报告相同的问题。现在，此行为已被更改，如果报告已经提交，用户会被警告。允许电子邮件附加的最大大小以及本地日志增加到 1 MB。这解决了在通过电子邮件发送或使用 日志记录器 插件进行本地存储时更长的报告丢失的问题。

BZ#746727

在这个版本中修复了一个程序错误，导致 /tmp/anaconda-tb permission 文件有时被识别为二进制文件，有时作为文本文件。

BZ#771597

ABRT 2.x 添加了新的守护进程。但是，从 ABRT 1.x 过渡过程中，并非所有添加的守护进程都被正确启用。在这个版本中，所有守护进程都会正确启动，并从 ABRT 1.x 更新至 ABRT 2.x 可以正常工作。

BZ#751068

abrt-cli 软件包以前依赖于 abrt-addon-python 软件包。这导致用户无法通过 Yum 删除 abrt-addon-python 软件包，因为也会删除 abrt-cli。在这个版本中，添加了一个新的 abrt-tui 软件包，它会拉取所有所需的软件包，以便在命令行上使用 ABRT，从而解决上述问题。“”

BZ#749100

在以前的版本中，ABRT 工具中的一些字符串没有标记为可转换。在这个版本中解决了这个问题。

BZ#773242

当 ABRT 尝试移动数据时，用户会返回一个误导消息，通知创建了转储的副本。这个版本改进了这个消息，以便清除 ABRT 不复制数据，而是移动数据。

BZ#811147

当后端包含由函数参数组成的文本的帧时，GDB 中的后端打印机会截断参数。回溯追踪解析器无法处理截断的参数，也不会正确格式化它们。在这个版本中，backtrace 解析器检测到截断的字符串，表示函数参数已被截断。然后，解析器状态会适应这种情况，并正确解析回溯追踪。

BZ#823411

Bugzilla API 中的更改阻止 ABRT bugzilla 插件正常工作。在这个版本中，修改源代码以使用新的 Bugzilla API 解决了这个问题。

BZ#758366

这个版本修复了各种 ABRT 配置文件的评论中的拼写错误。

BZ#625485

以前的 ABRT 版本生成无效的 XML 日志文件。在这个版本中解决了这个问题，每个非 ASCII 字符都被转义。

BZ#788577

与 ABRT 不同，python-meh 并没有在其问题报告中包含环境变量列表。环境变量列表是分配所创建漏洞的有用信息。在这个版本中，代码生成环境变量列表并将其传递给 libreport 被添加到 python-meh，python-meh 生成的问题报告现在包含环境变量列表。

安全修复

CVE-2012-1530,CVE-2013-0601,CVE-2013-0602,CVE-2013-0603,CVE-2013-0604,CVE-2013-0605,CVE-2013-0606,CVE-2013-0607,CVE-2013-0608, CVE-2013-0609 ,CVE-2013-0609,CVE-2013-0610,CVE-2013-06 11, CVE-2013-06 12, CVE-2013-06 13, CVE-2013- 0614, CVE-2013-06 15, CVE-2013-06 16, CVE-2013-06 17, CVE-2013-06 18 ,CVE-2013-0619,CVE-2013-0620, CVE-2013-0620, CVE-2013-06 21, CVE-2013 -0623, CVE-2013-0626

在这个版本中，Adobe Reader 中修复了几个安全漏洞。这些漏洞在 APSB13-02 的 APSB13-02 中详细介绍。专门制作的 PDF 文件可能会导致 adobe Reader 崩溃，或者可能在打开时以运行dobe Reader 的用户执行任意代码。

BZ#674199

在此次更新之前，alsactl 工具会尝试初始化所有声音卡（如果 /etc/asound.state 文件不存在）。因此，SElinux 可能会拒绝对不存在的设备的访问。这个版本修改了底层代码，以便只有从 udev 中调用一次 alsactl。

BZ#650113

在这个版本中，alsa-delay 和 alsaloop 工具已添加到 alsa-utils 中，以管理系统音频延迟。

程序错误修复

BZ#690058

在此次更新之前，Kickstart 文件中的 noprobe 参数没有传递给最后一个已知的代码路径。因此，Anaconda 无法正确满足 noprobe 请求。这个版本改进了代码，以便参数传递给最后一个已知的代码路径。因此，根据 kickstart 文件中的 device 命令载入设备驱动程序。

BZ#691794

在以前的版本中，提供整个阵列访问不正确的设备文件用于在 设备映射器多路径(DM-Multipath )环境中初始化引导装载程序。因此，系统无法引导。Anaconda 已修改，以枚举阵列中的所有驱动器，并在每个驱动器上初始化引导装载程序。现在，系统会如预期引导。

BZ#723404

在不使用网络的情况下从介质执行最小安装时，网络设备没有正常工作的默认网络配置。因此，使用 ifup 命令重启后启动网络设备会失败。在这个版本中，在默认网络设备配置文件中将 BOOTPROTO 的值设置为 dhcp。因此，在上述场景中，可以使用 ifup 命令成功激活网络设备。

BZ#727136

当 Anaconda 将 PowerPC Reference Platform (PReP)引导分区放在不同的驱动器中时，系统无法引导。在这个版本中，PReP 引导分区被强制位于与 root 分区相同的驱动器中。因此，系统会按预期引导。

BZ#734128

由于一个回归，当在带有预先存在的 逻辑卷 (LV)的系统中安装时，安装程序无法正确检测包含镜像逻辑卷的 逻辑卷管理 配置。因此，在安装之前创建的镜像逻辑卷不会被显示且无法在 kickstart 中使用。处理镜像逻辑卷的代码已更新，以使用因为以前的程序错误修复而更改的 udev 信息。因此，安装程序可以正确地检测到镜像逻辑卷。

BZ#736457

在 IBM System z 构架中，只有一个 CPU 的 z/VM 客户机无法读取安装环境使用的 Conversational Monitor 系统(CMS)配置文件。因此，只有一个 CPU 的 z/VM 客户机的用户必须通过内核引导行中的所有安装环境配置值，或者在安装环境启动时在交互式提示中提供信息。这个版本改进了代码，以便在挂载 /proc 文件后检测客户机数量。因此，具有一个 CPU 的客户机可以将引导设备在线，以便 CMS 配置文件可以按预期进行读取和自动安装。

BZ#738577

Anaconda 生成的 kickstart 中的 repo 命令包含基本安装存储库信息，但应该只包含由 repo kickstart 命令或图形用户界面(GUI)添加的其他存储库。因此，在使用 kickstart 文件时，为安装生成的 repo 命令会导致失败。在这个版本中，Anaconda 只为额外的软件仓库生成 repo 命令。因此，对于介质安装，Kickstart 不会失败。

BZ#740870

在 上手动安装级别 0 或级别 1 的 BIOS RAID 设备会在安装程序中生成 Intel Media Storage Manager (IMSM)元数据读取错误。因此，用户无法安装到这样的设备。在这个版本中，Anaconda 可以正确地检测到 BIOS RAID 级别 0，级别 1 IMSM 元数据。因此，用户可以安装到这些设备中。

BZ#746495

LiveCD 环境缺少 devkit-disks 实用程序的传统符号链接。因此，修改的自动挂载程序行为的调用不会被正确执行。代码已更新，以调用正确的非传统二进制文件。因此，在安装过程中使用的 USB 设备不再被自动挂载。

BZ#747219

控制台 tty1 置于 Anaconda 控制之下，但没有在 Anaconda 退出时返回。因此，init 没有权限修改 tty1 的设置，以便在 Anaconda 退出时启用 Ctrl C功能，这会导致在安装程序提示用户意外终止后按 +Ctrl+Alt+Delete 组合键时启用CtrlC无法正常工作。将 tty1 控制返回到 init 的代码添加到 Anaconda 中。因此，Ctrl+C 可以正常工作。

BZ#750126

buildinstall 脚本中使用的 Bash 版本有一个影响 =~ 运算符解析的错误。此操作器用于在包含文件时检查架构。因此，一些提供 grub 命令的二进制文件存在于安装程序的 x86_64 版本中，但 i686 介质中缺少。Bash 代码已被修改以防止这个错误。现在，在 i686 介质上也存在二进制文件，用户现在可以按预期从安装介质中使用 grub 命令。

BZ#750417

由于卸载序列中的错误排序，动态链接器无法链接库，这会导致 mdadm 工具无法正常工作，并使用 127 的状态代码退出。在这个版本中解决了卸载序列中的排序，因此动态链接器和 mdadm 现在可以正常工作。

BZ#750710

没有检查作为 stdout 和 stderr 传递的文件描述符是否不同。因此，如果 stdout 和 stderr 描述符相同，则使用它们进行写入会导致覆盖，日志文件不包含预期所有行。在这个版本中，如果 stdout 和 stderr 描述符相同，则只有一个其中一个用于 stdin 和 stderr。因此，日志文件包含 stdout 和 stderr 中的所有行。

BZ#753108

当在带有 PowerPC Reference Platform (PReP)分区的系统中安装时，应该不会修改 PReP 分区。在这个版本中解决了这个问题，PReP 分区除了在安装过程中使用的 PReP 分区不会被修改。因此，旧的 PReP 分区不会被更新。

BZ#754031

内核命令行 /proc/cmdline 以 \n 结尾，但安装程序只检查 \0。因此，当 devel 参数是命令行中的最后一个参数时，不会检测到 devel 参数，安装会失败。这个版本改进了代码，同时检查 \n。因此，devel 参数会被正确解析，安装可以如预期进行。

BZ#756608

IBM System z 上的网络安装检查使用 ping 命令提供的名称服务器地址。限制 ICMP ECHO 数据包的环境将导致此测试失败，停止安装，询问用户是否提供名称服务器地址是否有效。因此，如果此测试失败，使用 kickstart 的自动安装将停止。在这个版本中，如果 ping 测试失败，则 nslookup 命令用于验证提供的名称服务器地址。如果 nslookup 测试成功，则 kickstart 将继续安装。因此，在非互动模式下在 IBM System z 上自动化网络安装将在上述场景中按预期完成。

BZ#760250

当使用多个活跃网络接口和 ksdevice = link 命令配置系统时，链接 规格没有被一致性用于设备激活和设备配置。因此，有时使用针对安装程序激活的设备的设置配置有链接状态的其他网络设备。在这个版本中，代码已被改进，现在会在设备激活和设备配置时使用 链接 规格引用同一设备。因此，当在安装过程中存在多个具有链接状态的设备时，ksdevice = 要激活的设备 链接 规格，并由安装程序使用不会导致另一个设备具有链接状态的错误配置。

BZ#766902

使用 Anaconda GUI 主机名屏幕配置网络时，缺少 Configure Network 按钮的键盘快捷方式。在这个版本中，添加了 C 键盘快捷键。现在可以使用 Alt+C 键盘快捷键调用网络配置。

BZ#767727

Anaconda 中的 Ext2FS 类可以正确地设置为 8 TB，但 Ext3FS 和 Ext4FS 在不覆盖这个值的情况下继承这个值。因此，当试图创建大于 8Tb 的 ext3 或者 ext4 文件系统时，安装程序不允许它。在这个版本中，新 ext3 和 ext4 文件系统大小的安装程序上限已从 8Tb 调整为 16TB。现在，安装程序允许创建最多 16TB 的 ext3 和 ext4 文件系统。

BZ#769145

Anaconda dhcptimeout 引导选项无法正常工作。NetworkManager 使用了 45 秒的 DHCP 事务超时，而无需配置不同的值。因此，在某些情况下，NetworkManager 无法获取网络地址。NetworkManager 已扩展为从 DHCP 配置文件读取 timeout 参数，并使用该参数而不是默认值。Anaconda 已更新，将 dhcptimeout 值写入用于安装的接口配置文件。因此，引导选项 dhcptimeout 可以正常工作，NetworkManager 现在会在 DHCP 客户端配置文件中指定的 DHCP 事务期间等待获取地址。

BZ#783245

在此次更新之前，Anaconda 安装镜像中没有 USB3 模块。因此，在安装过程中 Anaconda 不会检测到 USB3 设备。在这个版本中，在安装过程中检测到 USB3 模块和 USB3 设备。

BZ#783841

当 kickstart clearpart 命令或安装程序的自动分区选项用于清除系统磁盘的旧数据时，如逻辑卷和软件 RAID 等复杂存储设备，LVM 工具会导致安装过程变得不响应，因为死锁。因此，当尝试从复杂存储设备中删除旧元数据时，安装程序会失败。在这个版本中，将与安装程序打包的 udev 规则中的 LVM 命令更改为使用不太严格的锁定方法，安装程序被修改为从磁盘中显式删除分区，而不是只是在旧内容上创建新的分区表。因此，LVM 在上述场景中不再挂起。

BZ#785400

/usr/lib/anaconda/textw/netconfig_text.py 文件尝试从错误的位置导入模块。因此，Anaconda 无法启动，并会生成以下出错信息：

No module named textw.netconfig_text

代码已被修正，在描述的场景中不再发生错误。

BZ#788537

在此次更新之前，kickstart 存储库条目没有使用全局代理设置。因此，如果未明确指定代理，在限制为使用代理安装的网络时，当尝试连接到 kickstart 文件中的其他存储库条目时，将意外终止。如果额外存储库没有为其设置代理，则此更新会将代码更改为使用全局代理。因此，将使用全局代理设置，在描述的场景中安装会如预期进行。

BZ#800388

kickstart pre 和 post 安装脚本没有 Anaconda 使用的代理的信息。因此，在预安装和安装后脚本（仅限于使用代理）的预安装和安装后脚本等程序将无法正常工作。 在这个版本中，设置了 PROXY、PROXY_USER、PROXY_PASSWORD 环境变量。因此，pre 和 post 安装脚本现在可以访问 Anaconda 使用的代理设置。

BZ#802397

在 kickstart 部分 命令中使用- onbiosdisk=NUMBER 选项有时会导致安装失败，因为 Anaconda 无法找到与指定 BIOS 磁盘驱动器匹配的磁盘。希望使用 BIOS 磁盘编号来控制 kickstart 安装的用户无法成功安装 Red Hat Enterprise Linux。这个版本调整了与 BIOS 磁盘号匹配的 Anaconda 中的比较，以确定 Linux 设备名称。因此，希望使用 BIOS 磁盘编号来控制 kickstart 安装的用户现在可以成功安装 Red Hat Enterprise Linux。

BZ#805910

由于一个回归，当在 Rescue 模式下运行没有或仅未初始化磁盘的系统时，Anaconda 存储子系统不会在使用选项列表显示 GUI 前检查是否存在 GUI。因此，当选择的用户 继续安装 程序时，安装程序会意外终止，并显示回溯信息。在这个版本中，添加了一个检查是否有 GUI，并在没有 GUI 时回退到 TUI。因此，用户会告知用户在上述场景中缺少可用磁盘。

BZ#823810

当在固件引导模式中使用带有 Qlogic qla4xxx 设备的 Anaconda 时，并在 BIOS 中设置 iSCSI 目标（启用或禁用），设备会公开为 iSCSI 设备。但是在这个模式中，安装程序使用的 iscsiadm 和 libiscsi 工具无法处理设备。因此，安装程序在检查存储设备期间，安装会失败。在这个版本中，安装程序不会尝试管理使用 iscsiadm 或 libiscsi 的 qla4xxx 固件设置的 iSCSI 设备。因此，在固件模式中由 qla4xxx 设备设置的 iSCSI 目标的环境中进行安装可以成功完成。

注意

固件引导模式通过 qla4xxx.ql4xdisablesysfsboot 引导选项打开和关闭。在这个版本中，它会被默认启用。

功能增强

BZ#500273

不支持将 iSCSI 连接绑定到网络接口，在单一子网中为设备映射器多路径(DM-Multipath)连接使用多个 iSCSI 连接到目标的安装需要。因此，DM-Multipath 连接不能在单个子网中使用，因为所有设备都使用默认网络接口。在这个版本中，在 “Advanced Storage Options” 对话框中添加了 Bind targets to network interfaces 选项。打开后，特别为所有活动网络接口发现的目标可供选择和登录。对于 kickstart 安装，可以使用新的 iscsi - iface 选项指定应绑定到目标的网络接口。使用接口绑定后，必须绑定所有 iSCSI 连接，即表示必须在 kickstart 中为所有 iscsi 命令指定- iface 选项。可以使用 kickstart network 命令和 Kickstart network 命令激活 iSCSI 连接所需的网络设备，或使用 “高级存储选项” 对话框中的 配置网络 按钮（配置该设备时，也可在安装程序中激活该设备）。“”现在，可以在安装过程中使用不同网络接口为 iSCSI 设备配置和使用 DM-Multipath 连接。

BZ#625697

curl 命令行工具不在安装镜像文件中。因此，在 kickstart 的 %pre 部分中无法使用 curl。在这个版本中，在 kickstart 的 %pre 部分中可以使用 curl 到安装镜像中。

BZ#660686

添加了对使用 IP over InfiniBand (IPoIB)接口安装的支持。因此，可以使用 IPoIB 网络接口安装直接连接到 InfiniBand 网络的系统。

BZ#663647

在 kickstart volgroup 命令中添加了两个新选项，以指定最初未使用的空间（以 MB 为单位）或卷组总大小的百分比。这些选项只适用于在安装过程中创建的卷组。因此，用户可以在新卷组中为快照保留空间，同时仍对同一卷组中的逻辑卷使用 - grow 选项。

BZ#671230

GPT 磁盘标签现在用于大小为 2.2 TB 并更大的磁盘。因此，Anaconda 现在允许安装到大小 2.2 TB 和更大磁盘，但安装的系统并不总是在非EFI 系统中正常引导。在安装过程中可以使用大小 2.2 TB 和更大磁盘的磁盘，但只能用作数据磁盘；它们不应用作可引导磁盘。

BZ#705328

当接口配置文件由配置应用程序（如 Anaconda ）创建时，NetworkManager 通过对现有配置文件名称进行哈希来生成 通用唯一 IDentifier (UUID)。因此，在多个安装的系统中为给定网络设备名称生成相同的 UUID。有了这个更新，NetworkManager 的 Anaconda 会生成一个随机 UUID，因此不必通过对配置文件名称进行哈希来生成连接 UUID。因此，所有安装系统的每个网络连接都有不同的 UUID。

BZ#735791

当安装程序使用 noipv6 引导选项或 network - nopipv6 kickstart 命令禁用 IPv6 支持时，或使用加载程序 文本用户界面 (TUI)的 “Configure TCP/IP” 屏幕，在安装过程中没有为 IPv6 配置 IPv6，安装系统上的 IPv6 内核模块会被禁用。

BZ#735857

需要在安装期间为使用 Anaconda 的图形用户界面添加 的光纤通道 (FCoE)设备配置 VLAN 发现选项。Anaconda 安装程序创建的所有 FCoE 设备都配置为通过 fcoemon 守护进程执行 VLAN 发现，方法是将其配置文件的 AUTO_VLAN 值设置为 yes。在 “Advanced Storage Options” 对话框中添加了新的 “Use auto vlan” 复选框，它由 “Advanced Storage Devices” 屏幕中的 Add Advanced Target 按钮调用。因此，当在 Anaconda 中添加 FCoE 设备时，现在可以在 “Advanced Storage Options” 对话框中 “使用 auto vlan” 复选框配置设备的 VLAN 发现选项。FCoE 设备配置文件的 AUTO_VLAN 选项的值 /etc/fcoe/cfg-device 会相应地设置。

BZ#737097

安装镜像中不存在 lsscsi 和 sg3_utils。因此，无法维护 Data Integrity 字段 (DIF)磁盘。在这个版本中，在安装镜像中添加了 lsscsi 和 sg3_utils，现在可以在安装过程中使用维护 DIF 磁盘的工具。

BZ#743784

Anaconda 使用 biosdevname 在 /etc/fcoe/ 目录下创建 FCoE 配置文件，它是 FCoE BFS 的所有可用以太网接口。但是，它不会为 FCoE 接口添加 ifname 内核命令行参数，该参数会在安装过程中发现 FCoE 目标后处于离线状态。因此，在后续重启后，系统会尝试在 /etc/fcoe/ 中找到旧的风格的 ethX 接口名称，这与使用 biosdevname Anaconda 创建的文件不匹配。因此，因为缺少 FCoE 配置文件，因此不会在这个接口上创建 FCoE 接口。因此，在 FCoE BFS 安装过程中，当以太网接口在发现目标后离线时，FCoE 链接重启后不会出现。在这个版本中，为所有 FCoE 接口添加了 dracut ip 参数，包括在安装过程中离线的那些参数。因此，在安装过程中断开连接的 FCoE 接口重启后将激活。

BZ#744129

在 kickstart 中使用 swap -- recommended 命令安装可创建大小为 2 GB 的交换文件，再加上安装的 RAM 大小，而不考虑安装的 RAM 量。因此，具有大量 RAM 的机器会延长调用 oom_kill syscall 被调用 oom_kill 系统调用前的时间，即使出现故障情况。在这个版本中，swap- recommended 的 swap 大小计算被修改，以满足文档 https://access.redhat.com/site/solutions/15244 中推荐的值，对于 swap kickstart 命令添加了- hibernation 选项，并在 GUI/TUI 安装中作为默认值。因此，如果使用 swap- recommended，则具有大量 RAM 的机器现在具有合理的 交换 大小。但是，休眠可能无法用于此配置。如果用户想要使用休眠，则他们应使用 swap -hibernation。

BZ#755147

如果为 FCoE 引导配置了多个以太网接口，则默认只打开主接口，且不会配置其他接口。在这个版本中，在安装过程中为 FCoE 使用的所有网络接口设置 ifcfg 配置文件中的 ONBOOT=yes 值。因此，所有用于安装 FCoE 存储设备的网络设备重启后会自动激活。

BZ#770486

在这个版本中，在安装环境中添加了 Netcat (nc)网络工具。用户现在可以在 Rescue 模式下使用 nc 程序。

BZ#773545

virt-what shell 脚本已添加到安装镜像中。用户现在可以在 kickstart 中使用 virt-what 工具。

BZ#784327

固件文件只从驱动程序更新磁盘(DUD)上的 $prefix/lib/firmware 路径中的 RPM 文件加载。在这个版本中，在要搜索固件的路径中添加 $prefix/lib/firmware/updates 目录。包含固件更新的 RPM 文件现在可以在 %prefix/lib/firmware/updates 中包含固件文件。

BZ#723350

在以前的版本中，基础 atlas 软件包中的二进制文件包含来自不兼容的指令集的 illegal 指令(3DNow!)。因此，会显示 "Illegal 指令" 错误。此更新禁用指令集的使用。

程序错误修复

BZ#803349

在以前的版本中，如果服务器节点名称超过大约 80 个字符，则没有足够的信息来确定审计记录是否是同一事件的一部分。在这个版本中，这个问题已被解决。

BZ#797848

在这个版本中解决了 audit.rules (7) man page 中的拼写错误。

BZ#658630

在此次更新之前，如果审计规则有拼写错误，或者 Linux 内核不支持该命令，则会触发错误，并可以停止处理规则，或者作为其他选项，您可以忽略所有错误，在这种情况下，可以完成所有错误，但返回成功。在这个版本中，为 auditctl 引进了 "-c" 选项，它的工作方式类似于 ignore 选项，但如果有任何规则触发错误，"-c"选项会返回失败。请注意，与 ignore 选项一样，"-c"选项将继续处理所有审计规则。

BZ#766920

此发行版本添加了对一个新的内核审核功能的支持，允许字段比较。对于每个审计事件，Linux 内核会收集有关导致事件的信息。现在，您可以使用 "-C" 选项来比较： "auid", "uid", "euid", "suid", "fsuid", 或 "obj_uid"; 和 "gid", "egid", "sgid", "fsgid", 或 "obj_gid"。这两个组无法混合使用。比较可以使用 equal 或 not equal 运算符。请注意，为了使这个改进正常工作，系统必须引导 Linux 2.6.32-244 内核或更新版本。

BZ#759311

在以前的版本中，当在批处理模式中使用 Augeas 时，"--autosave"选项无法正常工作，这会导致配置更改没有被保存。因此，配置更改只能保存在交互模式中。此更新可确保批处理模式中的"--autosave"选项功能如预期。

BZ#781690

在此次更新之前，当解析 GRUB 配置文件时，Augeas 没有正确解析"password"命令的"加密"选项。相反，它会将"加密"部分解析为密码，并将密码哈希解析为第二个"menu.lst"文件名。此更新可确保在解析 GRUB 配置文件时正确解析 password 命令的"加密"选项。

BZ#820864

在以前的版本中，8lueeas 无法解析包含挂载选项的 /etc/fstab 文件，并带有等号，但没有值。在这个版本中修复了 fstab lens，以便它可以处理这样的挂载选项。现在，Augeas 可以解析包含挂载选项的 /etc/fstab 文件，并带有等号，但没有正确值。

BZ#628507

在以前的版本中，finite-automata-DOT 图形工具(fadot)不支持 -h 选项。因此，当使用 -h 选项启动 fadot 时会显示 "Unknown option" 信息。在这个版本中，增加了对 -h 选项的支持，并确保在使用 选项启动时显示 fadot 时显示帮助信息。

BZ#808662

在以前的版本中，Augeas 没有可以解析 /etc/mdadm.conf 文件。因此，将物理服务器转换为虚拟客户机 Virt-P2V 的工具无法转换 MD 设备上的物理主机。这个更新添加了一个新的 lens 来解析 /etc/mdadm.conf 文件，启用 Virt-P2V 来按预期转换 MD 设备中物理主机。

BZ#689717

在此次更新之前，如果文件没有正确格式化，SSSD 配置文件将无法解析。因此，authconfig 工具可能会意外终止。在这个版本中，错误会被正确处理，配置文件会被备份，并创建新的文件。

BZ#708850

在此次更新之前，man page "authconfig (8) " 是指不存在的过时配置文件。在这个版本中，修改 man page 以指向 authconfig 修改的配置文件。

BZ#749700

在此次更新之前，当 SSSD 配置被更新时，会设置已弃用的 "krb_kdcip" 选项而不是 "krb5_server" 选项。这个版本修改了 SSSD 配置设置，以使用 "krb5_server" 选项来设置 Kerberos KDC 服务器地址。

BZ#755975

在以前的版本中，当使用 "--savebackup" 选项时，authconfig 命令总是返回退出值 "1"，因为处理系统中的不存在配置文件。在这个版本中，即使一些配置文件可由 authconfig 处理，则退出值为 "0"。

BZ#731094

在以前的版本中，authconfig 工具不支持 IPA 后端的 SSSD 配置。在这个版本中，可以通过 ipa-client-install 命令将 IPAv2 域加入到系统中。

BZ#804615

在这个版本中，在配置此文件时，ss_sss 模块也会在 nsswitch.conf 文件的"services"条目中使用。

错误修复

BZ#870929

在启动序列过程中，当自动挂载守护进程使用内部主机映射时，automount 会意外终止，并带有分段错误。这个程序错误已被解决，在上述场景中不再崩溃。

BZ#772946

使用包含映射条目删除问题的最新更改引入了包括映射键查找的新问题。上一个补丁中使用的条件太宽，映射键查找机制无法在包含的多挂载映射条目中查找密钥。现在，这个条件已被修改，在多挂载映射条目中的密钥可以被正确找到。

BZ#772356

检查挂载位置的有效性的功能旨在仅检查映射位置错误的一小部分。最近进行了改进的修改，报告此验证功能中的逻辑测试。因此，测试的范围是广泛的，这会导致 automount 报告假的失败。在这个版本中，故障逻辑测试已被修复，不再会发生假的故障。

BZ#790674

在以前的版本中，autofs 子挂载会错误地处理关闭同步和锁定限制。因此，当子挂载过期时，automount 可能会变得无响应。有了这个更新，只有在通过状态 ST_SHUTDOWN、ST_SHUTDOWN_PENDING 或 ST_SHUTDOWN_FORCE，或者当状态更改为 ST_READY 后，子挂载才会关闭。

BZ#753964

在此次更新之前，两个 IPv6 兼容性功能被错误地包含在 libtirpc 库的 autofs 接口中。这导致 autofs IPv6 RPC 代码无法正常工作。在这个版本中，autofs 的 libtirpc 接口代码已被修复。

BZ#782169

将旧的 auto.net 脚本用于主机映射时，脚本中的错误处理多次发生导出会阻止脚本返回任何导出路径。这个程序错误已通过修改脚本来仅选择唯一导出列表来解决，从而消除了重复导出。

BZ#787595

由于对 mount.nfs 工具的更改可以利用对内核中 NFS 挂载选项的支持，因此 RPC 处理已从 mount.nfs 移到内核。但是，内核 RPC 必须等待对无法超时的服务器的 RPC 请求，在尝试自动挂载到不可用的服务器时，会造成非常慢的交互式响应。这个版本更改了 autofs RPC 代码，以早期检测这种情况，并尽快提供正确的错误消息。

BZ#760945

在以前的版本中，虽然 /net/ 和 /misc/ 目录被默认 /etc/auto.master 工具完全使用，但它们没有在 autofs RPM 软件包中指定。因此，rpm 工具将其报告为不由任何软件包所有。在这个版本中，这两个目录都添加到 autofs spec 文件中。

BZ#745527

在以前的版本中，如果没有参数调用，autofs init.d 脚本无法返回正确的使用信息，或者参数不正确。这个程序错误已被解决，脚本现在可以按预期输出使用情况信息。

BZ#683523

在 autofs 软件包中添加了对系统安全服务守护进程(SSSD)的初始支持作为映射源。

安全修复

CVE-2012-5784

Apache Axis 没有验证服务器主机名是否与 X.509 证书的主题通用名称(CN)或 subjectAltName 字段中的域名匹配。如果存在对任何域名有效的证书，这可能会导致中间攻击者欺骗 SSL 服务器。

程序错误修复

BZ#728693

在此次更新之前，logwatch 工具不会检查 "/var/log/bacula*" 文件。因此，logwatch 报告不完整。在这个版本中，将所有日志文件添加到 logwatch 配置文件中。现在，logwatch 报告已完成。

BZ#728697

在此次更新之前，bacula 工具本身创建了"/var/spool/bacula/log"文件。因此，这个日志文件使用了不正确的 SELinux 上下文。这个版本修改了底层代码，以在 bacula 软件包中创建 /var/spool/bacula/log 文件。现在，此日志文件具有正确的 SELinux 上下文。

BZ#729008

在此次更新之前，bacula 软件包是在没有 CFLAGS 变量 "$RPM_OPT_FLAGS" 的情况下构建的。因此，不会生成调试信息。在这个版本中，修改底层代码以使用 CFLAGS="$RPM_OPT_FLAGS 构建软件包。现在，调试信息会如预期生成。

BZ#756803

在此次更新之前，perl 脚本生成 my.conf 文件包含错误打印。因此，端口变量没有正确设置。在这个版本中修正了错误打印。现在，port 变量的设置如预期。

BZ#802158

在此次更新之前，"show pool"命令的值是从 "res->res_client" 项中获取的。因此，输出会显示不正确的作业和文件保留值。在这个版本中，使用 "res->res_pool" 项来获取正确的值。

BZ#862240

在此次更新之前，bacula-storage-common 工具在更新过程中错误地删除了 bcopy 函数的替代方案。因此，在更新后会消失 bcop.{mysql,sqlite,postgresql}。这个版本修改了底层代码，以直接在 storage-{mysql,sqlite,postgresql} 中删除这些链接，而不是在 bacula-storage-common 中。

安全修复

CVE-2012-3429

在 bind-dyndb-ldap 执行来自 DNS 请求的名称进行转义的方法中发现了一个安全漏洞，以便在 LDAP 查询中使用。远程攻击者可以将 DNS 查询发送到配置为使用 bind-dyndb-ldap 的指定服务器，从而导致 named 意外退出断言失败。

程序错误修复

BZ#751776

当包含无效的 资源记录 (RR)时，bind-dyndb-ldap 插件会拒绝加载整个区域，其优先级相同 完全限定域名(FQDN)作为区域名称（例如是 vendory Qualified Domain Name ）。在这个版本中，解析资源记录的代码已被改进。如果遇到无效的 RR，则会记录错误消息 “Failed to parse RR 条目”，区将继续加载。

BZ#767489

当第一个到 LDAP 服务器的连接失败时，bind-dyndb-ldap 插件不会尝试再次连接。因此，用户必须执行"rndc reload"命令才能使插件正常工作。在这个版本中，插件会定期重试来连接到 LDAP 服务器。因此，不再需要用户干预，插件可以正常工作。

BZ#767492

当 zone_refresh 周期超时且区从 LDAP 服务器中删除时，插件将继续为删除的区域提供服务。在这个版本中，当设置了 zone_refresh 参数时，插件不再服务已从 LDAP 中删除的区域。

BZ#789356

当命名守护进程收到 rndc reload 命令或 SIGHUP 信号时，插件无法连接到 LDAP 服务器，该插件会在它收到之前属于插件处理的区域的查询时意外终止。这个问题已被解决，当重新载入过程中连接到 LDAP 时，插件不再提供其区域，且在描述的场景中不再崩溃。

BZ#796206

当命名丢失到 LDAP 服务器的连接时，插件会意外终止，然后成功重新连接，并且之前存在的一些区域已从 LDAP 服务器中删除。这个程序错误已被解决，插件不会在上述场景中崩溃。

BZ#805871

在插件中，某些字符串长度被错误地设置。因此，在 ipa-server 安装过程中，为转发区错误地设置了 授权 (SOA)序列号和到期时间。在这个版本中，代码已被改进，SOA 序列号和过期时间会如预期设置。

BZ#811074

当 域名系统 (DNS)区域由 bind-dyndb-ldap 插件管理，并且子域被委派给另一个 DNS 服务器时，该插件不会将 A 或 AAAA glue 记录放在 DNS 回答的其他部分中。“”因此，其他 DNS 服务器无法访问委派的子域。在这个版本中，插件已被修复，现在在 “附加部分中” 返回委托子域的 A 或 AAAA 粘滞记录。因此，委派的区域可以在上述场景中正确解析。

BZ#818933

在以前的版本中，bind-dyndb-ldap 插件不会在传入的 DNS 查询中正确转义非 ASCIII 字符。因此，插件无法发送包含非 ASCII 字符的查询的回答 “，” 如。该插件已被修复，现在可以正确返回带有非 ASCII 字符的查询的回答。

功能增强

BZ#733371

bind-dyndb-ldap 插件现在支持两个新属性：id nsAllowQuery 和 idnsAllowTransfer，可用于为查询或传输设置 ACL。有关属性的信息，请参阅 /usr/share/doc/bind-dyndb-ldap/README。

BZ#754433

该插件现在支持新的区属性 idnsForwarders 和 idnsForwardPolicy，它们可用于配置转发。如需详细描述，请参阅 /usr/share/doc/bind-dyndb-ldap/README。

BZ#766233

插件现在支持区域传送。

BZ#767494

该插件有一个名为 sync_ptr 的新选项，可用于使 A 和 AAAA 记录保持同步。如需详细描述，请参阅 /usr/share/doc/bind-dyndb-ldap/README。

BZ#795406

无法将插件的配置存储在 LDAP 中，并且配置只能从 named.conf 文件中获取。在这个版本中，可以从 LDAP 中的 idnsConfigObject 获取配置信息。请注意，在 named.conf 中设置的选项的优先级低于 LDAP 中设置的选项。优先级将在以后的更新中改变。如需了解更多详细信息，请参阅 README 文件。

错误修复

BZ#838956

由于 rbtdb.c 源文件中有一个竞争条件，named 守护进程可能会意外终止，并显示 INSIST 错误代码。这个程序错误已在代码中解决，命名的守护进程不会在上述场景中崩溃。

安全修复

CVE-2012-5688

BIND 中的 DNS64 实现中发现了一个安全漏洞。如果远程攻击者向指定服务器发送特殊设计的查询，named 可能会意外退出并出现断言失败。请注意，默认情况下不启用 DNS64 支持。

安全修复

CVE-2012-4244

在 BIND 使用大型 RDATA 值处理资源记录的方式中发现了一个安全漏洞。DNS 域的恶意所有者可能会使用此缺陷创建特殊设计的 DNS 资源记录，这会导致递归解析器或次要服务器意外退出并出现断言失败。

安全修复

CVE-2012-3817

在启用 DNSSEC 验证时，BIND 中发现了一个未初始化的数据结构使用缺陷。一个远程攻击者可以向 DNSSEC 验证 BIND 解析器发送大量查询，从而导致它意外退出断言失败。

错误修复

BZ#858273

在以前的版本中，BIND 在 static-stub 区中拒绝"转发"和"forwarders"语句。因此，无法将某些查询转发到指定的服务器。有了这个更新，BIND 接受静态存区的选项，从而解决了这个问题。

安全修复

CVE-2012-5166

在 BIND 处理某些资源记录组合的方式中发现了一个安全漏洞。一个远程攻击者可以使用这个缺陷来防止递归解析器或某些配置中的权威服务器锁定。

程序错误修复

BZ#734458

当 /etc/resolv.conf 包含带有禁用递归的名称服务器时，nslookup 无法解析某些主机名。在这个版本中，应用了补丁，在描述的场景中 nslookup 可以正常工作。

BZ#739406

在以前的版本中，错误由 DNSSEC 信任锚自动更新的错误被错误地处理。因此，命名的 守护进程可能会在关闭时变得无响应。在这个版本中，错误处理已被改进，并在关闭时 命名。

BZ#739410

名为 守护进程的多线程使用 atomic 操作功能来加快对共享数据的访问。这个功能无法在 32 位和 64 位 PowerPC 构架中正常工作。因此，named 有时在这些构架中变得无响应。这个版本在 32 位和 64 位 PowerPC 构架中禁用 atomic 操作功能，这样可确保 named 现在更加稳定可靠，且不再挂起。

BZ#746694

在此次更新之前，在验证 DNSSEC 签名的 NXDOMAIN 响应时可能会出现竞争条件，named 可能会意外终止。在这个版本中，底层代码已被修复，竞争条件不再发生。

BZ#759502

named 守护进程配置为主服务器，有时无法传输不可压缩的区域。以下出错信息已记录：

transfer of './IN': sending zone data: ran out of space

处理区域传送的代码已被修复，这个错误不再发生在上述场景中。

BZ#759503

在 DNS 区域传输过程中，named 有时会意外终止，并显示断言失败。在这个版本中，应用了补丁来使代码更加稳定，named 不再会在上述场景中崩溃。

BZ#768798

在以前的版本中，rndc.key 文件是在软件包安装过程中由 rndc-confgen -a 命令生成的，但此功能已在 Red Hat Enterprise Linux 6.1 中删除，因为因为 /dev/random 中缺少熵而报告安装 bind 软件包有时会挂起。现在，命名的 initscript 会在服务启动期间生成 rndc.key （如果它不存在）。

BZ#786362

执行 rndc reload 命令后，命名 无法更新 DNSSEC 信任锚，并将以下信息发送到日志：

managed-keys-zone ./IN: Failed to create fetch for DNSKEY update

这个问题已在 9.8.2rc1 上游版本中解决。

BZ#789886

由于 bind spec 文件中的错误，bind-chroot 子软件包不会创建 /dev/null 设备。另外，在卸载 绑定 后，一些空目录会保留在后面。在这个版本中，bind-chroot 打包错误已被修复。

BZ#795414

dynamic-db 插件在早期加载，这会导致 named.conf 文件中的配置覆盖插件提供的配置。因此，named 有时无法启动。在这个版本中，在插件初始化前解析 named.conf，named 现在会如预期启动。

BZ#812900

在以前的版本中，当挂载 /etc/init.d/named initscript 时，当启用 chroot 配置以及未启用 chroot 时，当 /var/named 目录被挂载时，无法区分不同的情况。因此，当停止 named 服务时，总是卸载 /var/named 目录。initscript 已被修复，现在仅在启用了 chroot 配置时卸载 /var/named。因此，当未启用 chroot 配置时，/var/ named 会在 named 服务停止后保持挂载。

BZ#816164

在以前的版本中，当无法获得回答时，nslookup 工具不会返回非零退出代码。因此，无法确定 nslookup 运行是否成功，或从错误代码中不成功。nslookup 工具已被修复，现在当无法获得回答时，它会返回 "1" 作为退出代码。

功能增强

BZ#735438

默认情况下，BIND 以 round-robin 顺序返回资源记录。rrset-order 选项现在支持 固定的 排序。设置此选项后，始终按照从区域文件加载的顺序返回每个域名的资源记录。

BZ#788870

在以前的版本中，命名 会记录与外部 DNS 查询相关的太多消息。这些错误消息的严重性从 “notice” 减少到 “debug”，以便系统日志不会大量不必要的信息。

BZ#790682

named 守护进程现在使用 portreserve 保留 远程名称守护进程控制 (RNDC)端口，以避免与其他服务冲突。

BZ#676194

在以前的版本中，当尝试将不同架构的对象文件链接在一起时，GNU 链接器可能会意外终止，例如：一个 32 位 Intel P6 的对象文件，带有 Intel 64 的对象文件。在这个版本中，修改了 binutils，以便链接器现在会生成错误消息，并在描述的场景中拒绝链接对象文件。

BZ#809616

在生成 build-ID 哈希时，GNU 链接器之前为 BSS 部分分配了内存。因此，链接器可能会使用比需要更多的内存。在这个版本中，修改链接器来跳过 BSS 部分，因此避免在生成 build-ID 哈希时不必要的内存用量。

BZ#739444

在这个版本中，包括向后移植补丁来支持新的 AMD 处理器。此外，cxtr 指令的重复条目也已从 disassembler 的表中删除。

BZ#739144

GNU 链接器已被修改，以提高内容表(TOC)可寻址和流程链接表(PLT)在 PowerPC 和 PowerPC 64 构架上调用 stubs 的性能。

错误修复

BZ#865446

在以前的版本中，biosdevname 无法正确处理带有多个端口的 PCI 卡。因此，根据 biosdevname 命名方案，仅重命名了这些卡的第一个端口的网络接口。这个程序错误已被解决，这些卡的所有端口的网络接口现在都会如预期重命名。

程序错误修复

BZ#684526

在以前的版本中，构建 brltty 软件包可能会在 ocaml 的未打包文件错误上失败。这只有在构建 root 中预安装 ocaml 软件包时才会发生。在 %configure 宏中添加了 "--disable-caml-bindings" 选项，以便软件包现在可以正确构建。

BZ#809326

在以前的版本中，由 brlapi-devel 软件包安装的 /usr/lib/libbrlapi.so 符号链接错误地指向 ../../lib/lib/lib/lib/libbrlapi.so。这个链接已被修复，可以正确地指向 ../../lib/libbrlapi.so.0.5。

安全修复

CVE-2006-1168

flow 漏洞下的缓冲区在 BusyBox 的解压缩工具中发现了一个使用 Lempel-Ziv 压缩压缩的特定存档文件。如果用户使用未压缩扩展特殊制作的存档文件，可能会导致 BusyBox 崩溃或可能，执行运行 BusyBox 的用户特权的任意代码。

CVE-2011-2716

BusyBox DHCP 客户端 udhcpc 没有足够地清理 DHCP 服务器回复中提供的某些选项，如客户端主机名。恶意 DHCP 服务器可能会向 DHCP 客户端发送带有特殊设计的值的此类选项。如果此选项的值保存在客户端系统上，然后之后由假设该选项被信任的进程在不安全评估，则可能会导致任意代码执行该进程的特权。注意：默认情况下，udhcpc 不用于 Red Hat Enterprise Linux，且没有提供 busybox 软件包的 DHCP 客户端脚本。

BZ#751927

在此次更新之前，"findfs"命令无法识别 Btrfs 分区。因此，转储核心文件时可能会出现错误消息。在这个版本中，增加了对识别此类分区的支持，因此不再出现这个问题。

BZ#752134

如果"grep"命令同时使用了"-F"和"-i"选项，则忽略"-i"选项。因此，"grep -iF"命令会错误地执行区分大小写的搜索，而不是不区分大小写的搜索。应用了补丁以确保"-F"和"-i"选项的组合可以正常工作。

BZ#782018

在此次更新之前，msh shell 不支持 "set -o pipefail" 命令。在这个版本中，增加了对这个命令的支持。

BZ#809092

在以前的版本中，当试图因为变量替换而执行空命令时，msh shell 可能会意外终止分段错误（如 msh -c '$nonexistent_variable'）。在这个版本中，sh 已被修改来正确地解释这样的命令，在这种情况下不会再崩溃。

BZ#752132

在以前的版本中，msh shell 会错误地执行空循环。因此，即使循环条件为 false，msh 不会退出这样的循环，这可能会导致使用循环的脚本变得无响应。在这个版本中，sh 已修改来正确执行并退出空循环，因此不再会发生挂起。

BZ#743343

Byacc 的最大堆栈深度从 10000 减小到acc 版本之间的 500 个。如果使用acc 编译的源代码中存在深入的 else-if 结构，这可能会导致内存不足的情况，从而导致 YACC Stack Overflow 和构建失败。在这个版本中，发行版本会将最大堆栈深度恢复到其原始值 10000。注意：底层的 LR 算法仍然对 parsable else-if 语句的数量施加一个硬性限制。将最大堆栈深度恢复到其原始值意味着具有深度的 else-if 结构的源代码，之前根据acc 编译来实现此目的。

BZ#730695

在以前的版本中，当搜索 AF_UNSPEC 或 AF_INET6 地址系列时，如果找不到 AF_INET6 地址，c-ares 库会回到 AF_INET6 系列。因此，即使只请求 IPv6 地址，也会返回 IPv4 地址。在这个版本中，c-are 仅在搜索 AF_UNSPEC 地址时执行回退。

BZ#730693

当用户试图解析无效的回复时，ares_parse_a_reply （） 函数泄漏内存。在这个版本中，分配的内存被正确释放，内存泄漏不再发生。

BZ#713133

ares_malloc_data （）public 函数中的 switch 语句缺少终止 break 语句。这可能导致无法预计的行为，有时应用程序会意外终止。在这个版本中，添加了缺少的 switch 语句，iss_malloc_data （）函数现在可以正常工作。

BZ#695426

当解析 SeRVice (SRV)记录查询时，c-ares 在需要数据要在内存中一致的构架上错误地访问内存。这会导致程序使用 SIGBUS 信号意外终止。在这个版本中，c-ares 已被修改，以便在上述场景中正确访问内存。

BZ#640944

在以前的版本中，iss_gethostbyname 手册页不会将 ARES_ENODATA 错误代码作为有效和预期的错误代码记录。在这个版本中，会相应地修改 man page。

错误修复

BZ#797990

在此次更新之前，重叠的内存被错误地处理。因此，当使用"-graft-points"选项调用 "genisoimage" 时，新创建的路径可能会被破坏，以便在根目录以外的点上调整路径。这个版本会修改底层代码，以如预期生成 graft 路径。

BZ#765599

在此次更新之前，如果守护进程无法访问用户指定位置中的文件，则 get-started.txt 文件中提供的其中一个示例无法按预期工作，例如 SELinux 策略。在这个版本中，这个问题记录在 get-started.txt 文件中。

BZ#765600

在此次更新之前，certmonger 守护进程没有配置为在安装软件包时默认启动。在这个版本中，启用 certmonger 服务。

BZ#796542

在此次更新之前，在某些情况下可能会"getcert"命令，当使用了需要参数且未指定参数的选项时，会显示误导错误消息"invalid option"。在这个版本中，修改错误代码，以便发送正确的消息。

BZ#766167

在此次更新之前，新添加的证书不会被自动可见。要查看这些证书，必须手动重启服务器。在这个版本中，在消息总线中添加了 D-Bus 信号，以允许应用程序执行需要使用新证书的操作。另外，添加了新的 "-C" 选项来调用用户指定的命令。

BZ#696305

当安装多个只具有 LSB 标头的 Linux 标准基本(LSB)服务时，相关 LSB init 脚本的 stop 优先级可能会被误计算，并设置为 "-1"。在这个版本中，LSB init 脚本排序机制已被修复，LSB init 脚本的停止优先级现在可以正确设置。

BZ#706854

当使用 "install_initd" 命令安装需要 "$local_fs" 工具的 LSB init 脚本时，在某些情况下，脚本的安装可能会失败。在这个版本中，底层代码已被修改来忽略这个要求，因为始终会隐式提供 "$local_fs" 工具。现在，正确安装了带有 "$local_fs" 的要求的 LSB init 脚本。

BZ#771454

如果 LSB init 脚本包含 "Required-Start" 依赖项，但安装 LSB 服务没有配置为在任何运行级别启动，则依赖项可能会被错误地应用。因此，LSB 服务的安装会静默失败。在这个版本中，如果服务没有配置为在任何运行级别启动，chkconfig 不再严格强制执行 "Required-Start" 依赖项。在这种情况下，LSB 服务会如预期安装。

BZ#771741

在以前的版本中，chkconfig 无法正确处理 LSB 初始化脚本之间的依赖关系。因此，如果启用了 LSB 服务，则依赖于它的 LSB 服务可能会错误设置。有了这个更新，chkconfig 已被修改来确定依赖项，现在在此场景中将依赖 LSB 服务设置为预期。

安全修复

CVE-2012-1586

mount.cifs 中发现了一个存在安全漏洞的文件。如果工具安装有 setuid 位集，本地攻击者可以利用此漏洞来确定攻击者无法访问目录中的文件或目录。

注意

红帽分发的 cifs-utils 软件包中的 mount.cifs 没有设置 setuid 位。我们建议管理员不要为 mount.cifs 手动设置 setuid 位。

BZ#769923

cifs.mount (8)手册页之前缺少几个挂载选项的文档。在这个版本中，缺少的条目已添加到手册页中。

BZ#770004

在以前的版本中，在重新挂载现有 CIFS 挂载时，mount.cifs 工具无法正确更新"/etc/mtab"系统信息文件。因此，mount.cifs 创建了一个现有挂载条目的重复条目。在这个版本中，将 del_mtab （） 函数添加到 cifs.mount，这样可确保在添加更新的挂载条目前从 "/etc/mtab 中删除旧的挂载条目。

BZ#796463

mount.cifs 工具没有正确将用户和组名称转换为数字 UID 和 GID。因此，当使用用户或组名称指定 "uid", "gid" 或 "cruid" 挂载选项时，CIFS 共享会使用默认值挂载。这会导致对预期的用户无法访问共享，因为 UID 和 GID 默认设置为 "0"。在这个版本中，用户和组名称会被正确转换，以便使用指定的用户和组所有权挂载 CIFS 共享。

BZ#805490

cifs.upcall 工具没有遵守 "krb5.conf" 文件中的 "domain_realm" 部分，且只适用于默认域。因此，尝试从默认域不同的 CIFS 共享挂载 CIFS 共享会失败，并显示以下错误消息：

mount error (126): 所需的密钥不可用

这个更新修改底层代码，以便 cifs.upcall 可以正确处理多个 Kerberos 域，并且 CIFS 共享现在可以按预期挂载到多域环境中。

BZ#748756

cifs.upcall 工具之前始终使用 "/etc/krb5.conf" 文件，无论用户是否指定了自定义 Kerberos 配置文件。在这个版本中，将 "--krb5conf" 选项添加到 cifs.upcall 中，允许管理员指定备用 krb5.conf 文件。有关此选项的更多信息，请参阅 cifs.upcall (8)手册页。

BZ#748757

cifs.upcall 工具没有最佳地确定用于 Kerberos 身份验证的正确服务主体名称(SPN)，这偶尔会在挂载服务器的非限定域名时导致 krb5 身份验证失败。这个版本改进了 cifs.upcall，用于确定 SPN 的方法现在更为广泛。

BZ#806337

在这个版本中，在 mount.cifs 工具中添加了 "backupuid" 和 "backupgid" 挂载选项。指定后，这些选项向用户或组授予访问备份意图的文件的权利。有关这些选项的更多信息，请参阅 mount.cifs (8)手册页。

程序错误修复

BZ#759603

当节点丢失与仲裁设备的联系人同时过期时，会出现竞争条件。节点争用隔离，这可能会导致集群失败。为了防止发生竞争条件，改进了 cman 和 qdiskd 交互计时器。

BZ#750314

在以前的版本中，在启动隔离过程中集群分区和合并不会被正确检测到。因此，DLM (Distributed Lock Manager)锁定空间操作可能会变得无响应。在这个版本中，分区和合并事件会被检测到并正确处理。在上述场景中，DLM 锁定空间操作不再变得无响应。

BZ#745538

qdisk (5)手册页中的多个 ping 命令示例不包括 -w 选项。如果 ping 命令在没有 选项的情况下运行，则操作可能会超时。在这个版本中，p -w 选项被添加到这些 ping 命令中。

BZ#745161

由于 libgfs2 中的一个错误，sendinel 目录条目被计算为与实际条目一样。因此，当需要大量日志元数据块（例如，块大小为 512 和 9 或更多日志）时，mkfs.gfs2 工具创建了没有通过 fsck 检查的文件系统。在这个版本中，在处理 sendinel 条目时会避免递增目录条目的计数。现在，使用大量日志元数据块创建的 GFS2 文件系统现在完全通过 fsck 检查。

BZ#806002

当节点出现故障并被隔离时，该节点通常会重启，并使用新状态加入集群。但是，如果在重新加入操作过程中发生块，则该节点无法重新加入集群，且尝试在启动过程中失败。在以前的版本中，在这种情况下，cman init 脚本不会恢复启动过程中发生的操作，一些守护进程可能会错误地在节点上运行。底层源代码已被修改，在遇到错误时，cman init 脚本现在会执行完全回滚。在这种情况下，任何守护进程都不必要地运行。

BZ#804938

之前用来验证 cluster.conf 文件的 RELAX NG 模式无法识别 totem.miss_count_const constant 作为一个有效的选项。因此，当使用此选项时，用户无法验证 cluster.conf。现在，RELAX NG 模式可以正确识别这个选项，并且 cluster.conf 文件可以如预期被验证。

BZ#819787

cmannotifyd 守护进程通常在 cman 实用程序之后启动，这意味着 cmannotifyd 不会在启动时接收或分配当前集群状态上的任何通知。这个版本修改了 cman 连接循环，以生成配置和成员资格更改的通知。

BZ#749864

在 gfs2_edit 代码中使用 free() 功能可能会导致内存泄漏，从而导致各种问题。例如，当用户执行 gfs2_edit savemeta 命令时，gfs2_edit 工具可能会变得无响应，甚至意外终止。这个版本应用了多个上游补丁，现在正确使用 free() 功能，不再会发生内存泄漏。在这个版本中，保存 gfs2_edit savemeta 命令的统计信息会频繁报告，以便用户知道在保存大量元数据时，进程仍在运行。

BZ#742595

在以前的版本中，如果文件系统只包含一个资源组，则 gfs2_grow 工具无法扩展 GFS 文件系统。这是因为旧代码基于 GFS1 （不同的字段），它计算了资源组之间的距离，且不能只使用一个资源组。在这个版本中，libgfs2 中添加了 rgrp_size() 功能，它计算资源组的大小，而不是确定之前资源组中的距离。现在，只能成功扩展只有一个资源组的文件系统。

BZ#742293

在以前的版本中，当底层设备不包含有效的 GFS2 文件系统时，gfs2_edit 工具会输出不明确的错误消息，这可能会造成混淆。在这个版本中，用户在上述场景中提供附加信息。

BZ#769400

在以前的版本中，mkfs 工具会在创建 GFS2 文件系统时提供出错信息的用户。消息还包含绝对构建路径和源代码引用，这些引用是不需要的。应用了补丁，以便用户在上述场景中为用户提供全面的错误消息。

BZ#753300

gfs_controld 守护进程忽略了在挂载文件系统时为 dlmc_fs_register() 功能返回的 dlm_controld 守护进程返回的错误。这会导致挂载成功，但无法使用分布式锁定管理器(DLM)协调 GFS 文件系统的恢复。在这个版本中，在以下情况下挂载文件系统不会成功，并返回出错信息。

功能增强

BZ#675723, BZ#803510

gfs2_convert 工具可用于 GFS1 文件系统，将文件系统从 GFS1 转换为 GFS2。但是，gfs2_convert 工具需要在转换前运行 gfs_fsck 工具，但由于此工具没有包括在 Red Hat Enterprise Linux 6 中，用户必须使用 Red Hat Enterprise Linux 5 运行这个实用程序。在这个版本中，gfs2_fsck 工具允许用户在 Red Hat Enterprise Linux 6 系统上执行完整的 GFS1 到 GFS2 转换。

BZ#678372

使用 qdiskd 守护进程和 device-mapper-multipath 工具进行集群调优是一个非常复杂的操作，它以前容易在此设置中错误配置 qdiskd，从而导致集群节点失败。改进了 qdiskd 守护进程的输入和输出操作，以自动检测与多路径相关的超时，而无需手动配置。用户现在可以使用 device-mapper-multipath 轻松部署 qdiskd。

BZ#733298, BZ#740552

在以前的版本中，cman 实用程序无法在 corosync 中正确配置冗余环协议(RRP)，从而导致 RRP 部署无法正常工作。有了这个更新，c man 已进行了改进，以正确配置 RRP，并对用户配置执行额外的完整性检查。现在，使用 RRP 部署集群更容易，用户会看到更广泛的错误报告。

BZ#745150

在这个版本中，Red Hat Enterprise Linux High Availability 已针对 VMware vSphere 5.0 版本进行验证。

BZ#749228

有了这个更新，在具有高可用性 LVM (HA-LVM)的双节点集群中验证 fence_scsi 隔离代理的使用。

BZ#758127

在以前的版本中，程序 /etc/sysconfig/pacemaker 中的环境变量 "LRMD_MAX_CHILDREN" 没有被正确评估。因此，Local Resource Management Daemon (lrmd)中的 "max_child_count" 变量没有被修改。在这个版本中，这个程序错误已被解决，环境变量 "LRMD_MAX_CHILDREN" 会如预期评估。

BZ#786746

在以前的版本中，如果 Pacemaker 在执行操作时尝试取消重复操作，则本地资源管理守护进程(lrmd)无法正确取消操作。因此，操作不会从重复列表中删除。在这个版本中，如果在执行过程中取消了取消的操作，则取消的操作会标记为从重复操作列表中删除，因此永远不会再次执行重复取消的操作。

BZ#742431

在此次更新之前，在某些情况下，modclusterd 服务中的传出队列可能会随时间增长。为防止此行为，在节点间通信现在更好地平衡，队列的大小受到限制。强制队列干预记录在 /var/log/clumond.log 文件中。

BZ#794907

当 clustermon 工具用于从服务器获取集群模式时，会以无效格式返回 schema，防止进一步处理。这个程序错误已被解决，clustermon 现在在上述场景中提供了架构的确切副本。

错误修复

BZ#878373

在以前的版本中，隔离的守护进程会创建其具有不安全权限的日志文件。虽然文件中不会存储任何敏感数据，如密码、用户名或 IP 地址，但使用此更新，也会创建日志文件并具有正确的权限。如果需要，现有日志文件的权限也会自动更正。

错误修复

BZ#849049

在以前的版本中，无法为 dlm_controld 守护进程指定启动选项。因此，某些功能无法正常工作。在这个版本中，可以使用 /etc/sysconfig/cman 配置文件来指定 dlm_controld 启动选项，从而修复这个程序错误。

错误修复

BZ#982699

在以前的版本中，cman init 脚本无法正确处理其锁定文件。在节点重启过程中，这可能会导致节点本身被其他成员从集群中驱除。在这个版本中，cman init 脚本可以正确处理锁定文件，且集群的其他节点不会采取隔离操作。

BZ#738967

用户现在可以配置打开的文件的最大数量。这允许 conman 守护进程轻松地管理大量节点。

BZ#771600

以前的 control-center 软件包版本包含 gnome-at-mobility，它是一个软件组件，它不需要与 Red Hat Enterprise Linux 6 一起分发的软件组件，也不会出现在任何可用的频道中。在这个版本中，非功能 gnome-at-mobility 脚本已被删除，不再作为 control-center 软件包的一部分发布。

BZ#524942

后台配置工具现在使用 XDG Base Directory 规格来确定存储其数据文件的位置。默认情况下，此文件位于 ~/.config/gnome-control-center/backgrounds.xml。用户可以通过设置 XDG_DATA_HOME 环境变量来更改 ~/.config/ 前缀，或者将 GNOMECC_USE_OLD_BG_PATH 环境变量设置为 1 以恢复旧行为并使用 ~/.gnome2/backgrounds.xml 文件。

BZ#632680

control-center-extra 软件包现在包含 GNOME Control Center shell。此 shell 提供了一个用户界面来启动各种 Control Center 工具。

BZ#769465, BZ#801363

GNOME Control Center 现在为 Wacom 图形平板电脑提供了一个配置工具，它替换了 wacompl 工具。

BZ#700907

在此次更新之前，Coolkey 无法识别 Spice 虚拟化 CAC 卡，除非卡至少包含 3 个证书。在这个版本中解决了这个问题，具有一个或多个证书的卡可以被 Coolkey 识别。请注意，这个问题可能还会影响一些非虚拟化的 CAC 卡。

BZ#713132

在某些错误情况下，Coolkey 可能会泄漏内存数据，因为变量缓冲区没有被正确释放。在这个版本中，上述缓冲区被正确释放，内存泄漏不再发生。

BZ#772172

"pr -c [filename]" 和 "pr -v [filename]" 命令（用于显示控制和非打印字符）会导致 pr 实用程序以多字节区域中的分段错误终止。在这个版本中，底层代码已被修改，pr 实用程序现在可以按预期工作。

BZ#771843

ls 命令的 "-Z" 选项没有足够解释，只有最后一个格式选项会被考虑，用户不知道为什么 "ls -Zl" 和 "ls -lZ" 命令返回不同的输出。在这个版本中，ls info 文档有所改进。

BZ#769874

"tail --follow"命令使用 inotify API 来跟踪文件中的更改。但是，inotify 不适用于远程文件系统，而 tail 实用程序应回退到轮询此类文件系统上的文件。远程文件系统列表中缺少远程文件系统 GPFS 和 FhGFS，因此"tail --follow"不显示对这些文件系统上文件的更新。这些文件系统已添加到远程文件系统列表中，不再出现这个问题。

BZ#751974

如果启用了 SELinux，则"ls -l"命令会泄漏命令行中指定的每个非空目录名称的一个字符串。在这个版本中，这些字符串从内存中释放，问题不再发生。

BZ#754057

如果运行忽略 SIG_CHLD 信号的进程，则 su 工具可能会变得无响应。这是因为 su 实用程序使用 waitpid （）函数等待子进程。带有 waitpid （）函数的循环机制等待进程处于已停止状态。但是，屏蔽 SIG_CHLD 信号的进程永远不会处于该状态。在这个版本中，循环机制已被改进，可以正确处理这种情况，问题不再会发生。

BZ#804604

在非交互式 tcsh shell 中，colorls.csh 脚本返回以下错误：tput: No value for $TERM and no -T specified

这是因为 tcsh shell 没有短路在 colorls.csh 表达式中对逻辑 AND 进行评估。在这个版本中，检查交互式 shell 已被修改，脚本不再返回错误消息。

BZ#766461

在默认列表中，df 实用程序显示包括 UUID 的长文件系统名称。因此，文件系统名称后的列被推送到右侧，并使 df 输出难以读取。只要 UUID 系统名称变得更为常见，df 现在会在长名称引用符号链接时打印引用，且没有指定文件系统。

BZ#691466

当在带有 chmod 工具的目录上清理特殊的 set-user-id 和 set-group-id 位时，用户无法使用八进制数字模式。这是一个上游更改，但因为之前的所有 Red Hat Enterprise Linux 版本中可能，需要提供向后兼容性。因此，如果八进制数模式至少为 5 位，则 chmod 工具现在允许用户使用八进制数模式清除目录上的特殊位。

错误修复

BZ#849554

在以前的版本中，corosync-notifyd 守护进程启用了 dbus 输出，每次通过 dbus 发送消息时都会等待 0.5 秒。因此，corosync-notifyd 在生成输出和内存时非常慢。另外，当 corosync-notifyd 终止时，其内存不会被释放。在这个版本中，corosync-notifyd 不再会降低其操作的一半延迟，而 Corosync 现在会在 IPC 客户端退出时正确释放内存。

BZ#741455

mainconfig 模块将不正确的字符串 pointer 传递给打开 corosync 日志文件的功能。如果文件的路径（在 cluster.conf 中）包含不存在的目录，则返回不正确的错误消息，表示存在配置文件错误。现在，会返回正确的错误消息，告知用户无法创建日志文件。

BZ#797192

coroipcc 库不会删除存储在 /dev/shm 共享内存文件系统中的 Inter-Process Communication (IPC)连接的临时缓冲区。/dev/shm 内存资源被完全使用，并导致服务事件的 Denial。库已被修改，以便在 corosync 服务器没有删除缓冲区时应用程序删除临时缓冲区。/dev/shm 系统现在不再与不需要的数据冲突。

BZ#758209

update_aru （）函数的范围条件可能会导致消息 ID 检查不正确。corosync 实用程序输入"FAILED TO RECEIVE"状态，无法接收多播数据包。update_aru （）函数中的 range 值不再被检查，现在使用 fail_to_recv_const 常数执行检查。

BZ#752159

如果 corosync-notifyd 守护进程长时间运行，则 corosync 进程会消耗大量内存。这是因为 corosync-notifyd 守护进程未能表示删除了 no-longer 使用的 corosync 对象，从而导致内存泄漏。corosync-notifyd 守护进程已被修复，如果 corosync-notifyd 长时间运行，corosync 内存用量将不再增加。

BZ#743813

当大型集群同时启动或者多个 corosync 实例同时启动时，CPG （关闭进程组）事件不会被发送到用户。因此，节点被错误地检测到为不再可用，或者作为保留并重新加入集群。现在，在这样的场景中，CPG 服务会正确检查退出代码，并且 CPG 事件按预期发送到用户。

BZ#743815

OpenAIS EVT (Eventing)服务有时会导致计时器和序列化锁定之间的 corosync 中死锁。修改了锁定的顺序，并解决了这个程序错误。

BZ#743812

当 corosync 过载时，在不发出任何通知的情况下，IPC 信息可能会丢失。这是因为有些服务没有处理 totem_mcast （） 函数返回的错误代码。使用 IPC 的应用程序现在可以正确处理无法正确发送 IPC 信息，并尝试再次发送信息。

BZ#747628

如果在一个系统中同时安装了 corosync 和 cman RPM 软件包，RPM 验证过程会失败。这是因为两个软件包都拥有同一目录，但对其应用不同的权限。现在，RPM 软件包具有相同的权限，RPM 验证不再会失败。

BZ#752951

corosync 会消耗过量内存，因为 getaddrinfo （）函数泄漏内存。现在，使用 freeadrrinfo （）函数释放内存，getaddrinfo （）不再泄漏内存。

BZ#773720

由于 objdb 结构中的内存损坏，无法在运行时激活或停用调试日志。现在，可以在运行时激活或取消激活 debug 日志记录，例如： "corosync-objctl -w logging.debug=off" 命令。

BZ#743810

每个 IPC 连接在堆栈中使用 48 K。在以前的版本中，堆栈大小减少的多线程应用程序无法正常工作，这会导致过量内存用量。现在，堆中的临时内存资源被分配给 IPC 连接，因此多线程应用程序不再需要说明 IPC 连接的堆栈大小。

错误修复

BZ#929100

运行使用 Corosync IPC 库的应用程序时，mgr （）函数中的一些消息会丢失或重复。在这个版本中，可以正确地检查 assigned_put （） 函数的返回值，在 IPC 环缓冲中返回正确的剩余字节数，并确保 IPC 客户端正确了解环缓冲中实际消息数。现在，allocation （） 函数中的消息不再丢失或重复。

错误修复

BZ#866467

在以前的版本中，在归档操作过程中，cpio 命令无法将大于 155 字节的文件名分成两个部分。因此，cpio 可能会意外终止并出现分段错误。这个程序错误已被解决，cpio 现在可以在没有任何崩溃的情况下处理较长的文件名。

BZ#746209

在此次更新之前，--to-stdout 和 --no-absolute-filenames 选项没有在 cpio (1)手册页中列出。这个版本包括缺少的选项，并更正几个错误打印。

程序错误修复

BZ#642838

在此次更新之前，PCC 驱动程序在加载时使用"userspace"调控器，而不是"ondemand"调控器。这个版本修改了 init 脚本，以同时检查 PCC 驱动程序。

BZ#738463

在此次更新之前，cpuspeed init 脚本会尝试为每个内核设置 cpufrequency 系统文件，它是一个弃用的过程。在这个版本中，全局设置阈值。

BZ#616976

在此次更新之前，当配置文件被禁止时，cpuspeed 工具不会重置 MIN 和 MAX 值。因此，MIN_SPEED 或 MAX_SPEED 值不会按预期重置。在这个版本中，在初始化脚本中添加了条件来检查这些值。现在，MIN_SPEED 或 MAX_SPEED 值会如预期重置。

BZ#797055

在此次更新之前，初始化脚本不会按预期处理 IGNORE_NICE 参数。因此，当设置了 IGNORE_NICE 参数时，"-n"被添加到命令选项中。在这个版本中，修改 init 脚本，在使用 IGNORE_NICE 参数时停止添加 NICE 选项。

BZ#754291

如果内核是在启用了完全公平调度程序(CFS)组调度功能(CONFIG_FAIR_GROUP_SCHED=y)配置的，则 crash 工具的"runq"命令不会显示 CPU 运行队列中的所有任务。在这个版本中，修改 crash 工具，以便运行队列中的所有任务现在都会如预期显示。另外，"-d"选项已添加到 "runq" 命令中，该命令提供与 /proc/sched_debug 文件相同的调试信息。

BZ#768189

在以前的版本中，在 Intel 64 和 AMD64 构架中，"bt"命令无法正确处理递归不可屏蔽中断(NMI)。因此，在某些情况下，"bt"命令可以在无限循环中显示任务后端。在这个版本中，crash 工具已被修改，以识别 NMI 处理程序中的递归，并防止回溯追踪的无限显示。

BZ#782837

在某些情况下，压缩的 kdump 核心文件的标头中的 "elf_prstatus" 条目数量可能与系统崩溃时运行的 CPU 数量不同。如果崩溃工具分析了这样的核心文件，在显示任务后端时，崩溃会意外终止并出现分段错误。在这个版本中，修改代码，以便"bt"命令现在在此场景中显示回溯追踪。

BZ#797229

代码的最新更改会导致 crash 工具错误地识别 64 位 PowerPC 架构的 kdump 转储文件，作为 32 位 PowerPC 架构的转储文件。这会导致 crash 工具在初始化过程中失败。在这个版本中解决了这个问题，crash 工具现在识别和分析 32 位和 64 位 PowerPC 架构的压缩的 kdump 转储文件。

BZ#817247

当用户页面被交换出或没有在 IBM System z 架构中映射时，crash 工具无法正确处理。因此，"vm -p"命令失败，并发生了读取错误，或者交换设备的偏移 va1lue 会错误地设置。在这个版本中，crash 显示 swap 设备的正确偏移值，或者正确表示用户页面没有被映射。

BZ#817248

当"bt -t"和"bt -T"命令在 IBM System z 架构上的活动任务中运行时，crash 工具无法正确处理的情况。因此，命令会失败，并显示此任务的 "bt: invalid/stale stack pointer: 0" 错误信息。这个版本修改了源代码，以便 "bt -t" 和 "bt -T" 命令按预期执行。

BZ#736884

在这个版本中，crash 支持由 Fujitsu Stand Alone Dump 工具创建的"sadump"转储文件格式。

BZ#738865

crash 工具已被修改，以完全支持 IBM System z 的 "ELF kdump" 和 "compressed kdump" 转储文件格式。

BZ#739096

makedumpfile 工具可用于在创建转储文件时过滤特定的内核数据，这可能会导致 crash 工具的行为不可预测。在这个版本中，如果内核的任何部分被清除或过滤了 makedumpfile，则 crash 工具会显示一个早期警告信息。

BZ#729018

在以前的版本中，crash-trace-command 软件包中的 "trace.so" 二进制文件由没有 "-g" 选项的 GCC 编译器编译。因此，其关联的 "trace.so.debug" 文件中不包含任何调试信息。这可能会影响自动错误报告工具(ABRT)及其重新追踪服务器执行的崩溃分析。另外，在这些情况下，无法使用 GDB 工具正确调试崩溃。在这个版本中，修改 crash-trace-command 的 Makefile，以使用 "RPM_OPT_FLAGS" 标志编译 "trace.so" 二进制文件，以确保在编译过程中使用 GCC 的 "-g" 选项。调试和崩溃分析现在可以按预期执行。

BZ#623105

在此次更新之前，modifyrepo.py 脚本的 shebang 行包含 "#!/usr/bin/env python"，因此系统路径用于定位 Python 可执行文件。当在系统上安装另一个版本的 Python 时，在 PATH 环境变量中指定 "/usr/local/python" 时，脚本因为 Python 兼容性问题而无法正常工作。在这个版本中，shebang 行被修改为 "#!/usr/bin/python"，以便始终使用 Python 的系统版本。

BZ#746648

对于某些配置，cryptsetup 工具会错误地将 major:minor 设备对转换为 /dev/ 目录中的设备名称（例如，在 HP Smart Array 设备上）。有了这个更新，底层源代码已被修改为解决这个问题，cryptsetup 工具现在可以正常工作。(BZ issues755478)* 如果 "cryptsetup status" 命令的一个设备参数包含一个 /dev/mapper/ 前缀，前缀会在命令输出中重复。输出已被修复，不再包含重复的字符串。

BZ#794888

在更新之前，ctdb 工作目录，所有子目录和文件都是在 ctdb 服务启动时使用不正确的 SELinux 上下文创建的。此更新使用安装后脚本来创建 ctdb 目录，命令 "/sbin/restorecon -R /var/ctdb" 现在会设置正确的 SELinux 上下文。

错误修复

BZ#854472

在以前的版本中，当最初没有提供身份验证（或请求甚至请求）时，cups 会返回 "forbidden" 状态，而不是正确的"unauthorized"状态。因此，某些操作（如尝试使用 Web 用户界面在队列之间移动作业）会失败。已提供了一个上游补丁来解决这个程序错误，并且 cups 现在在上述场景中返回正确的状态。

错误修复

BZ#873592

在以前的版本中，启用了 LDAP 浏览后，用于 LDAP 查询的一个对象被释放两次，这会导致 cupsd 服务意外终止并出现分段错误。此外，浏览的 LDAP 队列的名称也被单个字符截断。因此，如果只定义了在最后一个字符中不同名称的多个打印队列，则只会列出一个打印队列。在这个版本中，解决了这些问题的上游补丁已被向后移植，并且 cupsd 服务不再崩溃，LDAP 打印队列现在可以正确显示。

BZ#738410

在此次更新之前，在请求单个副本时，纯文本过滤器并不总是正确生成输出。纯文本过滤器通过将一个副本的输出假脱机到临时文件来生成单个或多个副本的输出，然后根据需要发送该临时文件的内容。但是，如果过滤器被用于 MIME 类型转换，而不是作为Script Printer Description (PPD)过滤器，并且请求一个副本，则不会创建临时文件，且程序失败并显示"No such file or directory"消息。有了这个更新，无论指定的副本数如何，纯文本过滤器已被修改来创建临时文件。现在，数据会如预期发送到打印机。

BZ#738914, BZ#740093

在以前的版本中，可以通过提交空文件以进行打印（例如，执行 "lp /dev/null"）或将空文件作为标准输入来创建空作业。这样，会创建一个作业，但永远不会处理。在这个版本中，不允许创建空打印作业，用户现在会通知请求中没有文件。

BZ#806818

Web 界面的搜索页模板转换包含一个错误，导致搜索功能无法正常工作：尝试在 CUPS Web 界面中搜索打印机会失败，并在浏览器中显示错误消息。搜索模板中的 bug 已被修复，德语区域中的搜索功能现在可以正常工作。

程序错误修复

BZ#671145

在此次更新之前，C shell (csh)不会将 CVS_RSH 环境变量设置为 "ssh"，当用户访问远程 CVS 服务器时，会使用远程 shell (rsh)。因此，连接容易受到攻击的影响，因为远程 shell 没有被加密，或者不一定在每个远程服务器上启用。cvs.csh 脚本现在使用有效的 csh 语法，并且登录时正确设置了 CVS_RSH 环境变量。

BZ#695719

在此次更新之前，xinetd 软件包不是 cvs 软件包的依赖项。因此，CVS 服务器无法通过网络访问。在这个版本中，cvs-inetd 软件包包含 CVS inetd 配置文件，确保 xinetd 软件包作为依赖项安装，并在系统中提供 xinetd 守护进程。

错误修复

BZ#878357

在以前的版本中，GSSAPI 插件保留凭证处理整个客户端连接的时间。这些句柄保存指向 Kerberos 重播缓存结构的指针。当重播缓存是文件时，该结构包含一个打开的文件描述符。当太多客户端使用 GSSAPI 时，服务器可能会耗尽文件句柄。因此，客户端可能会在重启前变得无响应。在这个版本中，在插件获取安全上下文后立即关闭 GSSAPI 凭证处理，从而防止这个错误。

错误修复

BZ#706147

在此次更新之前，允许使用短划线 shell。因此，用户无法使用短划线 shell 登录。在这个版本中，在安装或升级短划线软件包时，将短划线添加到允许登录 shell 的 /etc/shells 列表中，并在卸载软件包时将其从列表中删除。现在，用户可以使用短划线 shell 登录。

BZ#784662

db4 spec 文件错误地声明："License"只是"BSD"，而它实际上是以 BSD 和 Sleepycat 许可证的许可，后者与 Berkeley 软件分发(BSD)许可证不同，后者通过包含 redistribution 子句。在这个版本中修正了 spec 文件，以便正确说明 db4 软件在"Sleepycat 和 BSD"许可证下提供。

错误修复

BZ#1012586

由于 mutex 初始化调用的顺序不正确，rpm 工具在某些情况下会变得无响应，直到终止为止。在这个版本中，mutex 初始化调用的顺序已被修改。因此，rpm 工具不再变得无响应。

安全修复

CVE-2012-3524

发现 D-Bus 库遵循的环境设置，即使在使用升级的权限运行时也是如此。本地攻击者可以在运行与 D-Bus 库链接的 setuid 或 setgid 应用程序(libdbus)之前设置特定的环境变量来升级其权限。

错误修复

BZ#837594

当多路径向量（动态分配的阵列）调整为较小的大小时，device-mapper-multipath 不会将指针重新分配给阵列。如果阵列位置已通过缩小大小来更改，则 device-mapper-multipath 会损坏其内存。在这个版本中，device-mapper-multipath 在此场景中正确地重新分配指针，且不再发生内存崩溃。

程序错误修复

BZ#812832

multipathd 守护进程没有在关闭过程中正确停止等待的线程。等待程序线程可以访问空闲的内存，并导致守护进程在关闭过程中意外终止。在这个版本中，mutlipathd 守护进程可以正确地停止等待程序线程，然后才能访问任何空闲的内存，在关闭过程中不再崩溃。

BZ#662433

当 设备映射器多路径 停止后，multipathd 默认不会在多路径设备中禁用 queue_if_no_path 选项。当 multipathd 在关闭过程中停止时，如果设备的所有路径都丢失，则设备的 I/O 会添加到队列中，关闭过程变得无响应。在这个版本中，multipathd 会默认将 queue_without_daemon 选项设置为 no。因此，当 multipathd 停止时，所有多路径设备都会停止队列，多路径现在可以按预期关闭。

BZ#752989

设备映射器多路径 使用内置设备配置中的正则表达式来确定多路径设备，以便将正确的配置应用到该设备。在以前的版本中，一些用于解析设备厂商名称和产品 ID 的正则表达式不够具体。因此，有些设备可以与不正确的设备配置匹配。在这个版本中，产品和厂商正则表达式已被修改，现在所有多路径设备都会被正确配置。

BZ#754586

重命名设备后，multipathd 和 udev 之间有一个竞争条件，用于重命名新的多路径设备节点。如果 udev 首先重命名设备节点，multipathd 会删除由 udev 创建的设备，且无法创建新设备节点。在这个版本中，multipathd 立即创建新设备节点，且不再发生竞争条件。因此，重命名的设备现在可以按预期可用。

BZ#769527

在以前的版本中，flush_on_last_dev 处理代码无法正确实现队列功能的处理。因此，即使激活了 flush_on_last_del 功能，multipathd 会在多路径设备上重新启用队列，在删除最后一个路径设备后无法立即删除。在这个版本中，代码已被修复，当用户设置 flush_on_last_del 时，其多路径设备可以正确地禁用队列，即使设备无法立即关闭。

BZ#796384

在以前的版本中，设备映射器多路径 使用固定大小的缓冲来读取 Virtual Device Identification 页面 [0x83]。缓冲区大小有时不足以容纳设备发送的数据，ALUA (Asymmetric Logical Unit Access) prioritizer 失败。设备映射器多路径现在为 Virtual Device Identification 页面动态分配一个足够大的缓冲，ALUA prioritizer 在描述的场景中不再失败。

BZ#744210

在以前的版本中，multipathd 不会默认设置 max_fds 选项，它会设置 multipathd 可打开的最大文件描述符数量。另外，user_friendly_names 设置只能在 /etc/multipath.conf 的 defaults 部分中配置。用户必须手动设置 max_fds，并在其特定于设备的配置中 覆盖默认的 user_friendly_names 值。在这个版本中，多路径默认将 max_fds 设置为系统最大值，user_friendly_names 可以在 multipath.conf 的 devices 部分进行配置。用户不再需要为大型设置设置 max_fds，并且能够选择每个设备类型的 user_friendly_names。

BZ#744756

在以前的版本中，要修改内置配置，用户配置的供应商和产品字符串必须与内置配置的供应商和产品字符串相同。vendor 和 product 字符串是正则表达式，用户并不总是知道修改内置配置所需的正确供应商和产品字符串。在这个版本中，hwtable_regex_match 选项被添加到 multipath.conf 的 defaults 部分。如果设置为 yes，则多路径会使用常规表达式匹配来确定用户的供应商和产品字符串是否与内置设备配置字符串匹配：用户可以使用其硬件中的实际供应商和产品信息，并修改该设备的默认配置。默认情况下，选项设置为 no。

BZ#750132

在以前的版本中，multipathd 使用已弃用的内存不足(OOM)调整接口。因此，守护进程没有被 OOM 终止程序的保护。当内存较低且用户无法恢复失败的路径时，OOM 终止程序可能会终止守护进程。在这个版本中，multipathd 现在使用新的内存不足调整接口，且不再由内存不足终止程序终止。

BZ#702222

multipath.conf 文件现在包含一个注释，告知用户必须重新加载配置才能使任何更改生效。

BZ#751938

当运行 multipath -h （打印使用量）时，multipathd 守护进程会错误地退出代码 1。在这个版本中，底层代码已被修改，multipathd 现在会在上述场景中返回代码 0。

BZ#751039

有些 multipathd 线程没有检查 multipathd 在启动其执行前是否关闭。因此，multipathd 守护进程可能会意外终止，并在关闭时出现分段错误。在这个版本中，multipathd 线程会在触发执行前检查 multipathd 是否关闭，multipathd 不再在关闭时终止分段错误。

BZ#467709

当多个节点使用相同的存储时，multipathd 守护进程没有处理路径组的切换方法。因此，如果一个节点无法访问逻辑单元的首选路径，而其他节点的首选路径被保留，则 multipathd 可能会在路径组间备份回来。在这个版本中，在 device-mapper-multipath 中添加了 followover failback 方法。如果设置了 followover failback 方法，multipathd 不会返回到首选路径组，除非它刚刚上线。当多个节点使用相同的存储时，在一台机器上路径失败不再会导致路径组持续切换。

功能增强

BZ#737051

NetApp 品牌名称已添加到 RDAC (Redundant Disk Array Controller)检查程序和优先级器的文档中。

BZ#788963

添加了 Fujitsu ETERNUS 的内置设备配置。

BZ#760852

如果多路径检查程序配置被设置为 tur，则不会异步执行检查。如果设备失败，且检查程序正在等待 SCSI 层返回，则其他路径上的检查会保持等待。检查程序已被重写，就像异步检查路径一样，其他路径上的路径检查会如预期继续。

BZ#799908

添加了 IBM XIV 存储系统的内置配置。

BZ#799842

NetApp LUN 内置配置现在默认使用 tur 路径检查程序。另外 flush_on_last_del 被启用，dev_loss_tmo 已设置为 infinity，fast_io_fail_tmo 设置为 5，pg_init_retries 已设置为 50。

安全修复

CVE-2012-3571

在处理零长度客户端标识符的 dhcpd 守护进程中发现了一个拒绝服务漏洞。一个远程攻击者可以使用此缺陷向 dhcpd 发送特殊设计的请求，可能会导致它进入无限循环，并消耗大量 CPU 时间。

CVE-2012-3954

dhcpd 守护进程中发现两个内存泄漏漏洞。远程攻击者可以通过发送大量 DHCP 请求，利用这些漏洞使 dhcpd 耗尽所有可用内存。

BZ#656339

在以前的版本中，当 dhclient 在获取或更新地址时失败，它也会从备份中恢复 resolv.conf 文件，即使其他 dhclient 进程正在运行。因此，网络流量可能会不必要的中断。dhclient-script 中的错误已被修复，只有在没有其他 dhclient 进程运行时，dhclient 现在才会从备份中恢复 resolv.conf。

BZ#747017

当 dhcpd 进程试图解析 dhcpd.conf 中的 slp-service-scope 选项时，会导致 dhcpd 进程中的一个死循环。因此，dhcpd 会在启动时输入无限循环，消耗了 100% 的 CPU 周期。这个版本改进了代码，问题不再发生。

BZ#752116

在以前的版本中，DHCPv4 客户端不会检查 DHCPACK 消息中接收的地址是否已在使用中。因此，重启后两个客户端可能具有相同的冲突，IP 地址可能会存在相同的冲突。有了这个更新，这个 bug 已被修复，DHCP4 客户端现在执行重复地址检测(DAD)，并在 DHCPACK 中接收的地址已在使用时发送 DHCPDECLINE 信息，如 RFC 2131。

BZ#756759

当使用 "-1" 命令行选项调用 dhclient 时，它应尝试获得一次租期，并在以状态代码 2 的失败退出时尝试获取租期。在以前的版本中，当使用 "-1" 命令行选项调用 dhclient 时，然后发出 DHCPDECLINE 信息，它会继续获得租期。在这个版本中，clientclient 代码已被修复。因此，在使用 "-1" 选项启动时，dhclient 停止获取租期并在发送 DHCPDECLINE 后退出。

BZ#789719

在以前的版本中，当使用 "-timeout" 选项启动时，dhclient 会在无限循环中保留发送 DHCPDISCOVER 信息，值为 3 或更小（秒）。在这个版本中，这个问题已被解决，"-timeout"选项可以正常工作，所有值都可以正常工作。

BZ#790686

DHCP 服务器守护进程现在使用 portreserve 保留端口 647 和 847，以防止其他程序占用它们。

BZ#798735

RFC5970 中定义的所有 DHCPv6 选项都已实施，但 Boot File Parameters Option 除外。这允许 DHCPv6 服务器根据系统架构将引导文件 URL 传递给基于 IPv6 的 netbooting 客户端(UEFI)。

程序错误修复

BZ#736074

在此次更新之前，如果初始表大小超过 1024 个存储桶，则内存可能会被破坏。这个更新修改了 libdhash，以便大型初始表大小现在可以正确地分配内存。

BZ#801393

在此次更新之前，缓冲会被填充，如果功能 path_concat （）的组合超过目标缓冲区的大小，则分配的大小将设置为 null terminator。在这个版本中，修改底层代码，以便在缓冲区结束时不再添加 null 终止符。

BZ#729971

在以前的版本中，grub 安装会在 dmraid 镜像中静默失败，因为 RAID 集的设备几何结构没有被正确设置。因此，无法创建设置分区的 MBR，分区无法引导。在这个版本中，底层代码已被修改，dmraid 设备的 geometry 会正确设置。

BZ#729032

dmraid 二进制文件在没有 gcc 的 -g 选项的情况下编译，debuginfo 文件不包含 ".debug_info" 部分。因此，无法正确生成调试信息和调试 dmraid。在这个版本中，使用正确的调试选项编译了二进制文件，问题不再发生。

BZ#701501

当 dmraid 工具访问 4 KB 扇区或更小时，它会返回一个误导错误消息。在这个版本中，检查设备大小的库功能已被修改，在这些情况下不再显示错误消息。

BZ#794792

添加了一个新的子软件包 dnsmasq-utils。dnsmasq-utils 子软件包包含 dhcp_lease_time 和 dhcp_release 实用程序，用于使用标准 DHCP 协议查询和移除 DHCP 服务器租期。

程序错误修复

BZ#639866

在此次更新之前，用于生成 manpages 的 Perl 脚本在标头中包含错误打印。因此，所有 docbook-utils 构建的手册页的标头语法都不正确。在这个版本中修正了脚本。现在，man page 标头具有正确的语法。

错误修复

BZ#860351

如果 "/boot/" 目录不在单独的文件系统中，则 dracut 调用 sha512hmac 工具，且文件名前缀为 "/sysroot/boot"。因此，sha512mac 在 "/boot/" 中搜索文件 checksum，返回的错误和 dracut 认为 FIPS 检查失败。最后，会出现内核 panic。在这个版本中，dracut 使用符号链接链接 "/boot" 到 "/sysroot/boot"，sha512mac 现在可以访问 "/boot/" 中的文件，FIPS 检查现在通过，允许系统在上述场景中正常引导。

错误修复

BZ#839296

在以前的版本中，在引导过程中使用的 proc 文件系统的默认挂载选项是 "mount -t proc -o nosuid,noexec,nodev proc /proc"。这会导致特定内核驱动程序无法访问 proc 文件系统中的设备节点。在这个版本中，选项已被修改为之前使用 "mount -t proc /proc"，以便 proc 文件系统可以被内核驱动程序成功访问。

BZ#788119

在以前的版本中，如果 dracut 模块不包含 "install" 文件，则 dracut 无法执行 "installkernel" 命令。因此，dracut fips-aesni 模块无法包含在 initramfs 镜像中。现在，可以在上述场景中正确执行"安装内核"，从而解决了这个问题。

BZ#761584

在以前的版本中，dracut 无法启动降级的 RAID 阵列，从而导致无法引导系统。在这个版本中，dracut 使用 rd_retry 内核命令行参数值，并在 rd_retry/2 秒后尝试强制阵列启动，从而修复这个程序错误。

BZ#747840

在启动过程中，dracut 会多次调用 "udevadm settle" 命令。因此，有时会返回有关命令超时的 inconsequential 信息，在控制台输出中创建冲突。在这个版本中解决了这个程序错误，在上述场景中不再返回信息。

BZ#735529

有时，dracut 会在所有磁盘都可用前尝试编译阵列。因此，dracut 以 degraded 模式或完全失败启动阵列。这个程序错误已被解决，dracut 现在只在由 rd_retry 内核命令行参数控制的时间一段时间后才强制降级阵列启动。

BZ#714039

dracut 软件包依赖于 vconfig 软件包，但 vconfig 没有被 dracut 使用。在这个版本中，删除了对 vconfig 的依赖。

BZ#794863

在以前的版本中，如果网络接口启动，则 dracut 会等待两秒来检测链接是否已启动。对于某些网卡，两个秒不够长。因此，网络没有正确设置，系统无法引导。现在，dracut 会等待 10 秒，从而解决了这个问题。

BZ#752584

dracut 没有为其启动的网络接口设置广播地址，从而导致 0.0.0.0 广播地址。这个程序错误已被解决，现在在启动时正确设置了默认广播地址。

BZ#703164

dracut man page 的 FILES 部分已被修改来修复不准确的内容。

BZ#752073

如果用户在内核命令行上添加多个 "console=[tty]" 参数，则最后一个参数指定主控制台。在以前的版本中，dracut 无法初始化此控制台，而是非条件初始化 /dev/tty0。这个程序错误已被解决，dracut 现在会在上述场景中初始化正确的控制台。

BZ#788618

当 iSCSI 接口中没有指定用户名和密码时，dracut 会重复使用来自之前的 iSCSI 参数的登录信息。因此，身份验证失败，系统没有引导。在这个版本中，这个程序错误已被解决。

BZ#722879

在以前的版本中，无法从 initramfs 镜像中排除内核驱动程序来缩小其大小。这个更新引进了"--omit-driver"选项，以提供此功能。

BZ#752005

"lsinitrd"命令已被改进，以支持 LZMA 算法压缩的 initramfs 镜像。

错误修复

BZ#725464

在此次更新之前，dropwatch 工具可能会变得无响应，因为它正在等待已取消激活或停止的服务发出停用确认。在这个版本中，dropwatch 检测到尝试取消激活/停止已经停用/停止的服务，不再挂起。

BZ#684713

在以前的版本中，dropwatch 工具可能会意外终止并出现分段错误。故障是由发出启动和停止消息时出现的双自由错误导致的。在这个版本中，删除了底层代码的空闲函数调用，这可以防止 dropwatch 工具崩溃。

错误修复

BZ#807474

在以前的版本中，growisofs 工具编写 32KB 的块，并在最后一个块中报告错误，当刻录到 32KB 的 ISO 镜像文件时，会报告错误。在这个版本中，写入的块可以小于 16 个块的倍数。

BZ#786021

在此次更新之前，当"e2fsck -b"选项读取这些组描述符和清除 UNINIT 标志时，备份组描述符的校验和会出现错误，以确保所有内节点都已扫描。因此，警告信息会在过程中发送。在这个版本中，在标志被更改后重新计算校验和。现在，"e2fsck -b"在没有这些校验和警告的情况下完成。

BZ#795846

在此次更新之前，e2fsck 可以在使用 "-E discard" 选项时丢弃有效的内节点。因此，文件系统可能会被破坏。在这个版本中，修改底层代码，以便包含有效内节点的磁盘区域不再被丢弃。

BZ#715216

在 Coverity Scan 分析中，发现了一个没有检查错误的分配。在这个版本中，会检查分配中的错误，从而解决了这个问题。

安全修复

CVE-2012-4545

ELinks 在客户端到服务器 GSS 安全机制协商过程中执行了客户端凭证委托。一个恶意服务器可能会使用这个缺陷来获取客户端的凭证，并将客户端模拟到使用 GSSAPI 的其他服务器。

错误修复

BZ#789997

在以前的版本中，eSpeak 操作了系统声音卷。因此，eSpeak 可以将声音卷设置为最大值，而不考虑指定的 amplitude。声音卷管理代码已从 eSpeak 中删除，现在只有 PulseAudio 管理声音卷。

BZ#674866

在此次更新之前，expect (1)手册页没有被正确格式化。因此，手册页的内容不可读。格式已被修正，以确保易于阅读。

BZ#735962

在此次更新之前，passmas 脚本没有使用完整路径(/bin/su)调用 "su" 二进制文件。passmass 脚本已被修改来调用"/bin/su"而不是"su"，这更加安全。

BZ#742911

由于与不正确的字符匹配，由 autoexpect 工具创建的应用程序可能会意外终止，并显示分段错误。在这个版本中，字符数量会被正确匹配，由 autoexpect run 创建的应用程序可以成功。

BZ#782859

在以前的版本中，expect-devel 子软件包包含到 expect 库的符号链接，这会导致不必要的依赖项。在这个版本中，链接位于 expect 软件包中。

BZ#752699

在此次更新之前，在没有 fcoe-target 工具的情况下启动 targetadmin 可能会导致以下输出：

OSError: [Errno 2] No such file or directory: '/sys/kernel/config/target

在这个版本中，修改底层代码，以便在不运行 fcoe-target 服务的情况下调用 targetcli 时会显示警告信息。

BZ#813664

在此次更新之前，fcoe-target-utils 使用可执行名称 "targetadmin"，它没有反映上游版本中的当前名称。在这个版本中，将名称改为 "targetcli"，以匹配上游版本。

BZ#815981

在此次更新之前，配置状态被保存到 "tcm_start.sh"，当 fcoe-target 服务启动时，fcoe-target 初始化脚本会从此文件中恢复状态。为提高可靠性，这个更新使用新方法保存和恢复 fcoe-target 配置；现在将其保存到 "/etc/target/saveconfig.json"。

BZ#750277

在此次更新之前，Fibre Channel over Ethernet (FCoE)目标模式的 fcoe-target-utils 软件包仅作为技术预览提供。在这个版本中，Red Hat Enterprise Linux 6 完全支持 fcoe-target-utils 软件包。

BZ#804936

当 fcoe 服务运行时，"service fcoe status"命令会返回一个不正确的返回值。在这个版本中，底层代码已被修改，fcoe 现在会在这些情况下返回正确的代码。

错误修复

BZ#872620

隔离速度至关重要，因为否则损坏的节点有更多时间破坏数据。在以前的版本中，fence_vmware_soap 隔离代理的操作速度较慢，在具有数百个虚拟机的 VMWare vSphere 平台上可能会损坏数据。这个版本解决了没有有效 UUID 的虚拟机出现问题，该 UUID 可以在失败的 P2V (Physical-to-Virtual)进程过程中创建。现在，隔离过程也更快，如果遇到没有 UUID 的虚拟机，则不会终止它。

程序错误修复

BZ#769681

fence_rhevm 隔离代理使用 Red Hat Enterprise Virtualization API 检查虚拟机的电源状态("on"或"off")。除了 "up" 和 "down" 状态外，API 还包括其他状态的数量。在以前的版本中，只有在机器处于"up"状态时，才会返回 "on" 电源状态。即使机器正在运行，也会为所有其他状态返回"off"状态。这允许在机器真正关闭前成功进行隔离。有了这个更新，fence_rhevm 代理会更保守地检测群集节点的电源状态，并且仅在计算机实际关闭的情况下返回"off"状态，处于"down"状态。

BZ#772597

在以前的版本中，fence_soap_vmware 隔离代理无法与集群中的一百台机器一起工作。因此，使用 fence_soap_vmware 隔离代理隔离在 VMWare 中运行的集群节点会失败，并显示 "KeyError: 'config.uuid'" 错误消息。在这个版本中，底层代码已被修复，以便在此类集群中支持隔离。

BZ#740484

在以前的版本中，fence_ipmilan 代理无法处理包含空格字符的 passwd_script 参数值。因此，无法使用需要额外参数的密码脚本。在这个版本中，确保 fence_ipmilan 接受并正确解析 passwd_script 参数的值。

BZ#771211

在以前的版本中，fence_vmware_soap 隔离代理不会公开正确的隔离虚拟机路径。有了这个更新，fence_vmware_soap 已被修复，以支持此虚拟机识别。

BZ#714841

在以前的版本中，某些隔离代理不会生成正确的元数据输出。因此，无法使用元数据自动生成手动页面和用户界面。在这个版本中，所有隔离代理都会按预期生成元数据。

BZ#771936

自动工具可以找到可能的缓冲区溢出和空解引用缺陷。在这个版本中，这个问题已被解决。

BZ#785091

当预期但未提供密码时，使用身份文件进行 SSH 的隔离代理会意外终止。这个程序错误已被解决，在上述场景中返回正确的错误消息。

BZ#787706

fence_ipmilan 隔离代理没有遵守 power_wait 选项，且不会在向设备发送 power-off 信号后等待。因此，设备可能会终止其关闭序列。这个程序错误已被解决，fence_ipmilan 现在会在按预期关闭机器前等待。

BZ#741339

fence_scsi 代理创建 fence_scsi.dev 文件，该文件包含节点在 unfence 操作过程中注册的设备列表。每个未隔离操作都未链接此文件。因此，如果在 cluster.conf 文件中使用了多个隔离设备条目，则 fence_scsi.dev 只包括节点在最近未fence 操作过程中注册的设备。现在，如果 fence_scsi.dev 中不存在当前正在注册的设备，而不是未链接调用，则会将其添加到该文件中。

BZ#804169

如果"delay"选项设定为 5 秒以上，而隔离设备通过 telnet_ssl 工具连接，则连接超时，且隔离设备失败。现在，在打开连接前会应用 "delay" 选项，从而解决了这个问题。

BZ#806883

在以前的版本中，隔离代理返回的 XML 元数据会错误地将所有属性列为"unique"。在这个版本中解决了这个问题，属性只有在此信息有效时才会被标记为唯一。

BZ#806912

在这个版本中，在 fence_ipmilan 代理的错误消息中解决了一个拼写错误。

BZ#806897

在此次更新之前，在使用 "-M cycle" 选项时，IPMI （智能平台管理接口）的隔离代理可能会返回一个无效的返回代码。这个无效的返回码可能会导致隔离操作无效，从而导致集群变得无响应。这个程序错误已被解决，在上述场景中仅返回预定义的返回代码。

BZ#804805

在以前的版本中，fence_brocade 隔离代理无法区分与标准"选项"选项的"操作"选项。因此，"action"选项会被忽略，节点总是被隔离。这个程序错误已被解决，现在两个选项会被正确识别并执行操作。

功能增强

BZ#742003

这个版本添加了使用安全 shell 访问 Fujitsu RSB 隔离设备的功能。

BZ#753974

在此次更新之前，libvirt-qpid 插件无法正确处理异常。因此，如果与指定的 qpid 守护进程的连接失败，则 fence_virtd 守护进程可能会意外终止。这个版本修改了异常处理。现在，隔离操作可以正常工作。

BZ#758392

在此次更新之前，当无法读取密钥文件时，散列实用程序 sha_verify 无法正确处理错误。因此，如果 fence_virtd 无法在启动时读取指定的密钥文件，则 fence_virtd 守护进程可能会在收到隔离请求时意外终止。如果无法读取密钥文件，则此更新会修改错误处理。现在，fence_virtd 不再在这些条件下终止。

BZ#761215

在此次更新之前，fence_virt.conf (5)手册页中的 serial 模式的 XML 示例包含一个不正确的右标签。在这个版本中修正了这个标签。

BZ#806949

在此次更新之前，libvirt-qpid 插件直接链接到 qpid 库，而不是仅链接 qmfv2 库。因此，qpid 库的较新版本无法用于 libvirt-qpid 插件。此更新不再直接链接到 qpid 库。现在，较新的 qpid 库可以与 libvirt-qpid 一起使用。

BZ#809101

在此次更新之前，fence_virtd.conf 手册页和 fence_virtd.conf 生成器错误地声明，fence_virtd 侦听所有网络接口。这两者都已被修改为默认的状态，fence_virtd 侦听默认网络接口。

程序错误修复

BZ#795425

file 实用程序不包含检测 QED 镜像的"magic"模式，因此无法检测此类镜像。添加了用于检测 QED 镜像的新"magic"模式，文件实用程序现在会如预期检测到这些镜像。

BZ#795761

file 实用程序不包含检测 cookie 镜像的"magic"模式，因此无法检测此类镜像。添加了用于检测 cookie 镜像的新"magic"模式，文件实用程序现在会如预期检测到这些镜像。

BZ#797784

在以前的版本中，文件工具不会尝试从 ~/.magic.mgc 文件中加载"magic"模式，这会导致存储在此文件中的"magic"模式不可用。在这个版本中，修改 file 工具，因此它现在会尝试载入 ~/.magic.mgc 文件。如果存在该文件，且该文件中定义的"magic"模式可以正常工作，则会加载该文件。

BZ#801711

在以前的版本中，文件工具使用 "-z" 选项解压缩文件时使用读取超时。因此，实用程序无法检测 bzip2 工具压缩的文件。底层源代码已被修改，在解压缩压缩文件时，文件不再使用读取超时。现在，在使用 "-z" 选项时，压缩文件会如预期检测到。

BZ#859834

在以前的版本中，文件实用程序包含多个"magic"模式，用于检测"dump"备份工具的输出。在 big-endian 架构中，使用了不太详细的"magic"模式，文件工具的输出不一致。现在，删除了不太详细的"magic"模式，现在使用一个更详细、更详细的"magic"模式来检测"dump"输出。

BZ#688136

在以前的版本中，文件实用程序包含只根据一个字节错误地检测到文件的"magic"模式。因此，以该特定字节开始的 Unicode 文本文件可能会错误地识别为 DOS 可执行文件。在这个版本中，删除了有问题的模式。不再接受匹配少于 16 位的特征，实用程序不再将 Unicode 文件检测为 DOS 可执行文件。

BZ#709846

在以前的版本中，Dell BIOS 标头检测的"magic"模式已过时。因此，文件工具不会检测较新的 BIOS 格式。"magic"模式已更新，文件实用程序现在可以正确检测 Dell BIOS 的新格式。

BZ#719583

在以前的版本中，用户只能将新的"magic"文件添加到主目录中。因此，用户无法为系统范围的某些特殊文件格式配置"magic"模式。有了这个更新，向后移植补丁提供了一种从 /etc/magic 文件中读取"魔法"模式的方法。

BZ#733229

在以前的版本中，Python 的"魔法"模式不足。因此，文件工具无法根据 Python 功能定义检测 Python 脚本。在这个版本中，对 Python 的检测有所改进，Python 脚本可以被正确识别。

BZ#747999

在以前的版本中，文件工具不包含用于使用 LZMA 算法压缩的文件的"magic"模式。因此，文件工具无法检测到这些文件。在这个版本中，添加了缺少的"magic"模式，LZMA 压缩文件现在如预期检测到。

BZ#758109

在以前的版本中，file 工具不包含"magic"模式，用于检测tanium 微处理器上的交换签名。因此，文件工具无法检测到签名。这个版本添加了缺少的"magic"模式，并如预期在tanium 微处理器上检测到交换签名。

BZ#760083

在以前的版本中，文件工具没有从 RPM 文件中解析 RPM 软件包的名称。因此，实用程序没有打印 RPM 软件包的名称。这个更新为 RPM 软件包名称解析添加了一个"magic"模式，该名称现在会如预期打印。

安全修复

CVE-2013-0775, CVE-2013-0780,CVE-2013-0782,CVE-2013-0783

在处理不正确的网络内容时发现几个安全漏洞。包含恶意内容的网页可能会导致 Firefox 崩溃，或者可能使用运行 Firefox 的用户的特权执行任意代码。

CVE-2013-0776

它发现，在取消代理服务器的身份验证提示后，地址条继续显示请求的站点地址。攻击者可以利用此漏洞通过欺骗用户查看可信站点来对网络进行攻击。

安全修复

CVE-2012-1948,CVE-2012-1951,CVE-2012-1952,CVE-2012-1953,CVE-2012-1954,CVE-2012-1958,CVE-2012-1962,CVE-2012-1967

包含恶意内容的网页可能会导致 Firefox 崩溃，或者可能使用运行 Firefox 的用户的特权执行任意代码。

CVE-2012-1959

恶意网页可能会绕过同一部分安全包装程序(SCSW)，并使用 chrome 特权执行任意代码。

CVE-2012-1966

Firefox 中上下文菜单功能中的一个缺陷可能会导致恶意网站绕过预期的限制，并允许跨站点脚本攻击。

CVE-2012-1950

在拖放地址条中时，可以显示与地址栏中不同的页面，从而方便恶意站点或用户执行网络攻击。

CVE-2012-1955

在名为 history.forward 和 history.back 的方式中存在一个缺陷，攻击者可以把一个恶意的 URL 纳入一个恶意 URL，用户可能会欺骗用户查看可信网站。

CVE-2012-1957

Firefox 用来解析源（如 RSS）的解析器实用程序类中的一个缺陷，攻击者可以利用运行 Firefox 的用户的特权执行任意 JavaScript。此问题可能会影响其他浏览器组件或假设类返回清理输入的附加组件。

CVE-2012-1961

Firefox 处理 X-Frame-Options 标头的方式存在缺陷，允许恶意网站执行 clickjacking 攻击。

CVE-2012-1963

Firefox 生成内容安全策略(CSP)报告的方式中的一个缺陷，可以允许恶意网页窃取一个受害的 OAuth 2.0 访问令牌和 OpenID 凭证。

CVE-2012-1964

Firefox 处理证书警告的方式中存在一个缺陷，允许中间人攻击者创建精心设计的警告，从而可能会使用户接受任意证书被信任。

CVE-2012-1965

Firefox 处理源的方式存在缺陷：javascript URL 可以允许绕过输出过滤，这可能会导致跨站点脚本攻击。

安全修复

CVE-2012-1970,CVE-2012-1972,CVE-2012-1973,CVE-2012-1974,CVE-2012-1975,CVE-2012-1976,CVE-2012-3956,CVE-2012-3957,CVE-2012-3958,CVE-2012-3959, CVE-2012-1976 , CVE-2012-3956 , CVE-2012-1973 , CVE-2012-1974 , CVE-CVE-2012-3960,CVE-2012-3961,CVE-2012-3962,CVE-2012-3963,CVE-2012-3964

包含恶意内容的网页可能会导致 Firefox 崩溃，或者可能使用运行 Firefox 的用户的特权执行任意代码。

CVE-2012-3969,CVE-2012-3970

包含恶意可扩展 Vector Graphics (SVG)镜像文件的网页可能会导致 Firefox 崩溃，或者可能具有运行 Firefox 的用户特权执行任意代码。

CVE-2012-3967,CVE-2012-3968

Firefox 使用 WebGL 呈现某些镜像的方式中发现了两个漏洞。包含恶意内容的网页可能会导致 Firefox 崩溃，或者在某些情况下可能会执行具有运行 Firefox 的用户特权的任意代码。

CVE-2012-3966

在以 Icon Format (ICO)文件中对 Firefox 解码嵌入式位映射镜像的方式中发现了一个安全漏洞。包含恶意 ICO 文件的网页可能会导致 Firefox 在某些情况下崩溃，或者在某些情况下，可以使用运行 Firefox 的用户的权限执行任意代码。

CVE-2012-3980

在 Firefox Web 控制台处理"eval"命令的方式中发现了一个安全漏洞。在查看包含恶意内容的网页时，在 Web 控制台中运行"评估"可能会导致 Firefox 使用运行 Firefox 的用户的权限执行任意代码。

CVE-2012-3972

在 Firefox 使用 XSLT 的格式编号功能(Extensable Stylesheet Language Transformations)的方式中发现了一个越界内存读取缺陷。包含恶意内容的网页可能会导致信息泄漏，或导致 Firefox 崩溃。

CVE-2012-3976

找到，之前访问的站点的 SSL 证书信息可在地址栏中显示，而主窗口显示新页面。这可能会导致恶意攻击，因为攻击者可能会利用此漏洞来欺骗用户认为他们正在查看可信站点。

CVE-2012-3978

在 Firefox 中的 location 对象实现中发现了一个安全漏洞。恶意内容可能会使用这个缺陷来允许加载受限的内容。

安全修复

CVE-2012-4194,CVE-2012-4195,CVE-2012-4196

Firefox 中的位置对象实现中发现了多个漏洞。恶意内容可用于执行跨站点脚本攻击、绕过同一原始策略，或者导致 Firefox 执行任意代码。

安全修复

CVE-2013-0744,CVE-2013-0746,CVE-2013-0750,CVE-2013-0753,CVE-2013-0754,CVE-2013-0762,CVE-2013-0766,CVE-2013-0767,CVE-2013-0769

在处理不正确的网络内容时发现几个安全漏洞。包含恶意内容的网页可能会导致 Firefox 崩溃，或者可能使用运行 Firefox 的用户的特权执行任意代码。

CVE-2013-0758

在实现 Chrome Object Wrappers 的方式中发现了一个安全漏洞。恶意内容可用于导致 Firefox 通过 Firefox 中安装的插件执行任意代码。

CVE-2013-0759

Firefox 在地址栏中显示 URL 值的方式中的缺陷可能会允许恶意站点或用户执行恶意攻击。

CVE-2013-0748

在 Firefox 中实施特定 JavaScript 功能的方式中发现了一个信息披露漏洞。攻击者可以利用此漏洞绕过地址空间布局随机化(ASLR)和其他安全限制。

安全修复

CVE-2012-3982,CVE-2012-3988,CVE-2012-3990,CVE-2012-3995,CVE-2012-4179,CVE-2012-4180,CVE-2012-4181,CVE-2012-4182,CVE-2012-4183,CVE-2012-4185,CVE-2012-4186,CVE-2012-4187, CVE-2012-4182,CVE-2012-4182,CVE-

在处理不正确的网络内容时发现几个安全漏洞。包含恶意内容的网页可能会导致 Firefox 崩溃，或者可能使用运行 Firefox 的用户的特权执行任意代码。

CVE-2012-3986,CVE-2012-3991

Firefox 中的两个漏洞可以允许恶意网站绕过预期的限制，从而可能导致信息泄露或 Firefox 执行任意代码。请注意，信息披露问题可能会与其他漏洞结合使用，以实现任意代码执行。

CVE-2012-1956,CVE-2012-3992,CVE-2012-3994

Firefox 中的位置对象实现中发现了多个漏洞。恶意内容可用于执行跨站点脚本攻击、脚本注入或欺骗攻击。

CVE-2012-3993,CVE-2012-4184

在 Chrome Object Wrappers 的实施方式中发现了两个漏洞。恶意内容可用于执行跨站点脚本攻击，或导致 Firefox 执行任意代码。

错误修复

BZ#809571, BZ#816234

在某些环境中，将个人 Firefox 配置文件(~/.mozilla/)存储在 NFS 共享上，例如您的主目录位于 NFS 共享上时，导致 Firefox 正常运行，例如，导航按钮无法正常工作，而且书签未保存。在这个版本中，添加了一个新的配置选项 storage.nfs_filesystem，可用于解决这个问题。

如果您遇到这个问题：

1. 启动 Firefox。
2. 在 URL 栏中键入 "about:config" （不带引号），然后按 Enter 键。
3. 如果提示"这可能会使您的保证都失效！"，请单击"我将小心，我承诺！"按钮。
4. 在 Preference Name 列表中，右键单击。在打开的菜单中，选择 New -> 布尔值。
5. 输入"storage.nfs_filesystem" （不带引号）作为首选项名称，然后单击确定按钮。
6. 为布尔值选择 "true"，然后按 OK 按钮。

安全修复

CVE-2012-4214,CVE-2012-4215,CVE-2012-4216,CVE-2012-5829,CVE-2012-5830,CVE-2012-5833,CVE-2012-5835,CVE-2012-5839, CVE-2012-5840 ,CVE-2012-5840,CVE-2012-5842

在处理不正确的网络内容时发现几个安全漏洞。包含恶意内容的网页可能会导致 Firefox 崩溃，或者可能使用运行 Firefox 的用户的特权执行任意代码。

CVE-2012-4202

Firefox 处理 GIF （图形交换格式）镜像的方式中发现了一个缓冲区溢出缺陷。包含恶意 GIF 镜像的网页可能会导致 Firefox 崩溃，或者可能使用运行 Firefox 的用户的特权执行任意代码。

CVE-2012-4210

在 Firefox 中，Style Inspector 工具处理某些 Cascading Style Sheets (CSS)的方法中发现了一个安全漏洞。在恶意 CSS 上运行工具(Tools -> Web Developer -> Inspect)可能会导致使用 chrome 权限执行 HTML 和 CSS 内容。

CVE-2012-4207

Firefox 解码 HZ-GB-2312 字符编码的方式中发现了一个安全漏洞。包含恶意内容的网页可能会导致 Firefox 运行具有不同网站的 JavaScript 代码。

CVE-2012-4209

在 Firefox 中的 location 对象实现中发现了一个安全漏洞。恶意内容可能会使用这个缺陷来允许通过插件加载限制的内容。

CVE-2012-5841

在实施跨原始打包程序的方式中发现了一个安全漏洞。恶意内容可能会使用这个缺陷来执行跨站点脚本攻击。

CVE-2012-4201

Firefox 中的 evalInSandbox 实施中发现了一个安全漏洞。恶意内容可能会使用这个缺陷来执行跨站点脚本攻击。

BZ#704187

在此次更新之前，firstboot 工具不允许用户更改时区。在这个版本中，将 timezone 模块添加到 firstboot 中，以便用户现在可以在重新配置模式中更改时区。

BZ#753658

在此次更新之前，firstboot 服务不提供 status 选项。在这个版本中，添加了"firstboot 服务状态"选项，以显示 firstboot 是否计划在下次引导时运行。

安全修复

CVE-2012-1535

在这个版本中，Adobe Flash Player 中存在一个漏洞。此漏洞在 APSB12-18 ( APSB12-18 )中详细介绍。特制的 SWF 内容可能会导致 flash-plugin 崩溃，或者在一个包含恶意 SWF 内容的页面时执行任意代码。

安全修复

CVE-2012-5274,CVE-2012-5275,CVE-2012-5276,CVE-2012-5277,CVE-2012-5278,CVE-2012-5279,CVE-2012-5280

在这个版本中，Adobe Flash Player 中修复了几个漏洞。bebe Security bulletin APSB12-24 包括了这些漏洞。特制的 SWF 内容可能会导致 flash-plugin 崩溃，或者在一个包含恶意 SWF 内容的页面时执行任意代码。

安全修复

CVE-2013-0633, CVE-2013-0634

在这个版本中，Adobe Flash Player 解决了两个漏洞。这些漏洞在 APSB13-04 中的 APSB13-04 中详细介绍。特制的 SWF 内容可能会导致 flash-plugin 崩溃，或者在一个包含恶意 SWF 内容的页面时执行任意代码。

安全修复

CVE-2012-5248,CVE-2012-5249,CVE-2012-5250,CVE-2012-5251,CVE-2012-5252,CVE-2012-5253,CVE-2012-5254,CVE-2012-5255,CVE-2012-5256,CVE-2012-5257,CVE-2012-5258,CVE-2012-5 259, CVE-2012-5 260, CVE-2012-526 1, CVE-2012-526 2, CVE-2012-5 263, CVE-2012-52 64, CVE-2012-5 265, CVE-2012-5 266, CVE-2012-5 267, CVE-2012-5 268, CVE-2012 -5269, CVE-2012 -5270, CVE-2012 -5271, CVE-2012-5272

在这个版本中，Adobe Flash Player 中修复了几个漏洞。这些漏洞在 APSB12-22 中的 APSB12-22 中详细介绍。特制的 SWF 内容可能会导致 flash-plugin 崩溃，或者在一个包含恶意 SWF 内容的页面时执行任意代码。

安全修复

CVE-2012-5676,CVE-2012-5677,CVE-2012-5678

在这个版本中，Adobe Flash Player 解决了三个漏洞。这些漏洞在 APSB12-27 的 APSB12-27 中详细介绍。特制的 SWF 内容可能会导致 flash-plugin 崩溃，或者在一个包含恶意 SWF 内容的页面时执行任意代码。

安全修复

CVE-2013-0630

在这个版本中，Adobe Flash Player 中存在一个漏洞。此漏洞在 APSB13-01 中的 APSB13-01 中详细介绍。特制的 SWF 内容可能会导致 flash-plugin 崩溃，或者在一个包含恶意 SWF 内容的页面时执行任意代码。

安全修复

CVE-2013-0638,CVE-2013-0639,CVE-2013-0642,CVE-2013-0644,CVE-2013-0645,CVE-2013-0647,CVE-2013-0649,CVE-2013-1365,CVE-2013-1366,CVE-2013-1367,CVE-2013-1368,CVE-2013-1 369, CVE-2013- 1370, CVE-2013-137 2, CVE-2013-1 373, CVE-2013-1374

在这个版本中，Adobe Flash Player 中修复了几个漏洞。bebe Security bulletin APSB13-05 中详细介绍了这些漏洞。特制的 SWF 内容可能会导致 flash-plugin 崩溃，或者在一个包含恶意 SWF 内容的页面时执行任意代码。

CVE-2013-0637

如果一个受害于访问特制的网页，则利用闪存插件中的一个缺陷可让攻击者获取敏感信息。

BZ#676607

在以前的版本中，"configure.in"文件不包括如何处理 64 位 PowerPC 架构的信息。尝试在同一 64 位 PowerPC 机器上安装 fontforge-devel multilib PowerPC 和 64PowerPC RPM 软件包，从而导致这些软件包冲突。在这个版本中，修改 "configure.in" 文件，以便允许在同一机器上安装 fontforge-devel 多lib RPM 软件包。在上述场景中不再会发生冲突。

BZ#665837

在以前的版本中，如果机器上没有 USB 支持（例如，禁用对客户机的 USB 支持的虚拟机），fprintd 守护进程会收到 SIGABRT 信号，因此通常终止。此类崩溃不会造成任何系统失败，但自动错误报告工具(ABRT)每次都会警报。在这个版本中，底层代码已被修改，fprintd 守护进程现在可以在没有 USB 支持的机器上安全地退出。

安全修复

CVE-2012-3547

在 radiusd 处理 X.509 客户端证书中的过期日期字段的方式中发现了一个缓冲区溢出缺陷。如果远程攻击者被配置为使用证书或 TLS 隧道提供的身份验证方法（如 EAP-TLS、EAP-TTLS 和 PEAP），则可能会使用此缺陷崩溃 radiusd。

BZ#787116

请求 PPP hint 选项的 radtest 命令行参数没有正确解析。因此，radclient 不会将 PPP 提示添加到请求数据包中，测试会失败。这个版本解决了这个问题，radtest 现在可以正常工作。

BZ#705723

日志轮转后，radiusd 守护进程在日志轮转和日志消息丢失后无法重新加载 radiusd 守护进程。在这个版本中，向 freeradius logrotate 脚本添加了一个命令，以重新加载 radiusd 守护进程和 radiusd 守护进程重新初始化，并在日志轮转后重新打开其日志文件。

BZ#712803

带有 eap-md5 选项的 radtest 参数会失败，因为它在调用 radeapclient 实用程序时传递 IP 系列参数，并且 radeapclient 实用程序无法识别 IP 系列。radeapclient 现在识别 IP 系列参数，radtest 现在可以按预期与 eap-md5 一起工作。

BZ#700870

在以前的版本中，在没有"-with-udpfromto"选项的情况下编译 freeradius。因此，使用多homed 服务器并明确指定 IP 地址，Rradial 从错误的 IP 地址发送回复。在这个版本中，使用 --with-udpfromto 配置选项构建 freeradius，并且 RADIUS 回复始终从发送请求的 IP 中获取。

BZ#753764

unix 模块不检查本地密码的密码过期字段，调试信息错误。因此，尽管密码过期密码，在本地密码文件中具有过期密码的用户会被验证。在这个版本中，检查密码过期过程已被修改。具有过期本地密码的用户将被拒绝访问，并将正确的调试信息写入日志文件中。

BZ#690756

由于 PostgreSQL admin 模式文件中的无效语法，因此无法创建 FreeRADIUS PostgreSQL 表。在这个版本中，语法已被调整，表会如预期创建。

BZ#782905

当 FreeRADIUS 收到请求时，它有时会出现以下信息失败：

WARNING: Internal sanity check failed in event handler for request 6

这个程序错误已通过升级到上游版本 2.1.12 来解决。

BZ#810605

FreeRADIUS 有一个线程池，它将根据负载动态增长。如果使用 rlm_perl （） 函数生成多个线程，则 freeradius 有时因为对 rlm_perl_clone （） 函数的并行调用而意外终止，并带有分段错误。在这个版本中，增加了线程的 mutex，这个问题不再发生。

安全修复

CVE-2012-5669

在 FreeType 字体渲染引擎处理某些 Glyph Bitmap 分发格式(BDF)字体的方式中发现了一个安全漏洞。如果用户载入了一个专门制作的字体文件，其具有与 FreeType 链接的应用程序，可能会导致应用程序崩溃或可能，执行具有运行应用程序的用户特权的任意代码。

错误修复

BZ#783868

在此次更新之前，当堆栈大小设置为无限时，使用 ftp 命令"put"会导致 sysconf (_SC_ARG_MAX)功能返回 -1，这会导致 malloc （） 函数被调用为 0 参数，并导致显示 "Out of memory" 消息。在这个版本中，底层源代码已被改进，以分配合理的最小内存。因此，如果堆栈大小之前设置为无限，则"超出内存"消息将不再出现。

程序错误修复

BZ#871072

之前 FTP 的实施没有为其命令正确分配的内存。因此，每当运行 "append", "put" 和 "send" 命令时，内存泄漏都会发生。在这个版本中，底层源代码已被修正，分配内存现在可以按预期释放。

BZ#871547

在以前的版本中，用于 FTP 宏定义的缓冲区的大小限制为 200 个字符。因此，如果宏大小大于 200 个字符，则缓冲区溢出，并且 FTP 客户端意外终止。这个版本扩展了 FTP 宏的缓冲，以匹配 FTP 命令行限制的大小，现在为 4296 字符。在这种情况下，FTP 客户端不再崩溃。

功能增强

BZ#871060

在以前的版本中，FTP 客户端中的命令行宽度限制为 200 个字符。在这个版本中，FTP 命令行的最大可能长度已扩展到 4296 字符。

错误修复

BZ#869858

在此次更新之前，如果定义了超过 200 个字符的宏，则 ftp 客户端可能会遇到缓冲区溢出并中止，然后在连接后使用。在这个版本中，修改包含宏名称内存的底层代码和缓冲已扩展。现在，在执行带有长名称的宏时，ftp 会匹配命令行限制的长度，并且 ftp 客户端不会在有长名称的宏时中止。

程序错误修复

BZ#665337

在以前的版本中，FTP 客户端中的命令行宽度限制为 200 个字符。在这个版本中，FTP 命令行的最大可能长度被扩展为 4296 字符。

BZ#786004

在此次更新之前，"append"、"put"和"send"命令会导致系统内存泄漏。包含 ftp 命令的内存没有被适当释放。在这个版本中，底层源代码已被改进，可以正确地释放系统资源，不再存在内存泄漏。

BZ#849940

在以前的版本中，无法调用 ftp 客户端来直接在活跃模式下运行。此功能已添加到源代码中，并记录在手册页中。客户端现在可以使用额外的"-A"命令行参数执行，并将在活动模式下运行。

BZ#852636

在以前的版本中，当 ftp-data 端口(20)不可用时，ftp 客户端会挂起（例如，被阻断）。然后，必须手动终止客户端。在源代码中添加了额外的逻辑。在这个版本中，ftp 将内部超时设置为 30 秒。如果此时没有来自服务器的回答，则 ftp 现在将正常超时，且不会挂起。

错误修复

BZ#829558

在此次更新之前，"re_string_skip_chars"函数错误地使用字符数而不是原始长度来估算字符串长度。因此，任何没有使用 UTF-8 格式的多字节编码文本都无法正确处理。这个版本修改了底层代码，以便使用正确的字符串长度。正确处理多字节编码。

BZ#648906

在此次更新之前，gawk 工具在某些情况下可以将一些运行时变量解释为内部零长度变量原型。当 gawk 试图释放此类运行时变量时，它会实际释放内部设计模型，因为内存节省而分配的一次。因此，gawk 有时会失败，并显示错误消息 "awk: double free or corruption"。在这个版本中，这个问题已被解决，不再发生错误。

BZ#740673

在此次更新之前，gawk 工具不会从命令行参数复制变量。因此，无法按预期访问变量。在这个版本中，修改底层代码，以便 gawk 制作这些变量的副本。

BZ#743242

在此次更新之前，Yacc 解释器遇到处理更大堆栈的问题。因此，在解释 AWK 代码时，Yacc 解释器可能会失败，并显示堆栈溢出错误。此更新扩大堆栈和 Yacc 现在可以处理这些 AWK 程序。

BZ#751767

gfortran 编译器可能无法编译带有内部编译器错误的代码。这是因为 trans-types.c 库的 gfc_type_for_size （） 函数没有返回正确的数据类型，如果需求位精度小于对应类型的内置位精度大小。在这个版本中，如果没有找到合适的缩小类型，且正确编译代码，则函数会返回相应的更广泛的类型。

BZ#756138

当使用 -O2 或 -O3 优化选项编译时，G++ 编译器会意外终止分段错误，并返回内部编译器错误。这是因为编译器尝试在 remove_path （）函数中尝试取消同一循环两次。在这个版本中，循环只会取消一次，在这种情况下不再发生分段错误。

BZ#756651

在以前的版本中，如果在分割双集模式时合并指令，GCC 可能会生成不正确的代码。这是因为在组合指令时处理分割模式的方式出现错误。在这个版本中，合并的代码处理指令已被修复，问题不再发生。

BZ#767604

在以前的版本中，GCC 可能会意外终止内部编译器错误，这是由"-mtune=z10"设置启用的主动循环 peeling 触发的。在这个版本中，注册会正确从指令模式决定，在此场景中编译可以成功。

BZ#799491

在 Firefox 中进入 Web 控制台会导致 Firefox 意外终止。这是因为编译器错误地克隆其中一个在这样的情形中调用的功能。在这个版本中，这个功能不再被克隆，问题不再发生。

BZ#739443

在以前的版本中，GCC 编译器不包含带有转换半浮点类型的函数的标头。在这个版本中，添加了标头并修复 GCC，以便它可以与 AMD FX 处理器微架构上的 "-march=native" 选项正常工作。

BZ#739685

要载入核心文件，GDB 需要用于生成核心文件的二进制文件。GDB 使用内置检测来自动加载匹配的二进制文件。但是，您可以手动指定任意二进制文件并覆盖检测。在以前的版本中，载入与调用核心文件不匹配的其他二进制文件可能会导致 GDB 意外终止。在这个版本中，底层代码已被修改，GDB 不会在这些情况下崩溃。

BZ#750341

在以前的版本中，GDB 可能会因为 cp_scan_for_anonymous_namespaces （） 函数错误而加载使用早期 GCC 编译器编译的 C++ 程序的符号时，会意外终止。在这个版本中，提供了一个修复这个程序错误的上游补丁，GDB 现在会在没有崩溃的情况下加载任何已知的可执行文件。

BZ#781571

如果 GDB 无法找到关联的 debuginfo rpm 符号文件，GDB 会显示以下消息建议使用 yum 工具安装符号文件：

缺少主可执行文件的单独 debuginfo Try: yum --disablerepo='*' --enablerepo='*-debuginfo' install /usr/lib/debug/.build-id/47/830504b69d8312361b1ed465ba86c9e815b800

但是，推荐的 "--enablerepo='*-debuginfo'" 选项无法与 RHN （红帽网络）调试软件仓库一起工作。在这个版本中，将消息中的选项正确为 "--enablerepo='*-debug*'"，推荐的命令可以正常工作。

BZ#806920

在 PowerPC 平台上，IBM XL Fortran 编译器创建的 DWARF 信息不包含 DW_TAG_subrange_type 的 DW_AT_type 属性；但是，GCC 生成的 DWARF 信息中的 DW_TAG_subrange_type 始终包含 DW_AT_type 属性。在以前的版本中，GDB 可能会错误地解释 IBM XL Fortran 编译器中的数组，因为它缺少 DW_AT_type 属性，即使这遵循 DWARF 标准。现在，如果任何 DW_TAG_subrange_type 都会正确处理来自 IBM XL Fortran 和 GCC 编译器的进程调试信息，则这个 GDB 可以正确地提供 stub 索引类型。

错误修复

BZ#860646

当 gdm 用于通过 XDMCP (X Display Manager Control Protocol)连接到服务器时，使用 "ssh -X" 命令连接到远程系统会导致 X 服务器的授权错误。因此，远程系统无法显示 xterm 等应用程序。这个更新在上述场景中提供了兼容 MIT-MAGIC-COOKIE-1 密钥，从而解决了这个问题。

错误修复

BZ#790400

在更新之前，当更改行的 thickness 时，gd 图形库会错误处理反转的 Y 协调。因此，更改了 thickness 的行被错误地利用。在这个版本中，修改底层代码来正确地利用更改的厚性行。

安全修复

CVE-2012-4433

在处理 .ppm （可移植 Pixel Map）镜像文件的方式中发现了一个整数溢出漏洞，导致基于堆的缓冲区溢出。攻击者可以创建一个专门制作的 .ppm 文件，该文件在 gegl 中打开时，会导致 gegl 崩溃或可能执行任意代码。

错误修复

BZ#818755

在此次更新之前，geronimo-specs-compat 软件包描述包含不准确引用。在这个版本中，删除了这些引用，以便描述准确。

安全修复

CVE-2012-4405

Ghostscript 的国际 Color Consortium Format 库(icclib)中发现了一个整数溢出缺陷，导致基于堆的缓冲区溢出。攻击者可以创建一个专门制作的Script 或 PDF 文件，并带有嵌入式镜像，这会导致 Ghostscript 崩溃或可能，执行具有运行 Ghostscript 的用户特权的任意代码。

BZ#643105

在此次更新之前，gdevcups 驱动程序会生成 CUPS Raster 输出，并错误地处理内存分配。在某些情况下，这可能会导致 ghostscript 程序意外终止。在这个版本中，应用向后移植修复来处理此 ghostscript 版本的内存分配，不再会发生崩溃。

BZ#695766

在此次更新之前，某些包含 CID Type2 字体的输入文件使用不正确的字符空间呈现。在这个版本中，修改代码，以便正确呈现带有 CID Type2 字体的所有输入文件。

BZ#697488

在此次更新之前，当环境情况中的页面转换为 PXL raster 格式时，页面情况情况不正确。在这个版本中，与环境页大小以及 portrait-page 大小匹配，并在找到匹配项时正确设置调整参数。

安全修复

CVE-2012-3481

GIMP 的 GIF 镜像格式插件中发现了一个整数溢出缺陷，导致基于堆的缓冲区溢出。攻击者可以创建一个专门编写的 GIF 镜像文件，该文件在打开时可能会导致 GIF 插件崩溃或可能，执行具有运行 GIMP 的用户特权的任意代码。

CVE-2011-2896

在 GIMP 的 GIF 镜像格式插件使用的 Lempel-Ziv-Welch (LZW)解压缩算法实现中发现了一个基于堆的缓冲区溢出缺陷。攻击者可以创建一个专门编写的 GIF 镜像文件，该文件在打开时可能会导致 GIF 插件崩溃或可能，执行具有运行 GIMP 的用户特权的任意代码。

CVE-2012-3403

在 GIMP 的 KiSS CEL 文件格式插件中发现了一个基于堆的缓冲区溢出缺陷。攻击者可以创建一个专门编写的 KiSS palette 文件，该文件在打开时可能会导致 CEL 插件崩溃，或者可能执行具有运行 GIMP 的用户特权的任意代码。

BZ#782194

在此之前，gtester-report 脚本没有在 glib2-devel 软件包中标记为可执行。因此，gtester-report 没有使用默认权限运行。这个版本更改了 glib2-devel 软件包定义，以便此脚本现在可以执行。

错误修复

BZ#843571

在此次更新之前，当此文件包含一个或多个 IPv6 名称服务器时，glibc 会错误地处理 /etc/resolv.conf 文件中的 "options rotate" 选项。因此，DNS 查询可能会意外失败，特别是当一个进程发出多个查询时。在这个版本中修复了从 /etc/resolv.conf 中列出的服务器的内部结构，以及这些结构的排序和轮转，以实现"选项轮转"功能。现在，在上述场景中，glibc 中可以正确地解析 DNS 名称。

安全修复

CVE-2012-3404, CVE-2012-3405,CVE-2012-3406

glibc 格式的打印功能中的多个错误允许攻击者绕过 FORTIFY_SOURCE 保护，并使用应用中的格式字符串缺陷执行任意代码，即使这些保护应该限制此类漏洞对应用程序中止的影响。

错误修复

BZ#837026

只有在 /etc/resolv.conf 文件包含 IPv6 名称服务器时，编程错误会导致内部名称服务器被部分初始化。根据近似结构的内容，这可能会导致某些应用程序意外终止，并出现分段错误。编程错误已被修复，它使用 /etc/resolv.conf 文件中列出的 IPv6 名称服务器恢复正确的行为。

错误修复

BZ#902685

逻辑错误导致 glibc 的 DNS 代码错误地处理来自 DNS 服务器的拒绝响应。因此，在服务器返回 REJECT 响应后，/etc/resolv.conf 文件中定义的其他服务器有时会无法搜索。在这个版本中，glibc 会在 /etc/resolv.conf 中列出的服务器中正确循环，即使其中一个服务器返回 REJECT 响应，从而解决了这个问题。

错误修复

BZ#864046

在以前的版本中，glibc nscd 守护进程中的内存管理中的一个错误会导致尝试释放不是由 malloc （）函数提供的指针。因此，nscd 可能会意外终止。只有在处理有大量成员的组时才会发生这个错误。在这个版本中，确保池分配器分配的内存不再传递给 "free"。相反，我们允许池分配器的垃圾收集器回收内存。因此，nscd 不再在有大量成员的组上崩溃。

安全修复

CVE-2012-3480

glibc 的函数发现了多个整数溢出漏洞，导致基于堆栈的缓冲区溢出漏洞，用于将字符串转换为数字表示(strtod （)、strtof （）和 strtold （））。如果应用程序在攻击者控制的输入中使用了此类功能，可能会导致应用程序崩溃或可能执行任意代码。

程序错误修复

BZ#808545

在以前的版本中，如果 nscd 守护进程收到 CNAME (Canonical Name)记录作为对 DNS （域名系统）查询的响应，则缓存的 DNS 条目会采用底层 A 或 AAAA 响应的 TTL （时间到 Live）值。这会导致 nscd 守护进程在重新载入 DNS 条目前等待意外时间。在这个版本中，nscd 使用响应中最短 TTL 作为整个记录的 TTL。现在，在这种情况下，DNS 条目会如预期重新载入。

BZ#789238

在以前的版本中，在重试路径中，主 malloc 的锁定是na 不正确。如果 sbrk 请求失败，这可能会导致死锁。在这个版本中，重试路径中的主 isna 锁定已被修复。这个问题是由 RHSA-2012:0058 更新中提供的程序错误修复公开。

BZ#688720

glibc 为法语、西班牙语和德语区域具有不正确的数字分隔符和分组信息。因此，使用 glibc 的区域设置支持打印号的应用程序带有不正确的分隔符，并在使用这些区域设置时分组。在这个版本中，分隔符和分组信息已被修复。

BZ#781646

在一些处理器中，调用 memcpy() 功能时，会使用优化的功能变体。但是，优化的功能变体会向后复制缓冲区。因此，如果源和目标缓冲区重叠，该程序会以意外的方式的行为。虽然此类调用违反了 ANSI/ISO 标准，因此被视为错误，但这个更新会恢复之前的 memcpy （）行为，这些程序现在使用函数的非优化变体来允许应用程序的行为如以前一样。

BZ#782585

在以前的版本中，动态加载程序为初始化生成了一个不正确的排序，它没有遵循 ELF 规格。这可能会导致 DSO (Dynamic Shared Object) constructors 和 destructors 的顺序不正确。在这个版本中，依赖项解析已被修复。

BZ#739971

RHBA-2011:1179 glibc 更新引入了一个回归问题，从而导致 glibc 错误地解析具有超过 126 成员的组。因此，应用程序（如 id ）无法列出特定用户所属的所有组。在这个版本中，组解析已被修复。

BZ#740506

由于其 malloc() 例程中的一个竞争条件，glibc 会错误地分配太多内存。这可能导致多线程应用程序为线程分配比预期更多的内存。在这个版本中，竞争条件已被修复，malloc 的行为与 MALLOC_ARENA_TEST 和 MALLOC_ARENA_MAX 环境变量的文档一致。

BZ#795498

在以前的版本中，glibc 在不正确的位置查找错误条件，因此无法处理 gaih_getanswer() 功能中的第二个响应缓冲。因此，getaddrinfo() 功能无法正确返回所有地址。在这个版本中修复了 gaih_getanswer() 中的错误测试条件，以便 glibc 现在可以正确地解析第二个响应缓冲。getaddrinfo() 功能现在可以正确地返回所有地址。

BZ#750531

在以前的版本中，将 htons() 功能与 -O2 和 -Wconversion 参数搭配使用的代码会导致 bogus 警告类似如下：

warning: conversion to \u2018short unsigned int\u2019 from \u2018int\u2019 may alter its value

在这个版本中修复了多个宏中的类型，在这些情况下不再返回警告。

BZ#696472

在以前的版本中，glibc 无法正确地检测 Intel Core i3、i5 和 i7 处理器。因此，glibc 有时使用了不正确的功能实现，从而导致性能不佳。在这个版本中修复了检测过程，程序库为处理器提供合适的功能实现。

BZ#771342

在以前的版本中，glibc 在 fork() 调用后不会初始化强大的 futex 列表。因此，在子进程退出后，共享强大的 mutex 锁定不会被清理。在这个版本中，确保在 fork 系统调用后正确初始化 robust futex 列表。

BZ#754628

当进程损坏其堆时，malloc() 函数可以在创建错误消息字符串时输入死锁。因此，进程可能会变得无响应。在这个版本中，进程使用 mmap() 功能为错误消息分配内存，而不是为 malloc() 功能分配。因此，malloc （）死锁不再发生，具有损坏堆的进程现在可以正常中止。

BZ#788959, BZ#797094, BZ#809602

在以前的版本中，glibc 无条件使用 alloca() 在各种例程中分配缓冲区。如果此类分配应用了大型内部内存请求，则可能会出现堆栈溢出，应用程序可能会意外终止。这个版本应用了几个上游补丁，以便 glibc 现在对这些分配使用 malloc()，且问题不再发生。

BZ#789209

在以前的版本中，glibc 为 Ukrainian currency 使用不正确的符号。在这个版本中，符号已被修复。

BZ#752123

在以前的版本中，无法在 64 位系统中安装 32 位 glibc-utils 软件包，因此 64 位 Intel 构架中缺少软件包。在这个版本中，修改 spec 文件，以便移动相应的文件并避免冲突。现在，这个软件包会如预期安装在这些 64 位系统中。

BZ#657572, BZ#785984

在以前的版本中，glibc 将未必要空格添加到 Finish 和 Chinese 区域中的缩写月份名称。在这个版本中，底层代码已被修改，且在区域设置的缩写月份名称中不再添加空格。

BZ#767746

在以前的版本中，glibc 从 pthread_create() 功能返回不正确的错误代码。因此，有些程序会错误地为临时失败发出错误，如临时内存不足的情况。在这个版本中，当内存分配在 pthread_create() 功能失败时，glibc 会返回正确的错误代码。

BZ#752122

在以前的版本中，glibc 的动态加载程序会错误地检测到高级向量扩展(AVX)功能，并可能会意外终止分段错误。这个更新修复了 AVX 检测，问题不再发生。

BZ#766513

在以前的版本中，glibc 的 getopt 例程中的错误字符串已更改，因为相关的日语翻译没有被调整，系统无法找到消息的日语版本。因此，即使系统区域设置被设置为日语，也会显示错误消息。这个更新修复了错误字符串的日语翻译，问题不再发生。

BZ#751750

在以前的版本中，IO_flush_all_lockp() 功能中的 glibc 锁定不正确。这会导致在多线程应用程序中调用 fork() 功能时出现异常死锁的竞争条件。在这个版本中解决了锁定的问题，并避免竞争条件。

BZ#784402

在以前的版本中，ns cd 守护进程会缓存所有临时结果，即使它们是负状态。这可能会导致错误的 nscd 结果。在这个版本中，确保不会缓存临时错误的负结果。

BZ#804630

当 resolv.conf 文件只包含设置了 IPv6 和 options rotate 的名称服务器时，始终会附加搜索域。但是，在完全限定域名(FQDN)时不需要这样做，如果使用 FQDN，则解析会失败。在这个版本中，底层代码已被修改，且 resolv.conf 中定义了多个 IPv6 名称服务器，则 FQDN 会被正确解决。有关此问题的更多信息，请参阅 bug 771204。

BZ#789189

在以前的版本中，当解析 resolv.conf 文件时，glibc 无法正确处理名称服务器条目中空格的解析。因此，正确的 DNS 查找会失败。在这个版本中解决了空间解析问题，问题不再发生。

BZ#804689

getaddrinfo() 调用可能会返回不正确的值。这是因为 getaddrinfo 的查询比必要复杂，getaddrinfo 无法正确处理查询返回的额外信息。在这个版本中，查询不再返回添加信息，并解决了这个问题。

功能增强

BZ#697421, BZ#749188

在以前的版本中，glibc 不支持为以下区域设置的 ISO-10646-UCS-2 字符： az_AZ、as_IN 和 tt_RU。在这个版本中，增加了对字符集和区域设置的支持。

错误修复

BZ#829891

在以前的版本中，当用户点击系统的热键（通常是 Fn+F7）更改显示配置时，系统可能会切换到无效的模式，这将无法显示。有了这个更新，gnome-desktop 现在选择有效的 XRandR 模式，并正确切换 hot-key 可以正常工作。

BZ#639732

在以前的版本中，由于对象没有销毁，Nautilus 文件管理器可能会消耗大量内存。因此，持续增长的常驻内存会减慢系统的速度。源代码已被修改，以防止出现内存泄漏，Nautilus 现在消耗合理的内存。

错误修复

BZ#860644

由于线程锁定机制中的一个错误，在读取数据时 gnome-keyring 守护进程可能会变得没有响应。在这个版本中解决了 thread-locking 机制，在上述场景中在 gnome-keyring 中不会再发生死锁。

BZ#708919, BZ#745695

在以前的版本中，缺少锁定线程的机制。因此，在某些情况下，gnome-keyring 可能会意外终止，在来自集成的 ssh-agent 的多个密钥请求时意外终止。在这个版本中，缺少的机制已集成到 gnome-keyring 中，因此 gnome-keyring 现在可以正常工作。

错误修复

BZ#839197

在以前的版本中，用户可以注销系统，或者在 PackageKit 更新工具正在运行并写入 RPM 数据库(rpmdb)时将其关闭。因此，rpmdb 可能会因为意外的终止而造成破坏和不一致，并导致 rpm、yum 和 PackageKit 工具的后续操作出现各种问题。这个版本修改了 PackageKit，当事务写入 rpmdb 处于活跃状态时不允许关闭系统，从而解决了这个问题。

BZ#676866

恢复系统或重新启用显示后，在通知区域中可能会出现一个图标，其中带有错误提示提示"Session active，而不是禁止屏幕闲置。如果您看到此测试，您的显示服务器将被破坏，您应通知您的经销商"。这个错误消息不正确，对系统没有影响，可以安全地忽略。另外，从通知和状态区域链接到外部 URL 是不需要的。为防止这种情况，该图标不再用于调试空闲问题。

错误修复

BZ#860643

启用 Mandatory 配置集时，当屏幕保存器处于活动状态时，不会禁用 Gnome Screensaver Preferences 窗口中的"Lock 屏幕"。这个程序错误可能会导致用户出现安全风险。在这个版本中，在上述场景中，lock-screen 选项会如预期禁用，从而防止这个错误。

错误修复

BZ#866528

在以前的版本中，当使用系统热键更改显示配置时，有时无法选择有效的 XRandR 配置，且监控器不会处于克隆模式。因此，无法切换。在这个版本中，gnome-settings-daemon 始终选择有效的 XRandR 模式，并按预期设置或取消设置克隆模式，从而修复这个程序错误。

BZ#693843

在以前的版本中，某些机器上的所选键盘布局在每次用户登录时都会恢复到"US"布局。在这个版本中，这个程序错误已被解决，所选键盘布局不再恢复。

BZ#805036

在以前的版本中，屏幕平板电脑的自动映射无法使用 NVIDIA 驱动程序。在这个版本中，添加了对 NV-CONTROL 扩展的支持，以便屏幕平板电脑的自动映射现在可以正常工作。

BZ#805042

在以前的版本中，到操作的按钮映射无法在 Wacom 图形平板电脑插件中工作。因此，在 GUI 中不会显示 Map Buttons，而在 Wacom 图形平板电脑上的激活按钮无效。在这个版本中，这个问题已被解决。

BZ#769464

在这个版本中，gnome-settings-daemon 支持 Wacom 图形平板电脑。

BZ#816646

这个版本修改了 gnome-settings-daemon 在 GConf 中存储设置的方式。在以前的版本中，设置为每个用户和每个设备存储。在这个版本中，设置为每个用户、每个设备和每台机器存储。

BZ#682011

在此次更新之前，如果 gnome-system-monitor 在 64 位 PowerPC 架构中包含了有关机器模型的信息，则 gnome-system-monitor 无法正确解析 /proc/cpuinfo 文件的内容。因此，应用程序会错误地报告 false "Unknown CPU model" 处理器。在这个版本中，解析代码会在没有识别附加处理器时丢弃这些信息。

BZ#692956

在此次更新之前，gnome-system-monitor 解析器代码预期特定的字符串来标识所有架构的 CPU 速度。因此，在使用不同字符串时，gnome-system-monitor 可能无法正确解析 /proc/cpuinfo 中的处理器速度，例如在 64 位 PowerPC 中。在这个版本中，更改了解析代码，以支持这些架构中使用的不同字符串类型。

错误修复

BZ#819796

在此次更新之前，gnome-terminal 没有完全本地化到 Asamese 中。在这个版本中，Assamese locale 已被更新。

程序错误修复

BZ#772637

在以前的版本中，点工具可以在 32 位和 64 位构架中生成不同的镜像，这会导致在构建过程中使用 graphviz 的软件包冲突。问题是由用于浮动点处理的不同指令造成的。在 32 位 Intel 构架中，代码现在使用 "-ffloat-store" 编译器标志编译，这样可确保无论使用的构架如何生成相同的镜像。

BZ#821920

graphviz-tcl 软件包包含 "demo" 目录，其中包含各种语言的示例。这会导致引入隐式依赖项。在这个版本中，所有示例都作为文档安装，这可减少隐式依赖项的数量。

BZ#849134

在 %postun scriptlet 中运行的 "dot -c" 命令会重新创建 graphviz 配置文件，并带有安装插件的当前状态。在以前的版本中，如果命令无法加载配置文件中指定的插件，则在删除 graphviz-gd 软件包时会输出警告信息。这些消息可能会造成混淆，因此已被删除。

BZ#741452

在以前的版本中，grep 实用程序无法处理 EPIPE 错误。如果 shell 阻止了 SIGPIPE 信号，grep 会持续打印错误消息。上游补丁已被应用于解决这个问题，因此 grep 会在第一个 EPIPE 错误上退出，并只打印一条错误消息。

BZ#696960

在以前的版本中，当使用 "--args=[arguments] --update-kernel=ALL" 选项执行 grubby 时，用于更新其引导配置存储在编辑的配置文件中的命令行参数，它只会为文件中的第一个内核更新参数。因此，其他内核的参数不会被更新。在这个版本中，确保在使用上述选项启动 grubby 时，配置文件中的所有内核的参数都会被更新。

BZ#670266

由于底层源代码中的错误，在有多个 Pre-boot Execution Environment (PXE)网络接口卡(NIC)的系统上从网络引导时，以前版本的 GRUB 有时无法在统一可扩展固件接口(UEFI)模式下引导。在这个版本中，GRUB 会尝试识别和使用已经通过动态主机配置协议(DHCP)成功获取地址的活动接口，而不是使用系统建议的地址。因此，在带有多个 NIC 的系统上，在 UEFI 模式中从网络引导可以正常工作。

功能增强

BZ#755777

在这个版本中，增加了对颜色转换的 color-matrix 支持到 ffmpegcolorspace 插件。

BZ#697437

在以前的版本中，如果"Open Files"对话框之前以"Search"模式使用，则"Open Files"对话框无法显示"Size"列。在这个版本中，请确保始终在"Show Size Column"上下文菜单选项中相应地显示"Size"列，从而解决了这个问题。

BZ#750756

在以前的版本中，使用 Ctrl+Insert 组合键从可选择标签复制文本（如消息对话框中显示的内容）无法正常工作。在这个版本中，添加了 Ctrl+Insert 组合键，在激活时将所选文本复制到剪贴板。

BZ#801620

在以前的版本中，某些 GTK 应用程序（如 virt-viewer）无法正确初始化与菜单项关联的密钥绑定。这是因为与菜单项关联的属性的 bug 是由库解析的。在这个版本中解决了这个程序错误，由使用此功能的应用程序的密钥绑定再次访问菜单项。

BZ#689188

在以前的版本中，当"文件类型"过滤器包含非常长的字符串时（如某些镜像托管网站观察到某些镜像托管网站），则"打开文件"对话框可能会出现并显示异常宽度。在这个版本中，对话框会将过滤器字符串分成多行文本，以便对话框保持合理的宽度。

程序错误修复

BZ#599055

在以前的版本中，忽略挂载的规则太严格。如果用户在 Nautilus 的边栏中单击加密的卷，则会显示一条错误消息，且无法访问该卷。底层源代码现在包含额外的检查，以便加密卷具有正确的挂载（如果可用），并且可以按预期浏览文件系统。

BZ#669526

由于内核中存在一个程序错误，新格式化的 Blu-ray Disk Rewritable (BD-RE)介质包含一个跟踪，其中包含涵盖整个介质的无效数据。以前，这个空跟踪被错误地检测到，从而导致驱动器对某些应用程序不可用，如 Brasero。在这个版本中，添加了一个检测空跟踪的临时解决方案，以便新格式化的 BD-RE 介质被正确识别为空白。

BZ#682799, BZ#746977, BZ#746978, BZ#749369, BZ#749371, BZ#749372

gvfs-info, gvfs-open, gvfs-cat, gvfs-ls 和 gvfs-mount 工具的代码，包含硬编码的退出代码。这会导致工具始终在退出时返回零。退出代码已被修改，上面提到的 gvfs 工具现在返回正确的退出代码。

BZ#746905

当使用指定了无效的命令行参数运行 gvfs-set-attribute 时，工具会意外终止并出现 segmentation 错误。底层源代码已被修改，在指定无效的参数时，实用程序现在会输出正确的错误消息。

BZ#809708

由于缺少对象清理调用，gvfsd 守护进程可能会使用过量内存，这会导致系统变得无响应。在这个版本中，添加了正确的对象清理调用，这样可确保内存消耗是恒定的，且系统在这种情况下不会挂起。

BZ#816735

HSQLDB 已更新，为 JDBC 4.1 添加存根

BZ#737467

在这个版本中，监控器数据库已使用 Acer 76ie monitor 的信息进行了更新。另外，已经从数据库中删除了几个重复的监控条目。

BZ#760014

pci.ids 数据库已更新，其中包含有关 Atheros 无线网络适配器 Killer Wireless-N 1103 的信息。

安全修复

CVE-2012-3422

IcedTea-Web 插件中发现了一个未初始化的指针使用缺陷。访问恶意网页可能会导致 Web 浏览器使用 IcedTea-Web 插件崩溃、披露其部分内存或执行任意代码。

CVE-2012-3423

发现 IcedTea-Web 插件错误地假定从浏览器中收到的所有字符串都是 NUL 终止。使用带有不是 NUL 终止字符串的 Web 浏览器的插件时，访问包含 Java 小程序的网页可能会导致浏览器崩溃、披露其部分内存或执行任意代码。

安全修复

CVE-2012-4540

IcedTea-Web 插件中发现了一个缓冲区溢出缺陷。访问恶意网页可能会导致使用 IcedTea-Web 插件崩溃或可能执行任意代码的 Web 浏览器。

BZ#713433

在此次更新之前，IMSettings 守护进程在获取新指针后意外无效之前的指针。这个版本会修改 IMSettings，以便在所有事务完成后更新代码。

BZ#733265

在此次更新之前，在带有十进制浮点数的代码上运行 indent 实用程序时，后缀被错误地隔离。因此，缩进可能会遇到编译语法错误。在这个版本中，修改了缩进，以了解 ISO/IEC WDTR24732 的 N1312 草案所提议的十进制浮点后缀。现在，缩进可以如预期处理十进制浮点量。

BZ#784304

在此次更新之前，如果 indent 无法通过测试，则内部 test-suite 不会通过退出代码发出信号测试失败。在这个版本中，添加了一个带有非零值的退出调用来表示失败。

错误修复

BZ#854852

在以前的版本中，VLAN 名称的命名策略太严格。因此，if-down 工具无法正确从 /proc/net/vlan/config 文件中删除了描述性命名的接口。在这个版本中，删除了名称格式检查，并在上述场景中正常工作。

程序错误修复

BZ#781493

之前版本的 initscripts 不支持 IPv6 路由，其方式与 IPv4 路由相同。只有通过指定 /etc/sysconfig/network-scripts/rule -DEVICE_NAME配置文件中的 ip 命令（其中 DEVICE_NAME 是对应网络接口的名称），才能实现 IPv6 寻址和路由。在这个版本中，相关的网络脚本已被修改来支持基于 IPv6 的策略路由，现在在 /etc/sysconfig/network-scripts/rule6-DEVICE_NAME 配置文件中单独配置 IPv6 路由。

BZ#786404

在系统安装后的第一次引导过程中，内核熵相对较低，来为 sshd 生成高质量的密钥。在这个版本中，系统安装过程中磁盘活动创建的熵保存在 /var/lib/random-seed 文件中，用于密钥生成。这提供了足够的随机性，并允许根据足够的熵生成密钥。

BZ#582002

在紧急模式下，来自 /dev/tty 设备的每个读取请求都出错，因此无法从 /dev/tty 设备读取。这是因为，当激活单用户模式时，会直接调用 rc.sysinit 脚本。但是，系统管理员需要是控制台所有者才能正确运行。有了这个更新，rc.sysinit 会启动 rcS-emergency 作业，然后以正确的控制台设置运行 disruptiony 作业。

BZ#588993

ifconfig 工具无法在 InfiniBand 环境中处理 20 字节 MAC 地址，并报告提供的地址太长。在这个版本中，相应的 ifconfig 命令已改为别名到相应的 ip 命令，如果 config 现在可以正确地处理 20 字节 MAC 地址。

BZ#746045

由于逻辑错误，sysfs() 调用无法正确删除 arp_ip_target。因此，在尝试关闭绑定设备时会报告以下错误：

ifdown-eth: line 64: echo: write error: Invalid argument

在这个版本中，修改了脚本，以便不再发生错误，并且 arp_ip_target 现在被正确删除。

BZ#746808

serial.conf 文件现在包含有关如何创建与活跃串行设备对应的 /etc/init/tty<device>.conf 文件的改进注释。

BZ#802119

network 服务在服务启动时显示错误信息，如下所示：

Error: either "dev" is duplicate, or "20" is a garbage.

这是因为解析的参数的分割不正确。在这个版本中，参数会被正确处理，问题不再发生。

BZ#754984

halt initscript 不包含对 apcupsd 守护进程的支持，即用于电源管理和控制 APC 的 UPS （不可中断的 Power Supply）的守护进程。因此，提供没有关闭电源故障。在这个版本中，增加了对脚本的支持，UPS 模型现在会如预期在电源故障的情况下关闭。

BZ#755175

在之前的 initscripts 版本中，变量 kernel.msgmnb 和 kernel.msgmax 描述的注释不正确。在这个版本中，注释已被修复，变量现在可以正确描述。

BZ#787107

由于逻辑运算符不正确，在 network 服务关闭时返回以下错误，因为关闭过程失败：

69: echo: write error: Invalid argument

在这个版本中，关闭 initscript 的代码已被修改，在 network 服务关闭时不再返回错误。

BZ#760018

在关闭过程中，系统在某些情况下可能会变得无响应。这是因为 initscript 不会检查是否有 CIFS （通用互联网文件系统）共享挂载，并且在关闭前卸载任何挂载的 CIFS 共享。在这个版本中，添加了 CIFS 共享检查，并在关闭前停止共享。

BZ#721010

ifup-aliases 脚本在启动 IP 别名设备时使用 ifconfig 工具。因此，ifup 执行会逐渐减慢 NIC （网络接口卡）设备上的设备数量。在这个版本中，IP 别名使用 ip 工具而不是 ifconfig，ifup-aliases 脚本的性能在描述的情况中保持恒定。

BZ#765835

在此次更新之前，netconsole 脚本无法发现并解析 /etc/sysconfig/netconsole 文件中指定的路由器的 MAC 地址。这是因为地址被解析为两个相同的地址，脚本会失败。在这个版本中，修改 netconsole 脚本，以便正确处理 MAC 地址，设备会如预期发现。

BZ#757637

在 Malay (ms_MY)区域中，一些服务无法正常工作。这是因为 ms.po 文件中的拼写错误。在这个版本中解决了 ms_MY 区域中的错误和服务按预期运行。

BZ#749610

当绑定 NIC 设备时，ifup-eth 工具中的绑定 的主要 选项会存在计时问题。因此，绑定已被配置，但这是首先从接口开始的活动接口。在这个版本中，与主 选项的绑定时间已被修正，主选项中定义的设备会按预期进行 enslaved。

功能增强

BZ#704919

现在，用户可以通过在 /etc/sysconfig/network 文件中配置 NISDOMAIN 参数或其他相关配置文件来设置 NIS （网络信息服务）域名。

程序错误修复

BZ#814541, BZ#814548

在以前的版本中，当使用指定名称保存键映射时，会遵循预定义的命名规则，文件名使用 "-" 前缀保存，而不包括用户。在这个版本中，如果用户尝试保存键映射，则会出现一个显示所需文件名格式的对话框。

BZ#819795

这个版本为所有支持的区域设置提供完整的 iok 翻译。

程序错误修复

BZ#736992

由于 xkb 键映射在 xkeyboard-config 软件包的最新更新中被重写，在选择 Hindi X Keyboard Extension (XKB)时 iok 的语言列表包含不正确的 xkb 键映射名称。要解决这个问题，iok 的 xkb 解析器已被重写。

BZ#752667

在以前的版本中，iok 在 "~/.m17n" 目录中查找带有 ".mim" 后缀的文件，而不是 "~/.m17n.d" 目录。在这个版本中，修改正确的 "~/.m17n.d" 目录路径，以便用户定义的键map文件保存在正确的目录中。

BZ#752668

在以前的版本中，当使用屏幕键盘时，按鼠标点击各种字符可以正常工作。但是，finger 输入失败，因为第一个选择的字符被选择，无论用户接下来选择哪个字符。在这个版本中，用户可以在高级模式运行 iok 时使用拖放功能(iok -a"命令)，允许用户通过第二个按钮拖动第一个密钥按钮。在 iok 的默认模式中，拖放功能不可用。

BZ#798592

由于 xkb 名称数组的大小小，如果用户选择了 xkb-Malayalam 键映射（带有 Rupee 符号的增强印度脚本），然后按"To English"按钮，则 iok 工具可能会意外终止。在这个版本中，xkb 名称数组的大小已被增加，因此实用程序不会在上述场景中崩溃。

安全修复

CVE-2012-5484

在最初尝试加入 IPA 域时，IPA 客户端在与 IPA 服务器通信的方式中发现弱点。因为在加入过程中向客户端提供 IPA 服务器的证书颁发机构(CA)证书没有安全的方法，因此 IPA 客户端注册过程容易受到中间人攻击的影响。此漏洞可能允许攻击者使用 IPA 客户端提供的凭证获取 IPA 服务器的访问权限，包括加入使用管理员凭证来执行整个域的管理访问权限。

注意

这种弱点仅在初始客户端加入到域中时公开，因为 IPA 客户端还没有服务器的 CA 证书。IPA 客户端加入域并获取 IPA 服务器的 CA 证书后，所有进一步的通信都是安全的。如果客户端使用 OTP （一次性密码）方法来加入到域中，攻击者只能获得对服务器的非特权访问权限（仅限于加入域）。

程序错误修复

BZ#810900

当目录服务器检查密码更改时，目录服务器的身份管理密码策略插件没有正确排序用户密码的历史记录。由于这个程序错误，用户密码历史记录会随机排序，因此当列表溢出时，随机密码会被删除，而不是最旧的密码。因此，用户可以绕过密码重复的密码策略要求。现在，在目录服务器的 Identity Management 密码插件中正确排序用户密码，并正确强制执行密码的密码策略要求。

BZ#805478

由于 Identity Management 权限插件中的一个错误，尝试重命名权限始终会导致错误。因此，用户在尝试重命名权限时，需要删除权限并使用新名称创建新权限。在这个版本中，底层源代码已被修改来解决这个问题，用户现在可以重命名权限。

BZ#701677

在以前的版本中，DNS 插件不允许用户为身份管理管理的区域设置查询或转让策略。因此，用户无法控制谁可以查询或传输区域，它们与存储在纯文本文件中的区域相同。在这个版本中，用户可以为身份管理管理的每个区域设置 ACL；因此，用户可以控制谁可以查询其区域或运行区域传送。

BZ#773759

具有适当权限的非管理员用户可以更改其他用户的密码。但是，这个权限的目标组之前没有限制。因此，具有更改密码的非管理员用户可能会更改 admin 用户的密码，并获得 admin 帐户的访问权限。在这个版本中，权限被修改为只允许非 admin 用户更改密码。

BZ#751173

当使用 ipa passwd CLI 命令更改用户密码时，它会在密码更改失败时返回以下出错信息：

ipa: ERROR: Constraint violation: Password Fails to meet minimum strength criteria

用户密码更改是配置的密码策略的主题。如果没有正确的错误消息，则很难调查密码更改失败的原因（密码复杂性过快，更改密码等），并解决这种情况。现在，如果 ipa passwd 命令失败，用于更改密码的 Directory Server 插件现在会返回正确的错误消息。

BZ#751597

当使用 DNS 中无法正确解析的自定义主机名安装身份管理服务器时，系统会从用户请求自定义主机名的 IP 地址。接下来，主机记录被添加到 /etc/hosts 文件中，以便自定义主机名可以被解析，安装可以继续。但是，当使用-- ip-address 选项传递 IP 地址时，不会添加记录。因此，安装会失败，因为后续步骤无法解析机器的 IP 地址。在这个版本中，主机记录被添加到 /etc/hosts 中，即使 IP 地址通过 --ip-address 选项传递，安装过程也会继续如预期。

BZ#751769

身份管理无法安装到具有自定义 LDAP 服务器实例的服务器上，即使 LDAP 服务器实例在自定义端口上运行，因此不会与身份管理冲突。因此，用户无法在身份管理的系统中部署自定义 LDAP 实例。在这个版本中，身份管理不再强制不存在 LDAP 实例。相反，它会检查保留的 LDAP 端口(389 和 636)是否可用。用户可以将身份管理服务器与自定义 LDAP 服务器实例结合使用，只要它们运行在自定义端口上。

BZ#753484

当身份管理 Web UI 的 Kerberos 单点登录失败时，Web UI 不会回退到登录和密码身份验证。身份管理 Kerberos 域或不兼容的浏览器以外的工作站无法访问 Web UI，除非从 Kerberos 身份验证进行回退以在身份管理 web 服务器上配置了密码身份验证。现在，当无法使用 Kerberos 身份验证时，Web UI 可以回退到基于表单的身份验证。

BZ#754973

当针对 Active Directory 计算机上的 winsync 协议时，ipa-replica-manage 命令的 强制同步、重新初始化 和 del 子子命令会失败，限制用户控制 winsync 复制协议的能力。在这个版本中，ipa-replica-manage 被修复，以更可靠的方式管理标准复制协议和 winsync 协议。

BZ#757681

当传递了-- no-host-dns 选项时，身份管理安装程序无法正确处理主机 IP 地址。当主机名无法解析且使用了 --no-host-dns 选项时，ipa-replica-install 工具会在安装过程中失败，且不会像 ipa-server-install 工具一样修改主机名解析。有了这个更新，ipa-server-install 和 ipa-replica-install 现在共享主机 IP 地址处理，并在服务器或副本主机名无法解析时向 /etc/hosts 文件中添加记录。

BZ#759100

当服务器分配了 2 个 IP 地址时，身份管理服务器安装脚本无法正确处理情况，且无法继续安装。在这个版本中修复了安装脚本，并在双 NIC 配置中安装身份管理服务器可以正常工作。

BZ#750828

当使用 --external-ca 选项安装身份管理时，安装分为两个阶段。安装过程的第二个阶段从第一个阶段存储的文件读取配置选项。在以前的版本中，安装程序没有正确存储带有 DNS 转发器 IP 地址的值，然后是安装过程的第二个阶段被错误读取，在安装过程的第二个阶段，名称服务器配置失败。在这个版本中，forwarder 选项会被正确存储，安装可以正常工作。

BZ#772043

在此次更新之前，身份管理 netgroup 插件不会验证 netgroup 名称。因此，当 NIS 插件处理无效值时，具有无效名称的 netgroup 可以存储在 LDAP 服务器中，然后在 NIS 插件处理无效值时崩溃。Identity Management netgroup 插件现在对 netgroup 名称强制执行更严格的验证。

BZ#772150

某些身份管理副本协议忽略了应当从复制中排除的属性列表。LDAP 服务器插件（本例中为 memberOf 属性）在每个 master 上本地生成的身份管理属性会被复制。这会强制所有身份管理副本的 LDAP 服务器重新处理 memberOf 数据，并增加 LDAP 服务器的负载。当很多条目在短时间内添加到副本时，或者当副本从另一个 master 重新初始化时，所有副本都使用 memberOf 更改而造成高负载，并导致所有副本机器上出现高负载，并导致出现性能问题。ipa-replica-install 工具添加的新副本协议不再忽略从复制中排除的属性列表。在身份管理 LDAP 服务器中重新初始化或大量添加条目不再会导致 memberOf 处理导致性能问题。旧副本协议也已更新，以包含复制中排除的正确属性列表。

BZ#784025

ipa automountmap-add-indirect 命令创建一个新的映射，并将键添加到引用新映射的父映射（默认为auto.master ）。因为映射嵌套只在 auto.master 映射中被允许，所以其他映射中引用的子挂载映射需要遵循标准子挂载格式（即 < key> &lt; origin> <mapname> ），以便从 LDAP 正确加载引用的映射。但是，automountmap-add-indirect 子命令没有遵循这个区别，< origin> 和 & lt ;mapname& gt; 属性没有正确填写。因此，非auto.master 映射中引用的子挂载映射不被 autofs 客户端软件识别为自动挂载映射，且未挂载。现在，在不是 auto.master 映射的映射中引用的 Submount 映射现在遵循标准子挂载格式，并带有正确的 < key>、< origin & gt; (-fstype=autofs)和 < mapname> (ldap:$MAP_NAME)。autofs 客户端软件现在可以在 auto.master 和其它映射中正确处理子挂载，并挂载它们。

BZ#785756

在此次更新之前，身份管理用户插件对用户的主目录使用硬编码的默认值，而不使用配置的值。当管理员将 Identity Management 配置插件中的默认用户主目录从默认值改为自定义值时，在添加用户时不会遵守这个值。在这个版本中解决了这个程序错误，并在没有通过特殊选项指定自定义主目录的情况下创建新用户时，会使用默认配置的主目录。

BZ#797274

身份管理证书模板不包括 subjectKeyIdentifier 字段，即使它在 RFC 3280 文档中使用 SHOULD 关键字标记。因此，某些应用程序处理这些证书可能会报告错误。在这个版本中，当前和新的 IPA 服务器安装的证书模板现在包含 subjectKeyIdentifier 字段。

BZ#797562

身份管理主机和 DNS 插件无法正确处理主机名或 DNS 区域名称，并带有尾随点。因此，创建的 host record FQDN 属性包含两个值，而不是一个规范化值。这可能会在进一步的主机记录处理中造成问题。在这个版本中，所有主机名都使用没有结尾点的格式进行规范化。身份管理 DNS 插件现在接受两种格式的 DNS 区域名称 - 带和不使用尾随点。

BZ#797565

在以前的版本中，CSV 在身份管理处理中的 CLI 和服务器部分被分割。因此，第二个时间被错误地分割包含转义的逗号字符的值。在这个版本中，CSV 处理只在客户端界面中完成。身份管理 RPC 接口(XML-RPC 和 JSON-RPC)不再处理 CSV。逗号转义也被引用替代。

BZ#797566

身份管理服务器卸载过程删除了作为身份管理安装一部分的系统用户。这包括 dirsrv 或 pkiuser 用户，Directory 服务器使用它来运行其实例。这些用户还拥有由 Directory 服务器生成的日志文件。如果再次安装了身份管理服务器，并且新添加的系统用户的 UID 已更改，目录服务器可能无法启动，因为不允许 Directory 服务器实例写入具有不同 UID 的旧系统用户拥有的日志文件。在这个版本中，在卸载过程中不会删除身份管理服务器安装生成的系统用户。

BZ#747693

LDAP ACI 管理的身份管理插件(permission、selfservice 和 delegation 插件)没有以可靠的方式处理其选项，并会重新验证传递的值。当传递空选项或- raw 选项时，ACI 管理插件可能会返回 Internal Errors。当将无效的属性传递给 ACI 属性列表选项时，也会返回一个 Internal Error。选项处理现在更加强大，在验证方面更严格。现在，当传递无效的或空选项值时，会返回正确的错误。

BZ#746805

具有启用/禁用状态的对象（即用户帐户、sudo 规则、HBAC 规则、SELinux 策略）无法在 Web UI 中的相关搜索页面中区分。现在，在搜索页面中，包含禁用对象的行会被灰显，启用的列对每个状态具有不同的图标。

BZ#802912

在验证新证书签发者时，身份管理证书不会读取自定义用户证书主题基础。当使用自定义主题基础安装身份管理服务器且没有使用默认的主题基础时，在身份管理证书颁发机构中发布新证书可能会返回 invalid issuer 错误。在这个版本中，在验证证书签发者前，自定义用户证书主题基础总是被读取，在签发证书时不再返回上述错误。

BZ#803050

当收到意外错误（如内部服务器错误）时，Web UI 中的错误对话框中点 Cancel，因为错误消息替换了页面内容。在这个版本中，错误消息有自己的容器，这解决了上述问题。

BZ#803836

身份管理没有配置其目录服务器实例，以便始终以匿名方式和解密其 RootDSE 可用。因此，当用户更改 Directory Server 实例配置中的 nsslapd-minssf 属性来提高与实例的连接中的安全需求时，一些应用程序（如 SSSD）可能已停止工作，因为它们不再匿名读取 RootDSE。要解决这个问题，身份管理现在在 Directory 服务器实例配置中设置 nsslapd-minssf-exclude-rootdse 选项。用户和应用程序可以从身份管理目录服务器实例中匿名访问 RootDSE，即使实例配置了传入连接的安全要求。

BZ#807366

在以前的版本中，Web UI 中的 Netgroup 页面没有用于指定 所有选项 的输入字段。在这个版本中，整个 Netgroup 页面已被重新设计来添加此功能。

BZ#688765

身份管理 DNS 插件没有验证 DNS 记录的内容。某些 DNS 记录类型（例如，MXX、LOC 或 SRV）有一个需要存储的复杂数据结构，否则记录无法解析。放松的 DNS 插件验证允许用户创建无效的记录，即使它们存储在 LDAP 中也无法解决。在这个版本中，每个 DNS 记录类型（实验性 A6 DNS 记录类型除外）现在会根据相关的 RFC 文档进行验证。验证涵盖了最常见的用户错误，并为用户提供有关为什么输入记录无效的原因的指导。用户还可以创建更复杂的 DNS 记录，而无需详细了解其结构，因为改进的 DNS 插件界面在创建 DNS 记录时提供指导。另外，DNS 插件用户不会再输入无效的记录。

BZ#759501

当失败的登录尝试次数超过配置的最大值时，帐户会被锁定。但是，调查特定用户的锁定状态很难，因为失败的登录尝试次数不会被复制。身份管理现在包括一个新的 ipa user-status 命令，它为所有配置的副本提供失败的登录尝试次数，以及最后一次成功或失败的登录尝试的时间。

BZ#766181

添加新用户时，将创建一个 User Private Group (UPG)，并默认分配为该用户的主组。但是，当管理员想要使用分配为所有用户的主组时，可能会出现用例。处理 UPG 的目录服务器插件现在可以使用新的实用程序 - ipa-managed-entries 禁用。此实用程序允许管理员禁用自动创建 UPG，并允许所有新用户共享一个通用组作为其主要组。

BZ#767725

当身份管理服务器配置了 DNS 支持时，DNS 区域动态更新策略允许身份管理客户端在客户端 IP 地址更改时更新相关的 DNS 转发记录。但是，出于安全原因，客户端无法更新其反向记录，因为它们可以更改反向区域中的任何记录。在这个版本中，可以将身份管理 DNS 区域配置为允许在使用新的 IP 地址更新转发记录时自动更新客户端反向记录。因此，当客户端 IP 地址更改时，可以更新客户端机器的正向和反向记录。

BZ#772044

Identity Management host 插件不允许存储机器 MAC 地址。管理员无法将 MAC 地址分配给身份管理中的主机条目。在这个版本中，MAC 地址的新属性添加到身份管理主机插件中。管理员现在可以为主机条目分配 MAC 地址。然后，可以使用从身份管理 LDAP 服务器读取该值，例如：

~]$ getent ethers <hostname>

BZ#772301

创建正向 DNS 记录时，即使正向和反向区域由身份管理管理，也不会创建对应的反向记录。用户总是必须手动创建正向和反向记录。在这个版本中，CLI 和 Web UI 都可以选择在创建 IPv4 或 IPv6 转发记录时自动创建反向记录。

BZ#807361

在此次更新之前，身份管理目录服务器实例中的所有 DNS 记录都是公开的。使用目录服务器实例中公开访问的 DNS 树，任何有权访问服务器的用户都可以获取所有 DNS 数据。此操作通常使用访问控制规则来限制。常见的安全做法是，将此信息限制为仅限于选定的一组用户。因此，在此次更新中，带有 DNS 记录的整个 LDAP 树现在只能被 LDAP 驱动程序访问，该驱动程序将数据提供给名称服务器、管理员用户或具有新权限的用户，名为 Read DNS Entries。现在，只有允许用户访问身份管理目录服务器实例中的所有 DNS 记录。

BZ#753483

身份管理服务器不允许使用条件转发创建 DNS 区域，这使名称服务器将所有区域请求转发到自定义转发器。在这个版本中，身份管理 DNS 插件允许用户创建 DNS 区域，并为那个区设置条件转发器和转发策略。

BZ#803822

对 SSH 公钥管理的支持已添加到身份管理服务器中；身份管理客户端上的 OpenSSH 会自动配置为使用身份管理服务器上的公钥。这个功能是一个技术预览功能。

BZ#745968

Web UI 中的 DNS 页面不允许从 A 或 AAAA 记录到相关的 PTR 记录导航。在这个版本中，添加了一个链接，指向相关的 PTR 记录（如果存在）。

错误修复

BZ#907926

在以前的版本中，使用 ipmitool 程序在用户访问信息中启用 "ipmi" 和 "link" 键无法正常工作。因此，不会考虑这些设置的值。已提供了一个补丁，可确保按预期读取和处理这些设置的值。

BZ#828678

在前面的 ipmitool 软件包更新中，添加了新的选项 "-R" 和 "-N"，以调整通过 lan 和 lanplus 接口传出 IPMI 请求的重新传输率。这些选项的实现会预先设置重新传输超时和传出请求的默认值。另外，在某些情况下，ipmitool 可能会在超时发生时意外终止，并出现分段错误。在这个版本中修复了默认的超时值和 ipmitool，但没有 "-N" 选项重新传输传出的 IPMI 请求，如之前的版本。

BZ#715615

在以前的版本中，"ipmitool -o list"命令的退出代码被错误地设置，以便命令始终返回 1。这个版本修改了 ipmitool 以返回退出代码 0。

BZ#725993

"ipmitool sol payload" 和 "ipmitool sel" 命令之前接受不正确的参数值，这会导致 ipmitool 程序意外终止并出现 segmentation 错误。在这个版本中，这些命令的参数值会被验证，ipmitool 不再崩溃，但在与不正确的参数一起使用时会生成错误消息。

BZ#748073

在以前的版本中，ipmitool 无法用于通过 LAN 或 lanplus 接口设置 IPMI 消息的重新传输间隔。此更新引入了新选项 "-R" 和 "-N"，它们可用于在使用 LAN 或 lanplus 接口传输 IPMI 消息时指定它们之间的重新传输和延迟。

BZ#739358

"ipmitool delloem"命令已更新至最新的上游版本，其中包括新的"vFlash"命令，用于显示有关扩展 SD 卡的信息。这个补丁还更新 "ipmitool delloem" 命令的文档，改进了错误描述并添加对新硬件的支持。

BZ#730627

ip6tunnel mode 命令将零参数结构传递给内核，它试图将所有隧道参数更改为零，并且失败。因此，用户无法更改 ip6tunnel 参数。在这个版本中，ip6tunnel 代码已被更改，以便它只更新更改的参数。现在，用户可以按预期调整 ip6tunnel 参数。

BZ#736106

lnstat 程序在其转储输出中使用不正确的文件描述符。因此，lnstat 工具将其转储输出输出到 stderr，而不是输出到 stdout。代码已被修复，lnstat 现在将其转储输出输出到 stdout。

BZ#748767

tc 工具（流量控制工具）已被改进，允许用户使用 Multi-queue 优先级(MQPRIO)排队 Discipline (qdiscs)调度程序。使用 MQPRIO qdiscs 时，可以从支持外部 QOS 调度程序的 NIC 中卸载 QOS。现在，用户可以监控流量类、收集统计信息、设置 socket-buffer (SKB) priority 和 socket-priority-to-traffic-class 映射。

BZ#788120

tc 工具已更新，以用于 Quick Fair Queueing (QFQ)内核功能。用户现在可以从用户空间利用新的 QFQ-traffic 调度程序。

BZ#812779

在这个版本中，增加了对多个多播路由表的支持。

错误修复

BZ#849556

在以前的版本中，当显示磁盘设备的详细信息时，缓冲区溢出错误会导致 iprconfig 工具意外终止并出现分段错误。已提供了一个补丁来解决这个问题，iprconfig 不再在上述场景中崩溃。

BZ#682350

在此次更新之前，IPTraf 针对名称白名单检查接口名称，以确定是否支持接口。网络设备可以具有任意名称，并且由于"持续网络设备命名"的更改，接口名称将更改为基于位置的名称。因此，IPTraf 可能会拒绝某些接口名称。在这个版本中，删除了接口名称检查，因此 IPTraf 始终接受设备名称。

BZ#788529

在此次更新之前，ipvsadm 工具无法正确处理与同步守护进程相关的内核没有顺序的消息。因此，"ipvsadm --list --daemon"命令并不总是输出同步守护进程的状态。在这个版本中，来自内核的消息排序不再影响输出，命令总是返回同步守护进程状态。

错误修复

BZ#845374

irqbalance 守护进程将系统中的每个中断源分配给"类"，这代表设备的类型（如网络、存储或介质）。在以前的版本中，irqbalance 在对受影响的系统造成性能影响时进行分类某些 NIC 设备。在这个版本中，NIC classification 机制已更新，以处理所有类型的 NIC。

BZ#682211

irqbalance 守护进程将系统中的每个中断源分配给"类"，这代表设备的类型（如网络、存储或介质）。在以前的版本中，irqbalance 使用 /proc/interrupts 文件中的 IRQ 处理程序名称来决定源类，这会导致 irqbalance 无法正确识别网络中断。因此，使用 biosdevname NIC 命名的系统没有按预期分布和固定其硬件中断。在这个版本中，设备分类机制已被改进，因此可以确保更好的中断分布。

程序错误修复

BZ#639258

在此次更新之前，当用户尝试使用"/unload"命令卸载静态模块时，Irssi 会错误地将这个模块标记为不可用，从而导致用户在没有重启客户端的情况下无法再次加载这个模块。这个版本调整了底层源代码，以确保只能卸载动态模块。

BZ#845047

irssi (1)手册页 的早期版本记录了"--usage"作为有效的命令行选项。这是不正确的，因为 Irssi 不再支持这个选项，并且尝试使用它会导致它失败并显示错误。在这个版本中，手册页面已被修正，不再记录不支持的命令行选项。

BZ#738192

iscsistart 工具使用硬编码的值作为其设置。因此，在使用 dm-multipath 时，在更改失败检测和路径故障转移前可能需要几分钟时间。在这个版本中，iscsistart 工具已被修改为处理命令行中提供的设置。

BZ#739049

iSCSI README 文件错误地列出了 --info 选项，作为显示 iscsiadm iSCSI 信息的选项。README 已被修正，现在它会正确说明您需要使用 "-P 1" 参数来获取这些信息。

BZ#739843

如果没有执行 "iscsiadm -m iface" 命令，通过 TOE (TCP Offload Engine)接口 iSCSI 发现过程会失败。这是因为 "iscsiadm -m" discovery 命令没有检查接口设置。在这个版本中，iscsiadm 工具会在首次使用时创建默认的 ifaces 设置，且问题不再发生。

BZ#796574

如果端口号通过非完全限定主机名传递给 iscsiadm 工具，该工具会使用作为主机名一部分的端口创建记录。因此，登录或发现操作会失败，因为 iscsiadm 无法找到记录。在这个版本中，iscsiadm 门户解析程序已被修改，以将端口与主机名分开。因此，端口会被正确解析和处理。

BZ#790609

iscsidm 工具已更新，以支持使用 QLogic 的 iSCSI 卸载卡的 ping 命令，并管理主机上的 CHAP (Challenge-Handshake Authentication Protocol)条目。

安全修复

CVE-2012-5783

Jakarta Commons HttpClient 组件没有验证服务器主机名是否与 X.509 证书中的主题通用名称(CN)或 subjectAltName 字段中的域名匹配。如果存在对任何域名有效的证书，这可能会导致中间攻击者欺骗 SSL 服务器。

安全修复

CVE-2012-1531,CVE-2012-3143,CVE-2012-3216,CVE-2012-4820,CVE-2012-4822,CVE-2012-5069,CVE-2012-5071,CVE-2012-5073,CVE-2012-5075,CVE-2012-5079,CVE-2012 -5069 ,CVE-2012-5083,CVE-2012-5084,CVE-2012-50489

在这个版本中，IBM Java Runtime Environment 和 IBM Java Software Development Kit 中修复了几个漏洞。详细漏洞描述从 IBM 安全警报页面 链接。

安全修复

CVE-2012-1713,CVE-2012-1716,CVE-2012-1717,CVE-2012-1718,CVE-2012-1719,CVE-2012-1725

在这个版本中，IBM Java Runtime Environment 和 IBM Java Software Development Kit 中修复了几个漏洞。详细漏洞描述从 IBM 安全警报页面 链接。

安全修复

CVE-2012-0547,CVE-2012-1531,CVE-2012-1532,CVE-2012-1533,CVE-2012-1682,CVE-2012-3143,CVE-2012-3159,CVE-2012-3216,CVE-2012-4820,CVE-2012-4822,CVE-2012-4823,CVE-2012-5 068, CVE-2012-50 69, CVE-2012-507 1, CVE-2012-507 2, CVE-2012-507 3, CVE-2012-507 5, CVE-2012-5 079, CVE-2012-508 1, CVE-2012-508 3, CVE-2012-508 4, CVE-2012-5089

在这个版本中，IBM Java Runtime Environment 和 IBM Java Software Development Kit 中修复了几个漏洞。详细漏洞描述从 IBM 安全警报页面 链接。

安全修复

CVE-2012-0551,CVE-2012-1713,CVE-2012-1716,CVE-2012-1717,CVE-2012-1718,CVE-2012-1719,CVE-2012-1721,CVE-2012-1722,CVE-2012-1725

在这个版本中，IBM Java Runtime Environment 和 IBM Java Software Development Kit 中修复了几个漏洞。详细漏洞描述从 IBM 安全警报页面 链接。

安全修复

CVE-2012-5086,CVE-2012-5084,CVE-2012-5089

在 OpenJDK 中的 Beans、Swing 和 JMX 组件中发现了多个不正确的权限检查问题。不信任的 Java 应用程序或小程序可能会使用这些漏洞来绕过 Java 沙盒的限制。

CVE-2012-5068,CVE-2012-5071,CVE-2012-5069,CVE-2012-5073,CVE-2012-5072

在 OpenJDK 中的 Scripting, JMX, Concurrency, Libraries, 和 Security components 中发现多个不正确的权限检查问题。不信任的 Java 应用程序或小程序可能会使用这些漏洞来绕过某些 Java 沙盒限制。

CVE-2012-5079

发现 java.util.ServiceLoader 可以在执行供应商查找时创建不兼容类的实例。不信任的 Java 应用程序或小程序可能会使用此缺陷绕过某些 Java 沙盒限制。

CVE-2012-5081

发现，Java 安全套接字扩展(JSSE) SSL/TLS 实施无法正确处理包含超大数据长度值的握手记录。一个未经身份验证的远程攻击者可能会使用这个缺陷导致 SSL/TLS 服务器终止异常。

CVE-2012-5075

已发现，OpenJDK 中的 JMX 组件可能会以不安全的方式执行某些操作。不信任的 Java 应用程序或小程序可能会使用此缺陷来披露敏感信息。

CVE-2012-4416

Java HotSpot 虚拟机优化代码中的一个错误可能会导致它在某些情况下无法执行阵列初始化。不信任的 Java 应用程序或小程序可能会使用此缺陷来披露虚拟机内存的部分。

CVE-2012-5077

发现，SecureRandom 类无法正确保护对创建多个 seeders 的创建。不信任的 Java 应用程序或小程序可能会使用此缺陷来披露敏感信息。

CVE-2012-3216

发现 java.io.FilePermission 类公开了规范路径名称的散列代码。不信任的 Java 应用程序或小程序可能会使用这个缺陷来确定某些系统路径，如当前工作目录。

CVE-2012-5085

默认情况下，这个更新禁用了 java.net 软件包中的 Gopher 协议支持。通过将新引入的属性 "jdk.net.registerGopherProtocol" 设置为 true 来启用 gopher 支持。

安全修复

CVE-2013-0442,CVE-2013-0445,CVE-2013-0441,CVE-2013-1475,CVE-2013-1476,CVE-2013-0429,CVE-2013-0450,CVE-2013-0425, CVE-2013-0426 ,CVE-2013-0426,CVE-2013-0428

在 OpenJDK 中的 AWT、CORBA、JMX 和 Libraries 组件中发现了多个不正确的权限检查问题。不信任的 Java 应用程序或小程序可能会使用这些漏洞来绕过 Java 沙盒的限制。

CVE-2013-1478,CVE-2013-1480

在 2D 和 AWT 组件中镜像解析程序处理镜像 raster 参数的方式中发现了多个漏洞。专门制作的镜像可能会导致 Java 虚拟机内存损坏，并可能导致使用虚拟机特权执行任意代码。

CVE-2013-0432

AWT 组件的剪贴板处理代码中发现了一个安全漏洞。不信任的 Java 应用程序或小程序可能会使用这个缺陷来访问剪贴板数据，绕过 Java 沙盒限制。

CVE-2013-0435

默认的 Java 安全属性配置不会限制对某些 com.sun.xml.internal 软件包的访问。不信任的 Java 应用程序或小程序可能会使用此缺陷来访问信息，绕过某些 Java 沙盒限制。这个版本将整个软件包列为 restricted。

CVE-2013-0427,CVE-2013-0433,CVE-2013-0434

在 Libraries、Networking 和 JAXP 组件中发现了多个不正确的权限检查问题。不信任的 Java 应用程序或小程序可能会使用这些漏洞来绕过某些 Java 沙盒限制。

CVE-2013-0424

发现 RMI 组件的 CGIHandler 类在错误消息中使用用户输入，而无需任何清理。攻击者可以利用此漏洞执行跨站点脚本(XSS)攻击。

CVE-2013-0440

发现 JSSE 组件中的 SSL/TLS 实现没有正确强制握手消息排序，允许无限数量的握手重启。一个远程攻击者可以使用这个缺陷，通过持续重启握手，使用 JSSE 的 SSL/TLS 服务器消耗大量 CPU。

CVE-2013-0443

发现 JSSE 组件没有正确验证 Diffie-Hellman 公钥。SSL/TLS 客户端可能会使用这个缺陷来执行小的子组攻击。

安全修复

CVE-2012-1682

已发现，OpenJDK 中的 Beans 组件没有正确执行权限检查。不信任的 Java 应用程序或小程序可能会使用此缺陷，使用受限软件包中的类，从而绕过 Java 沙盒限制。

CVE-2012-0547

一个强化修复被应用于 OpenJDK 中的 AWT 组件，从受限 SunToolkit 类中删除功能，该类与其他漏洞结合使用来绕过 Java 沙盒限制。

安全修复

CVE-2013-1486

在 OpenJDK 中的 JMX 组件中发现了一个不正确的权限检查问题。不信任的 Java 应用程序或小程序可能会使用此缺陷绕过 Java 沙盒限制。

CVE-2013-0169

当使用 CBC 模式密码套件时，OpenJDK 会在解密 TLS/SSL 协议加密记录时泄漏计时信息。一个远程攻击者可以使用这个缺陷，通过使用 TLS/SSL 服务器作为 padding oracle 来检索来自加密数据包的纯文本。

BZ#751203

在以前的版本中，在将 OpenJDK 更新至 java-1.6.0-openjdk-1.6.0.0-1.40.1.9.10.el6_1 后，只有在使用 java.rmi.server.codebase 参数运行时，Java Remote Object Registry (rmiregistry)才会启动，否则 registry 启动会失败。在这个版本中解决了回归问题，可以在不如预期的情况下启动 registry。

BZ#767537

Kerberos 协议的频道绑定被错误地实现，OpenJDK 不会处理没有传入频道绑定的 Kerberos GSS （通用安全服务）上下文。这会导致 Windows Server 2008 上的 Internet Explorer 存在间歇性问题。在这个版本中，OpenJDK 可以正确处理未设置的频道绑定，并按预期处理 Kerberos GSS 上下文。

BZ#804632

SystemTap 脚本转换器(stap)使用 jstack （）systemtap 支持运行可能会终止，并显示类似如下的错误：

ERROR: kernel read fault at 0x0000000000000018 (addr) near identifier '@cast' at /usr/share/systemtap/tapset/x86_64/jstack.stp:362:29

这个版本改进了 jstack 代码，如恒定定义和错误处理，而带有 jstack 的 stap 脚本现在可以正常工作。

BZ#805936, BZ#807324

在这个版本中解决了使用签名 jar 文件时发生的多个问题。

BZ#751410

添加了对巨页的支持。

安全修复

CVE-2012-1541,CVE-2012-3213,CVE-2012-3342,CVE-2013-0351,CVE-2013-0409,CVE-2013-0419,CVE-2013-0423,CVE-2013-0424,CVE-2013-0425,CVE-2013-0426,CVE-2013-0427, CVE-2013-0427,CVE-2013 -0428, CVE-2013-0 429, CVE-2013-0 430, CVE-2013-0 432, CVE-2013-0 433, CVE-2013-0 434, CVE-2013-0 435, CVE-2013-04 38, CVE-2013-0 440, CVE-2013-044 1 , CVE-2013-0442, CVE-2013-0 442, CVE-2013 -0443, CVE-2013 -0445, CVE-2013 -0446, CVE-2013 -0450, CVE-2013 -1473, CVE-2013 -1475, CVE-2013 -1476, CVE-2013 -1478, CVE-2013 -1480, CVE-2013-1481

这个版本修复了 Oracle Java Runtime Environment 和 Oracle Java Software Development Kit 中的几个漏洞。有关这些漏洞的更多信息，请参阅 Oracle Java SE Critical Patch Update Advisory 页面。

安全修复

CVE-2012-0547,CVE-2012-1531,CVE-2012-1532,CVE-2012-1533,CVE-2012-3143,CVE-2012-3159,CVE-2012-3216,CVE-2012-4416,CVE-2012-5068,CVE-2012-5069,CVE-2012-5071,CVE-2012-5072,CVE- 2012-5073,CVE-2012-5075,CVE-2012-5077,CVE-2012-5079,CVE-2012-5081,CVE-2012-5083,CVE-2012-5084,CVE-2012-5085, CVE-2012-5086, CVE-2012-50 86, CVE-2012-5089

这个版本修复了 Oracle Java Runtime Environment 和 Oracle Java Software Development Kit 中的几个漏洞。有关这些漏洞的更多信息，请参阅 Oracle Java SE Critical Patch Update Advisory 和 Oracle Security Alert 页面。

安全修复

CVE-2012-1531,CVE-2012-1532,CVE-2012-1533,CVE-2012-1718,CVE-2012-3143,CVE-2012-3159,CVE-2012-3216,CVE-2012-4820,CVE-2012-4821,CVE-2012 -4822,CVE-2012-482 3, CVE-2012-50 67, CVE-2012-50 69, CVE-2012-5 070, CVE-2012-507 1, CVE-2012-507 2, CVE-2012-507 3, CVE-2012-507 4, CVE-2012-507 5, CVE- 2012-5076, CVE-CVE-2012-5077,CVE-2012-5079 , CVE-2012- 5081, CVE-2012- 5083, CVE-2012- 5084, CVE-2012 -5086, CVE-2012- 5087, CVE-2012- 5088, CVE-2012-5089

在这个版本中，IBM Java Runtime Environment 和 IBM Java Software Development Kit 中修复了几个漏洞。详细漏洞描述从 IBM 安全警报页面 链接。