]> git.ipfire.org Git - thirdparty/systemd.git/log
thirdparty/systemd.git
6 days agosd-device: check fd validity before using in sendmsg in test 42933/head
Luca Boccassi [Wed, 8 Jul 2026 09:57:39 +0000 (10:57 +0100)] 
sd-device: check fd validity before using in sendmsg in test

CID#1663676

Follow-up for 7003a9bf098869e5622fe5d863199910afcdda6d

7 days agosd-bus: voidify bus_match_remove call
Luca Boccassi [Wed, 8 Jul 2026 09:54:00 +0000 (10:54 +0100)] 
sd-bus: voidify bus_match_remove call

It cannot fail, just returns 0 or 1 for not found/found

CID#1663675

7 days agomeasure-smbios: bound type 1 length before zeroing wake-up type
Syed Mohammed Nayyar [Sun, 5 Jul 2026 08:09:51 +0000 (13:39 +0530)] 
measure-smbios: bound type 1 length before zeroing wake-up type

The structure length comes from the firmware SMBIOS table and the only
bound before the fixed-offset wake_up_type write was an assert(), which
is a no-op in release sd-boot builds.

Whether the field is present is governed by the formatted-area length
header->length, not the total size which also covers the trailing string
set. A too-short record (an old SMBIOS 2.0 one, or a crafted 6-byte
header) makes the offset-24 write land past the xmemdup() copy; a record
with a short formatted area but long string set instead gets a stable
string byte zeroed in the copy. Key the guard off header->length and the
field offset, matching get_smbios_table(), and measure such records
as-is. Zero only the part of the field that lies within the formatted
area, and collapse the two measure_smbios_raw() call sites by selecting
what to measure via a pointer.

Signed-off-by: Syed Mohammed Nayyar <jmestwa@gmail.com>
7 days agocore: support stdio fd passing in io.systemd.Unit.StartTransient
Lars Sjöstrom [Thu, 2 Jul 2026 08:08:03 +0000 (10:08 +0200)] 
core: support stdio fd passing in io.systemd.Unit.StartTransient

Add StandardInputFileDescriptor, StandardOutputFileDescriptor and
StandardErrorFileDescriptor to the Service context of the Varlink
StartTransient() method. Each carries the push-order index of a file descriptor
passed along with the method call (via SCM_RIGHTS), and connects it to the
transient service's standard input/output/error. This is the Varlink equivalent
of the StandardInputFileDescriptor= / StandardOutputFileDescriptor= /
StandardErrorFileDescriptor= D-Bus transient properties behind
"systemd-run --pipe", which had no Varlink counterpart.

The manager Varlink server now enables SD_VARLINK_SERVER_ALLOW_FD_PASSING_INPUT
so clients may attach descriptors to their method calls, matching other
fd-accepting Varlink services (mountfsd, networkd, vmspawn, ...). The indices are
resolved with sd_varlink_peek_dup_fd() after the polkit authorization check and
stored on the Service exactly like the D-Bus path
(bus_set_transient_exec_context_fd()): the fds land in stdin_fd/stdout_fd/
stderr_fd and exec_context.stdio_as_fds is set, so the existing exec-invoke
plumbing wires them to the spawned process unchanged. Unsuitable fds (bad
index, wrong access mode) are rejected as InvalidParameter, other resolution
failures propagate as raw errnos.

Add coverage to TEST-74-AUX-UTILS.varlinkctl-unit.sh, passing regular files as
the stdout/stderr fds and asserting the unit's output lands on them.

7 days agosysinstall: Disable timeout for connection with repart
Julian Sparber [Tue, 7 Jul 2026 16:12:44 +0000 (18:12 +0200)] 
sysinstall: Disable timeout for connection with repart

The repart connection was timeing out when fetching candidate devices.
Therfore disable the timeout and keep the connection open till the user
disconnects.

7 days agogitignore: add .envrc, .direnv
Paul Meyer [Tue, 7 Jul 2026 16:31:53 +0000 (18:31 +0200)] 
gitignore: add .envrc, .direnv

Signed-off-by: Paul Meyer <katexochen0@gmail.com>
7 days agoAdjust naming of meson variables and allow systemd-report* binaries to be built stand...
Zbigniew Jędrzejewski-Szmek [Tue, 7 Jul 2026 19:35:41 +0000 (21:35 +0200)] 
Adjust naming of meson variables and allow systemd-report* binaries to be built standalone (#42874)

7 days agoportable: detect drop-in-only attachments
dongshengyuan [Sat, 4 Jul 2026 09:05:33 +0000 (17:05 +0800)] 
portable: detect drop-in-only attachments

Commit edea370222 (portable: remove drop-in configs even if the main unit file does not exist)
taught detach to handle leftover .service.d directories
after the main unit symlink was removed.

portable_get_state_internal() still had the same blind
spot: it only considered regular unit entries, so portablectl
is-attached could report detached while a portable drop-in directory was still present.

Handle those drop-in-only entries like detach does, preserve
the existing unit-file based enabled checks when the
main unit file is still present, and add TEST-29 coverage.

Signed-off-by: dongshengyuan <dongshengyuan@uniontech.com>
7 days agosbsign: write unaligned signature size into WIN_CERTIFICATE header
Vsevolod Kozlov [Mon, 6 Jul 2026 10:40:53 +0000 (13:40 +0300)] 
sbsign: write unaligned signature size into WIN_CERTIFICATE header

The inclusion of padding bytes in the signature size can lead to the signature
being rejected by strict PKCS7 parsers. Meanwhile, according to [1], the parser
of the WIN_CERTIFICATE structure is expected to round up the value of dwLength
to an 8-byte multiple. This also matches the behaviour of the sbsign tool from
sbsigntools.

Fixes #42884

[1] https://learn.microsoft.com/en-us/windows/win32/debug/pe-format#the-attribute-certificate-table-image-only

Signed-off-by: Vsevolod Kozlov <zaba@mm.st>
7 days agopull: honor sync for OCI artifacts
dongshengyuan [Fri, 3 Jul 2026 07:17:53 +0000 (15:17 +0800)] 
pull: honor sync for OCI artifacts

Synchronize OCI layer directories and generated metadata
when IMPORT_SYNC is enabled, matching the raw and tar pull paths.

Signed-off-by: dongshengyuan <dongshengyuan@uniontech.com>
7 days agocopy: keep replaced target after publish errors
dongshengyuan [Fri, 3 Jul 2026 06:44:40 +0000 (14:44 +0800)] 
copy: keep replaced target after publish errors

Once link_tmpfile_at() succeeds, the target path
has been published. Avoid unlinking it on later
close or parent fsync failures when COPY_REPLACE
was used, as that can remove the replaced target.

Signed-off-by: dongshengyuan <dongshengyuan@uniontech.com>
7 days agomkosi: update fedora commit reference to 57cbcf979ce2dd872a871c59e87d2c65dfa996e6 42874/head
Zbigniew Jędrzejewski-Szmek [Tue, 7 Jul 2026 16:37:12 +0000 (18:37 +0200)] 
mkosi: update fedora commit reference to 57cbcf979ce2dd872a871c59e87d2c65dfa996e6

57cbcf979c Also enable report-standalone for OBS builds
d69c17b165 Enable report-standalone for upstream builds

8 days agomeson: use modern syntax for dict checks
Zbigniew Jędrzejewski-Szmek [Fri, 3 Jul 2026 13:32:02 +0000 (15:32 +0200)] 
meson: use modern syntax for dict checks

8 days agomeson: build .standalone versions of the report binaries
Zbigniew Jędrzejewski-Szmek [Fri, 3 Jul 2026 11:28:36 +0000 (13:28 +0200)] 
meson: build .standalone versions of the report binaries

The goal is to be allow the use of those binaries on systemd with older
systemd. The report stuff is generally independent of the running systemd
version.

When built with -Dinstall-tests=true -Dstandalone-binaries=true
-Dbuildtype=release -Db_lto=true, gcc-16.1.1-2.fc44.x86_64, the sizes
are quite reasonable:

$ ls -lG build-lto/*.standalone
-rwxr-xr-x 1 zbyszek  713200 Jul  3 13:16 build-lto/systemd-report.standalone
-rwxr-xr-x 1 zbyszek  662936 Jul  3 13:16 build-lto/systemd-report-basic.standalone
-rwxr-xr-x 1 zbyszek  567424 Jul  3 13:16 build-lto/systemd-report-cgroup.standalone
-rwxr-xr-x 1 zbyszek  592856 Jul  3 13:16 build-lto/systemd-report-files.standalone
-rwxr-xr-x 1 zbyszek  589864 Jul  3 13:16 build-lto/systemd-report-sign-plain.standalone
-rwxr-xr-x 1 zbyszek  548624 Jul  3 13:16 build-lto/systemd-report-sign-tsm.standalone

8 days agomeson: adjust naming of '*extract*' variables
Zbigniew Jędrzejewski-Szmek [Fri, 3 Jul 2026 11:41:53 +0000 (13:41 +0200)] 
meson: adjust naming of '*extract*' variables

8 days agomeson: rename extract+objects to export+import
Zbigniew Jędrzejewski-Szmek [Fri, 3 Jul 2026 10:30:09 +0000 (12:30 +0200)] 
meson: rename extract+objects to export+import

We have two concepts: a list of files that should be extracted from an
intermediate build artifact to be used in a later build artifact, and for a
given artifact, a list "donors". The first list was called "extract", because
it is passed to the .extract_objects() meson function, and the second was
called "objects", because that is the meson parameter to specify pre-built
objects files (6350d2dbd97746440b9c8303ddc140ffda568732). But this naming is
confusing: we don't care about the 'extract' step, this is something internal
to the build machinery. And 'objects' is a very generic term.

Let's use 'export' for the stuff that is "exported" for other binaries to use,
and 'import' to say where to import from. Those terms are symmetrical and the
association between them should be intuitive. (If you think the terms are
actually assymetrical, there are precedents for confusing the import with the
import sources. E.g. in modern English, turkeys are called so because they were
imported from the Americas and guineafowls were imported from Africa via
Türkiye and all that foreign stuff is alike.)

8 days agomeson: move 'conditions' to the end
Zbigniew Jędrzejewski-Szmek [Fri, 3 Jul 2026 10:07:02 +0000 (12:07 +0200)] 
meson: move 'conditions' to the end

8 days agomkosi: update fedora commit reference to 45c16dd369c961b70664e473552def34d5469664
Zbigniew Jędrzejewski-Szmek [Tue, 7 Jul 2026 10:18:28 +0000 (12:18 +0200)] 
mkosi: update fedora commit reference to 45c16dd369c961b70664e473552def34d5469664

45c16dd369 Use uniform format for %rhel conditionals
034fa693f2 Print the build status also in %build
3cc7e03365 Restore definitions of helper macros
2382c910b7 Disable the standalone report yet again
2d6fd95c70 Restore explicit requires for Centos Stream 9 and 10
521ab0fb09 test: skip the integration test suite on Fedora ELN (for now)
453447b79b rpminspect: ignore test-coredump-stacktrace in annocheck
9d4edaa576 test: work around a kernel bug in virtio/vsock
c53b2fb307 test: cap the number of parallel tests
9bd26bb71f Fix ntpvendor for ELN
de7b685908 Disable reqs for dlopen'ed libraries on CentOS
4830641844 Move portabled to systemd-container subpackage
893fcd9978 Add missing conditionalization and more debugging
c783e74791 split-files: improve error message
ee2dff42d6 Add systemd-report-standalone
9c87a3f8ad Load libssl.so.4 rather than libssl.so.3
714b0799d2 Version 261.1
054158500a Update to load openssl-4 rather than openssl-3
5a3e750ef8 Version 261
4faee7ab7d Version 261~rc4
8ff635a921 Rebuilt for openssl 4.0
0064f73d97 Rebuilt for openssl 4.0
14a9aac87e Use dlopen notes again
720fa8259a Do not check ownership of /var/lib/systemd/timesync/ in rpm -V
06bd9926f2 Version 261~rc3
6ddbd499e8 Drop unused tree build dependency
bd81a14bfc Version 261~rc2

8 days agoAssorted libsystemd/network hardening fixes flagged by kres (#42865)
Zbigniew Jędrzejewski-Szmek [Tue, 7 Jul 2026 11:27:57 +0000 (13:27 +0200)] 
Assorted libsystemd/network hardening fixes flagged by kres (#42865)

8 days agohwdb: add MSI Claw 8 EX AI+ CG3EM to keyboard hwdb list
Matthew Schwartz [Tue, 23 Jun 2026 23:54:51 +0000 (16:54 -0700)] 
hwdb: add MSI Claw 8 EX AI+ CG3EM to keyboard hwdb list

8 days agojournalctl: add follow mode to the varlink method
Michael Vogt [Thu, 2 Jul 2026 13:27:06 +0000 (15:27 +0200)] 
journalctl: add follow mode to the varlink method

This commit implements `journalctl -f` like behavior for the
varlink API of journalctl. It is used via:
```
$ varlinkctl call -E \
    /run/systemd/io.systemd.JournalAccess \
    io.systemd.JournalAccess.GetEntries '{"follow": true, "limit": 10}'
```
This gives the last 10 message and then it keeps the connection
open and output each new log line that matches the set filters.

The code is modeled after `journalctl -f`. It seems there is little
to extract into shared code here so I left it for now.

8 days agovmspawn: discover firmware descriptors, opt-in secure boot support for coco (#42876)
Lennart Poettering [Tue, 7 Jul 2026 06:55:10 +0000 (08:55 +0200)] 
vmspawn: discover firmware descriptors, opt-in secure boot support for coco (#42876)

8 days agoresolve: anchor the service browser from mDNS maintenance queries 42865/head
Luca Boccassi [Thu, 2 Jul 2026 21:20:31 +0000 (22:20 +0100)] 
resolve: anchor the service browser from mDNS maintenance queries

mdns_maintenance_query() takes a ref on the browser's varlink link but
never installs itself as that link's userdata. dns_query_free() then
unconditionally runs sd_varlink_set_userdata(varlink_request, NULL),
so freeing any maintenance query wipes the browse query's registration
on the shared sb->link slot, disabling the abort paths in
vl_on_disconnect() and dns_service_browser_free(). The maintenance
query also never takes a reference on the DnsServiceBrowser, so a client
disconnect could free the browser while a maintenance query was still
in flight, leaving the per-service schedule_event timer and the raw
service->service_browser back-pointer dangling (use-after-free on the
next timer tick or query completion).

Take a service_browser_request reference instead, matching the browse
query path. dns_query_free() already drops it. The browser now outlives
its in-flight maintenance queries.

Follow-up for 8458b7fb91ea5e5109b6f3c94f8a781a120c798b

8 days agonetwork: implement refcounting for SR-IOV objects
Luca Boccassi [Thu, 2 Jul 2026 21:06:25 +0000 (22:06 +0100)] 
network: implement refcounting for SR-IOV objects

link_request_sr_iov_vfs() queued each request with a raw SRIOV* as
userdata and a NULL free_func, so the request did not own the object.
The SRIOV is owned by link->network->sr_iov_by_section, which is freed
by network_free() on reload while the RTM_SETLINK reply may still be in
flight (the floating netlink slot keeps the request alive but does not
keep the userdata alive). A later reply, or the 25s netlink timeout,
then dispatches sr_iov_handler() which reads the freed SRIOV.

Follow-up for cb8453cc51a9d49e094e746af2e074669a71cc4a

8 days agoudev: clear event back-pointer when freeing a worker
Luca Boccassi [Thu, 2 Jul 2026 19:55:53 +0000 (20:55 +0100)] 
udev: clear event back-pointer when freeing a worker

worker_free() did not clear worker->event->worker, leaving an event
that was still attached to a worker pointing at freed memory once the
worker was gone. manager_free() frees the workers (hashmap_free())
before it walks manager->events to process them, and event_free() then
writes event->worker->event = NULL into the already-freed worker.

Clear the back-pointer in worker_free(), mirroring event_free() which
already clears the worker's pointer. The link used to be torn down by
the event_free(worker->event) call in worker_free(), which was dropped
when events became reference counted.

The Event and Worker definitions move to udev-manager.h (next to
Manager) so the unit test can construct and free a bound worker/event
pair.

Follow-up for cb16d47f30cc0d848ca6868c39b844810520d713

8 days agosd-bus: drop half-registered vtable members on failure
Luca Boccassi [Thu, 2 Jul 2026 19:08:14 +0000 (20:08 +0100)] 
sd-bus: drop half-registered vtable members on failure

add_object_vtable_internal() inserts BusVTableMember entries into the
global vtable_methods/vtable_properties sets as it walks the vtable, but
only sets node_vtable.node (which gates the disconnect-time cleanup)
after the loop. A failure mid-loop thus left the already-inserted
members behind, dangling once the slot's interface string and the node's
path were freed, so a later registration reading those keys hit a
use-after-free. Remove this slot's members on the fail path.

The test asserts the failed registration leaves no member behind.

Follow-up for 19befb2d5fc087f96e40ddc432b2cc9385666209

8 days agosd-bus: re-check match_callbacks_modified in the argNhas value loop
Luca Boccassi [Thu, 2 Jul 2026 18:26:23 +0000 (19:26 +0100)] 
sd-bus: re-check match_callbacks_modified in the argNhas value loop

The CAN_HASH branch of bus_match_run() that iterates the array values of
an argNhas= match dispatches a callback per value but, unlike the leaf
and manual-iteration branches, does not re-check bus->match_callbacks_modified
afterwards. A callback that adds or removes a match (freeing the node)
would then have the next hashmap_get(node->compare.children, ...) read
freed memory. Add the same check the sibling branches already have.

Follow-up for 198b158f4941b817f26f8eb0ff75809bf5436496

8 days agosd-netlink: disconnect the slot on async/match error paths
Luca Boccassi [Thu, 2 Jul 2026 17:58:11 +0000 (18:58 +0100)] 
sd-netlink: disconnect the slot on async/match error paths

netlink_slot_allocate() links the slot into nl->slots and takes an nl
reference, but sd_netlink_call_async() and netlink_add_match_internal()
hold it in a _cleanup_free_, so an error after allocation frees the slot
with a bare free()

Follow-up for ee38400bbaf04ff093c5450a554d5cc70face217

8 days agonetwork: initialize dot_servers before CLEANUP_ARRAY
Luca Boccassi [Thu, 2 Jul 2026 17:47:27 +0000 (18:47 +0100)] 
network: initialize dot_servers before CLEANUP_ARRAY

If dns_resolvers_to_dot_addrs() fails (e.g. OOM) it returns without
assigning *ret_addrs, so the CLEANUP_ARRAY() cleanup would free an
uninitialized dot_servers pointer on the error return.

Follow-up for 3fd6708cde0fa4283e2335aca288a40a49406f3c

8 days agoudev: track remaining buffer size across $links devlinks
Luca Boccassi [Thu, 2 Jul 2026 17:37:24 +0000 (18:37 +0100)] 
udev: track remaining buffer size across $links devlinks

FORMAT_SUBST_LINKS passes the same 'l' (remaining size) to strpcpy for
each devlink and discards the returned remaining value, so the cursor
advances while the bound stays at the full size, overflowing dest.
Capture the return value.

Follow-up for f6caab8995a27244db185f075e751a119e4bdedc

8 days agosd-device: avoid 32-bit overflow in the monitor properties bounds check
Luca Boccassi [Thu, 2 Jul 2026 17:26:57 +0000 (18:26 +0100)] 
sd-device: avoid 32-bit overflow in the monitor properties bounds check

"properties_off + 32 > n" is evaluated in 32-bit arithmetic, so a
properties_off near UINT32_MAX wraps but passes the check.

Follow-up for efbd4b3ca84c0426b6ff98d6352f82f3b7c090b2

8 days agohashmap: honor the value destructor in set_ensure_consume()
Luca Boccassi [Thu, 2 Jul 2026 17:02:10 +0000 (18:02 +0100)] 
hashmap: honor the value destructor in set_ensure_consume()

Sets store their element in the key slot but use a value destructor
(DEFINE_HASH_OPS_WITH_VALUE_DESTRUCTOR). On the reject/duplicate path
set_ensure_consume() only checked free_key and otherwise called free().

Follow-up for fcc1d0315d335ba31d85d6023c79d6404c62e167

8 days agosd-device: bound the tag filter BPF program size
Luca Boccassi [Thu, 2 Jul 2026 16:55:37 +0000 (17:55 +0100)] 
sd-device: bound the tag filter BPF program size

The tag-match loop emits 6 instructions per tag into a fixed 512-entry
stack array without a bounds check (unlike the subsystem loop below),
so enough tags overflow the stack. Refuse with -E2BIG instead.

Follow-up for b1c097af8df58a94cba031a347061b7cb9b62d9b

9 days agovmspawn: allow opt-in Secure Boot firmware for coco 42876/head
Paul Meyer [Fri, 3 Jul 2026 13:52:10 +0000 (15:52 +0200)] 
vmspawn: allow opt-in Secure Boot firmware for coco

CoCo firmware is stateless, so Secure Boot keys cannot be enrolled at
runtime: it only enforces Secure Boot with keys baked in at build time,
refusing unsigned images from the first boot. The default exclusion of
the enrolled-keys firmware feature hence keeps unsigned images bootable,
but it also makes firmware discovery fail on distros that only ship
SNP/TDX firmware with pre-enrolled keys (e.g. Fedora's TDVF). Drop the
rejection of --secure-boot=yes with --coco= and instead treat it as an
opt-in to such firmware, by lifting the enrolled-keys exclusion.

While at it, reject --efi-nvram-template= and an explicit
--efi-nvram-state= path with --coco=, which were silently ignored, as
stateless firmware has no NVRAM to instantiate or persist.

Signed-off-by: Paul Meyer <katexochen0@gmail.com>
9 days agovmspawn: verify selected fw matches requirements
Paul Meyer [Thu, 2 Jul 2026 16:04:36 +0000 (18:04 +0200)] 
vmspawn: verify selected fw matches requirements

Carry the firmware descriptor's feature list in OvmfConfig, and verify
that firmware selected via an explicit --firmware= descriptor declares
the amd-sev-snp/intel-tdx feature, is stateless, and is in raw format,
the same constraints automatic discovery already imposes. This replaces
the cached supports_sb boolean with a generic feature lookup.

Signed-off-by: Paul Meyer <katexochen0@gmail.com>
9 days agovmspawn: select coco firmware via fw descriptors
Paul Meyer [Thu, 2 Jul 2026 14:22:36 +0000 (16:22 +0200)] 
vmspawn: select coco firmware via fw descriptors

Instead of requiring --firmware= to point at a raw .fd image for
--coco=sev-snp/tdx, pick a suitable firmware automatically from the
QEMU firmware descriptors, requiring the amd-sev-snp/intel-tdx feature.
CoCo firmware is stateless (it carries no NVRAM template), so teach
find_ovmf_config() to select stateless raw-format firmware via new
flags. --firmware= now uniformly takes a firmware descriptor path.

Signed-off-by: Paul Meyer <katexochen0@gmail.com>
10 days agohwdb: Make Amlogic burn mode work out-of-box
Nicholas Lim [Sat, 4 Jul 2026 10:06:01 +0000 (18:06 +0800)] 
hwdb: Make Amlogic burn mode work out-of-box

11 days agohwdb: map mic-mute key on Logitech K950 (Bluetooth)
Matthias P. Walther [Fri, 3 Jul 2026 21:21:46 +0000 (23:21 +0200)] 
hwdb: map mic-mute key on Logitech K950 (Bluetooth)

The mic-mute key on the Logitech K950 keyboard (046D:B388, Bluetooth)
emits BTN_0 (scancode 0x100e1) instead of a usable key, so it does
nothing under GNOME/KDE. Map it to KEY_MICMUTE, its intended function.

Scancode determined with evtest on the device.

11 days agovarlink: properly linebreak upgrade/more flag generation
Lennart Poettering [Fri, 19 Jun 2026 16:35:49 +0000 (18:35 +0200)] 
varlink: properly linebreak upgrade/more flag generation

Let's not manually create comments, but use the usual
varlink_idl_format_comment() function which does line break handling
properly.

This polishes the output for very narrow outputs, since we'll line break
these synthetic comments too.

11 days agoTranslations update from Fedora Weblate (#42878)
Luca Boccassi [Fri, 3 Jul 2026 17:27:13 +0000 (18:27 +0100)] 
Translations update from Fedora Weblate (#42878)

Translations update from [Fedora
Weblate](https://translate.fedoraproject.org) for
[systemd/main](https://translate.fedoraproject.org/projects/systemd/main/).

Current translation status:

![Weblate translation
status](https://translate.fedoraproject.org/widget/systemd/main/matrix-auto.svg)

11 days agopo: Translated using Weblate (Chinese (Simplified) (zh_CN)) 42878/head
Jesse Guo [Fri, 3 Jul 2026 16:17:56 +0000 (16:17 +0000)] 
po: Translated using Weblate (Chinese (Simplified) (zh_CN))

Currently translated at 100.0% (286 of 286 strings)

Co-authored-by: Jesse Guo <jesseguotech@outlook.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/zh_CN/
Translation: systemd/main

11 days agopo: Translated using Weblate (French)
Léane GRASSER [Fri, 3 Jul 2026 16:17:56 +0000 (16:17 +0000)] 
po: Translated using Weblate (French)

Currently translated at 100.0% (286 of 286 strings)

Co-authored-by: Léane GRASSER <leane.grasser@proton.me>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fr/
Translation: systemd/main

11 days agopo: Translated using Weblate (Czech)
Michal Čihař [Fri, 3 Jul 2026 16:17:55 +0000 (16:17 +0000)] 
po: Translated using Weblate (Czech)

Currently translated at 99.3% (284 of 286 strings)

Co-authored-by: Michal Čihař <michal@cihar.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/cs/
Translation: systemd/main

11 days agoboot: various hardening fixes flagged by kres (#42767)
Luca Boccassi [Fri, 3 Jul 2026 16:25:56 +0000 (17:25 +0100)] 
boot: various hardening fixes flagged by kres (#42767)

11 days agoprep work for #42651 (#42871)
Lennart Poettering [Fri, 3 Jul 2026 15:55:53 +0000 (17:55 +0200)] 
prep work for #42651 (#42871)

For some reason claude refuses to review
https://github.com/systemd/systemd/pull/42651.

Let's see if we can make it work by splitting up the big PR into smaller
ones. So here's the first one with 5 commits that should be relatively
easy to review and get merged early.

11 days agotest: register SysInstall Varlink IDL in test-varlink-idl.c
Lennart Poettering [Fri, 3 Jul 2026 14:05:55 +0000 (16:05 +0200)] 
test: register SysInstall Varlink IDL in test-varlink-idl.c

11 days agotree-wide: add mechanism to detect missing cflags dependencies (#42866)
Zbigniew Jędrzejewski-Szmek [Fri, 3 Jul 2026 15:54:10 +0000 (17:54 +0200)] 
tree-wide: add mechanism to detect missing cflags dependencies (#42866)

11 days agoboot: require a minimum PE optional header size in verify_pe() 42767/head
Luca Boccassi [Fri, 26 Jun 2026 22:12:54 +0000 (23:12 +0100)] 
boot: require a minimum PE optional header size in verify_pe()

verify_pe() only checked SizeOfOptionalHeader against a SIZE_MAX wrap (a
clause that, given SizeOfOptionalHeader is a uint16_t, can never reject
anything) and never read NumberOfRvaAndSizes. But pe_kernel_info(),
pe_kernel_check_nx_compat() and pe_kernel_check_no_relocation() then read
SizeOfImage, AddressOfEntryPoint, DllCharacteristics and the base
relocation data directory entry from the optional header.

Require SizeOfOptionalHeader to be large enough to contain everything down
to the base relocation data directory entry, and require the image to
declare that many data directory entries.

Follow-up for bacc2ed0d5bb10de5d37a1df73c061247f005b59

11 days agoboot: restore parent loaded image when initrd registration fails
Luca Boccassi [Fri, 26 Jun 2026 21:17:28 +0000 (22:17 +0100)] 
boot: restore parent loaded image when initrd registration fails

linux_exec() patches the stub's own EFI_LOADED_IMAGE_PROTOCOL to point
at the loaded inner kernel, and restores the saved original only after
the entry point returns. The initrd_register() failure path returns
without restoring, leaving the firmware's protocol pointing to freed
data.

Follow-up for f4051650657cd337ceba67b773f0e3bf854cbaff

11 days agoboot: restore RW/RO memory attributes on every error
Luca Boccassi [Fri, 26 Jun 2026 21:10:20 +0000 (22:10 +0100)] 
boot: restore RW/RO memory attributes on every error

linux_exec() marks code sections RO+X for W^X and reverts them to RW+NX
in a loop just before returning, because EDK2 requires freed buffers to
be writable and non-executable or FreePages() crashes. Not every error
path is currently covered. Switch to a _cleanup_ helper so that every
return path is covered.

Follow-up for 56d19b633d049035afe3f690fd6c717e06f88597

11 days agoboot: check PE section against SizeOfImage
Luca Boccassi [Fri, 26 Jun 2026 20:58:57 +0000 (21:58 +0100)] 
boot: check PE section against SizeOfImage

pe_locate_sections_internal() stores each matching section's VirtualSize
and VirtualAddress into PeSectionVector.memory_size/memory_offset with
only SIZE_MAX overflow guards, never checking them against the image's
SizeOfImage.

Wire up the image's SizeOfImage down to pe_locate_sections_internal()
and skip any section whose in-memory section does not fit within it.

Follow-up for fb974ac485c90f9887d5d21ac25d6d26d452eb3c

11 days agoboot: bound PE section VirtualSize before zeroing the inner kernel
Luca Boccassi [Fri, 26 Jun 2026 19:12:36 +0000 (20:12 +0100)] 
boot: bound PE section VirtualSize before zeroing the inner kernel

The inner-kernel section loader checks VirtualAddress + SizeOfRawData
against kernel_size_in_memory (for the memcpy), but the memzero right
after it clears up to VirtualAddress + VirtualSize, and VirtualSize is
only constrained to be >= SizeOfRawData.

Reject a VirtualAddress + VirtualSize that overflows or exceeds
kernel_size_in_memory, mirroring the existing SizeOfRawData checks.

Follow-up for cab9c7b5a42effa8a45611fc6b8556138c869b5f

11 days agoboot: reject inner kernel entry point outside the image
Luca Boccassi [Fri, 26 Jun 2026 18:57:23 +0000 (19:57 +0100)] 
boot: reject inner kernel entry point outside the image

pe_kernel_info() returned AddressOfEntryPoint (and the .compat section
entry_point) straight from the PE header with no check against
SizeOfImage. Since cab9c7b5a4 the stub calls the inner kernel directly
as ImageBase + entry_point, and only EFI_SIZE_TO_PAGES(SizeOfImage) pages
are allocated for it.

Follow-up for cab9c7b5a42effa8a45611fc6b8556138c869b5f

11 days agoboot: don't unquote an empty value in line_get_key_value()
Luca Boccassi [Fri, 26 Jun 2026 18:41:31 +0000 (19:41 +0100)] 
boot: don't unquote an empty value in line_get_key_value()

de0da85d41b switched the unquote check to strchr8(QUOTES, value[0]),
which is not equivalent to the old explicit comparison for an empty
value: strchr8(), like strchr(3), returns a pointer to the haystack's
terminating NUL when the needle is '\0', so strchr8(QUOTES, '\0') is
non-NULL. For a line whose separator is the last byte (e.g. "ID=") the
split leaves value[0] == '\0' and line[linelen - 1] == '\0' too, so both
conjuncts hold and value++ steps one byte past the value's terminator.

Follow-up for de0da85d41b207b850aa0f68bb2436525389cf2b

11 days agoboot: initialize return parameters on zero-length EFI variable read
Luca Boccassi [Fri, 26 Jun 2026 16:29:31 +0000 (17:29 +0100)] 
boot: initialize return parameters on zero-length EFI variable read

When a variable exists but is empty, the initial size-query
GetVariable() in efivar_get_raw_full() returns EFI_SUCCESS instead of
EFI_BUFFER_TOO_SMALL: the zero-length payload already "fits" the
zero-length query buffer. The helper returns success, but does not
initialize the return parameters.
Handle a couple of corner cases by checking the return size.

Follow-up for a40960748907212883f4b7de7367e6870657016e

11 days agoboot: make device_path_next_node() robust against malformed zero-length nodes
Luca Boccassi [Fri, 26 Jun 2026 16:21:52 +0000 (17:21 +0100)] 
boot: make device_path_next_node() robust against malformed zero-length nodes

device_path_next_node() advances by the current node's Length field,
which per the EFI device path protocol includes the 4-byte node header;
a well-formed node is therefore at least sizeof(EFI_DEVICE_PATH) bytes
long. A malformed node with Length < sizeof(EFI_DEVICE_PATH), in
particular Length == 0, makes the helper return its input pointer
unchanged.

Advance by at least sizeof(EFI_DEVICE_PATH).

Follow-up for 5080a60a719da213fa90964b76cc90bd0d1cb8de

11 days agosysupdate: split out url config parser into new file 42871/head
Lennart Poettering [Thu, 18 Jun 2026 15:58:09 +0000 (17:58 +0200)] 
sysupdate: split out url config parser into new file

These are located at two distinct places, and are very similar, let's
put them in a common place.

This is preparation for reusing them later.

11 days agosysupdate: rename read_definitions() → read_transfers()
Lennart Poettering [Thu, 18 Jun 2026 15:33:09 +0000 (17:33 +0200)] 
sysupdate: rename read_definitions() → read_transfers()

This function only reads the .transfer files, hence give it a precise
name.

11 days agosysupdate: split out reading of feature files into separate helper
Lennart Poettering [Thu, 18 Jun 2026 15:30:35 +0000 (17:30 +0200)] 
sysupdate: split out reading of feature files into separate helper

This is preparation for later adding a per-component metadata file, so
that we can have nicely symmetric functions for this.

11 days agosysupdate: align macro backslashes like we usually do
Lennart Poettering [Fri, 3 Jul 2026 13:41:42 +0000 (15:41 +0200)] 
sysupdate: align macro backslashes like we usually do

11 days agosysupdate: replace local specifier_table[] by common system_and_tmp_specifier_table[]
Lennart Poettering [Fri, 3 Jul 2026 13:35:48 +0000 (15:35 +0200)] 
sysupdate: replace local specifier_table[] by common system_and_tmp_specifier_table[]

It's byte-by-byte exactly the same thing, hence drop the local copy.

11 days agosysupdate: drop redundant ()
Lennart Poettering [Tue, 30 Jun 2026 19:46:57 +0000 (21:46 +0200)] 
sysupdate: drop redundant ()

Just a tiny simplification

11 days agotest-socket-util: convert to new ASSERT macros
Zbigniew Jędrzejewski-Szmek [Thu, 2 Jul 2026 14:32:44 +0000 (16:32 +0200)] 
test-socket-util: convert to new ASSERT macros

Replace assert_se() with the typed ASSERT_* macros throughout, matching
the conversions done across the rest of src/test/.

11 days agoAdd varlink interface for sysinstall (#42261)
Lennart Poettering [Fri, 3 Jul 2026 14:04:25 +0000 (16:04 +0200)] 
Add varlink interface for sysinstall (#42261)

Allow graphical installers to use system sysinstall. This will be used
by gnome-setup to install GNOME OS and ideally installers of other
distributions talk to the same varlink interface.

11 days agoci/build-test: add build test for -Dsystemd-multicall-binary=true 42866/head
Yu Watanabe [Fri, 3 Jul 2026 08:07:29 +0000 (17:07 +0900)] 
ci/build-test: add build test for -Dsystemd-multicall-binary=true

11 days agotree-wide: check if necessary cflags dependencies are set
Yu Watanabe [Thu, 2 Jul 2026 18:52:36 +0000 (03:52 +0900)] 
tree-wide: check if necessary cflags dependencies are set

This makes each `foo_cflags` dependency define a `SYSTEMD_CFLAGS_MARKER_FOO`
macro, and checks if the macro is set when headers provided by external
libraries are included.

With this, we can fail fast at compile time if necessary `_cflags`
dependencies are omitted in meson.build. Missing dependencies found by this
mechanism have been added across the tree.

11 days agomeson: merge two libelf-related clfags dependencies
Yu Watanabe [Fri, 3 Jul 2026 07:38:47 +0000 (16:38 +0900)] 
meson: merge two libelf-related clfags dependencies

Both libraries are used only by elf-utils.c.
We can merge them.

11 days agomeson: merge three glib cflags dependencies
Yu Watanabe [Fri, 3 Jul 2026 02:12:43 +0000 (11:12 +0900)] 
meson: merge three glib cflags dependencies

They are always used together, and only used by a unit test.
Fine-graded cflags dependencies are not necessary.

11 days agomeson: do not pass space-separated list of libraries
Yu Watanabe [Fri, 3 Jul 2026 07:30:08 +0000 (16:30 +0900)] 
meson: do not pass space-separated list of libraries

It was not clear that which version was returned by
tpm2.version().
Let's explicitly check dependency one-by-one.

11 days agomeson: use tpm2_cflags dependency rather than tpm2
Yu Watanabe [Fri, 3 Jul 2026 01:04:34 +0000 (10:04 +0900)] 
meson: use tpm2_cflags dependency rather than tpm2

11 days agopull: introduce pull-forward.h
Yu Watanabe [Fri, 3 Jul 2026 11:28:34 +0000 (20:28 +0900)] 
pull: introduce pull-forward.h

12 days agotree-wide: drop unnecessary header inclusions
Yu Watanabe [Fri, 3 Jul 2026 01:01:32 +0000 (10:01 +0900)] 
tree-wide: drop unnecessary header inclusions

12 days agotest: Add basic test for sysinstall varlink interface 42261/head
Julian Sparber [Fri, 26 Jun 2026 16:48:42 +0000 (18:48 +0200)] 
test: Add basic test for sysinstall varlink interface

This adds a basic test for the newly added varlink interface of
sysinstall.

12 days agosysinstall: Add varlink interface
Julian Sparber [Fri, 26 Jun 2026 16:48:23 +0000 (18:48 +0200)] 
sysinstall: Add varlink interface

Allow graphical installers to use system sysinstall.
This will be used by gnome-setup to install GNOME OS and ideally installers
of other distributions talk to the same varlink interface.

12 days agosysinstall: Look for valid kernel image before installing
Julian Sparber [Thu, 25 Jun 2026 16:33:49 +0000 (18:33 +0200)] 
sysinstall: Look for valid kernel image before installing

Instead of failing the installation after creating the partitions and
doing almost the entire installation, and then failing if we don't have
a kernel image. Look for it before we start doing modifications to the disk.
This way we tell the user as soon as possible that we can't install the
OS because of the missing kernel image.

12 days agoinclude: do not override kernel headers with libaudit headers
Yu Watanabe [Thu, 2 Jul 2026 20:32:28 +0000 (05:32 +0900)] 
include: do not override kernel headers with libaudit headers

Overriding <linux/audit.h> to implicitly include <libaudit.h> turns out to
be problematic. Because <linux/audit.h> is pulled in by various other kernel
headers, any source file including those kernel headers indirectly ends up
depending on <libaudit.h>, even if the executable or library being built
does not require libaudit at all.

Let's drop the override header and include <libaudit.h> only where explicitly
needed. This also moves the fallback definitions of AUDIT_SERVICE_* and
MAX_AUDIT_MESSAGE_LENGTH to libaudit-util.h.

12 days agoboot: reject GPT headers with SizeOfPartitionEntry below the minimum
Luca Boccassi [Fri, 26 Jun 2026 16:15:38 +0000 (17:15 +0100)] 
boot: reject GPT headers with SizeOfPartitionEntry below the minimum

Commit 0cf5f816f22c replaced the original lower-bound check

    if (h->SizeOfPartitionEntry < sizeof(EFI_PARTITION_ENTRY))
            return false;

with a multiple-of check

    if ((h->SizeOfPartitionEntry % sizeof(EFI_PARTITION_ENTRY)) != 0)
            return false;

to additionally require the entry size to be a multiple of 128. The
modulo test is however also satisfied by SizeOfPartitionEntry == 0, so a
GPT header advertising a zero entry size now passes verify_gpt().

Restore the lower bound in addition to the multiple-of check, so the
entry size must be at least sizeof(EFI_PARTITION_ENTRY) and a multiple of
it (128 bytes).

Follow-up for 0cf5f816f22c78740e122dfb6b3942ba4241717b

12 days agotree-wide: get rid of backslashes in file names
Daan De Meyer [Thu, 2 Jul 2026 10:30:55 +0000 (10:30 +0000)] 
tree-wide: get rid of backslashes in file names

File names containing backslashes cannot be checked out on Windows,
are not handled properly by build systems such as buck, and are awkward
to work with in general, so store the \x2d slice units under sanitized
file names, and rename them to the real unit name on install via a new
optional "name" key in the units list.

The fuzz-unit-file corpus sample is renamed as well; its file name is
not meaningful to the fuzzer, and dropping the backslash means it is no
longer skipped by the meson workaround for
https://github.com/mesonbuild/meson/issues/1564, so it runs as a
regression test again.

12 days agojournal: move audit-type.[ch] and related generators to src/journal
Yu Watanabe [Thu, 2 Jul 2026 22:39:24 +0000 (07:39 +0900)] 
journal: move audit-type.[ch] and related generators to src/journal

It is only used by systemd-journald and own unit test.

12 days agomachined: drop superfluos 'supervisor' varlink input parameter for register method
Luca Boccassi [Wed, 1 Jul 2026 23:05:41 +0000 (00:05 +0100)] 
machined: drop superfluos 'supervisor' varlink input parameter for register method

The supervisor is derived from the caller's socket in D-Bus, and it is
not an input parameter. Do the same in varlink.

Follow-up for 97754cd14dc7b3630585383ecba92191667860e4

12 days agocore: add all manager timestamps to metrics report (#42842)
Zbigniew Jędrzejewski-Szmek [Fri, 3 Jul 2026 08:06:43 +0000 (10:06 +0200)] 
core: add all manager timestamps to metrics report (#42842)

These are all very useful for establishing the health of a fleet, so
export them too

Follow-up for 0b0db27050595251b40b4e7cf56593a275eaf3c2

12 days agocalendarspec: warn on weekday/date conflict in systemd-analyze and systemd-run
dongshengyuan [Wed, 1 Jul 2026 06:57:33 +0000 (14:57 +0800)] 
calendarspec: warn on weekday/date conflict in systemd-analyze and systemd-run

When a fixed date (e.g. 2027-01-01) is paired with a weekday constraint
(e.g. Thu) that does not match, the timer silently never elapses.

Add calendar_spec_from_string_full(..., warn_on_weekday_mismatch) so
user-facing tools can opt in to a log_warning() at parse time:
- systemd-analyze calendar: uses _full(true)
- systemd-run --on-calendar: uses _full(true)
- .timer OnCalendar=: uses log_syntax() with file/line context

Add test_calendar_spec_weekday_conflict(): forks a child with stderr
captured in a memfd via pidref_safe_fork_full(), verifies the warning
is emitted for conflicting specs and suppressed for valid ones.

Fixes: #40350
Signed-off-by: dongshengyuan <dongshengyuan@uniontech.com>
12 days agotpm2: optionally disable TPMA_NV_ORDERLY for NvPCRs (#42848)
Lennart Poettering [Fri, 3 Jul 2026 05:18:02 +0000 (07:18 +0200)] 
tpm2: optionally disable TPMA_NV_ORDERLY for NvPCRs (#42848)

12 days agotest: ignore fails when the formatted timezone differs from the current one
Frantisek Sumsal [Thu, 2 Jul 2026 12:32:36 +0000 (14:32 +0200)] 
test: ignore fails when the formatted timezone differs from the current one

When formatting a timestamp the C API takes into account historical data
from tzdata, so it returns a date strings with a historically-correct
timezone abbreviation. However, tzname[] doesn't do this and it returns
the most recent abbreviation for the given zone.

For example, according to tzdata America/Cancun switched from EST/EDT to
CST/CDT on 1998-08-02:

Zone America/Cancun     -5:47:04 -      LMT     1922 Jan  1  6:00u
                        -6:00   -       CST     1981 Dec 26  2:00
                        -5:00   -       EST     1983 Jan  4  0:00
                        -6:00   Mexico  C%sT    1997 Oct 26  2:00
                        -5:00   Mexico  E%sT    1998 Aug  2  2:00
                        -6:00   Mexico  C%sT    2015 Feb  1  2:00
                        -5:00   -       EST

So, formatting a timestamp from this time will yield a string with the
EDT timezone:

$ TZ=America/Cancun date -d "@902035565"
Sun Aug  2 01:26:05 EDT 1998

But using tzname[] (or strptime %z) shows the most recent data, where
America/Cancun uses EST (and doesn't use DST anymore, hence
tzname[1]=CDT that glibc remembers from the previous zone epoch):

$ TZ=America/Cancun ./tz
{EST, CDT}

This means that when we parse the formatted timestamp back we don't use
the historical timezone data, so we might end up with a different
offset:

TZ=America/Cancun, tzname[0]=EST, tzname[1]=CDT
@902035565603993 → Sun 1998-08-02 01:26:05 EDT → @902039165000000 → Sun 1998-08-02 01:26:05 CDT
src/test/test-time-util.c:452: Assertion failed: Expected "ignore" to be true
Aborted                    (core dumped) build-local/test-time-util

Instead of adding exceptions for every single timezone that switched
between different offsets in the past, let's address this a bit more
generally and skip the check if the parsed timezone doesn't match any of
the current timezones - this still keeps the check that the time
difference in such case is exactly one hour, so its effect should be
limited mostly to DST-related changes.

Resolves: #37684

12 days agoImprove OpenSSL 4 support (#42843)
Yu Watanabe [Thu, 2 Jul 2026 22:20:48 +0000 (07:20 +0900)] 
Improve OpenSSL 4 support (#42843)

12 days agobootctl: expose --esp-path/--boot-path/--make-entry-directory via Varlink (#42838)
Lennart Poettering [Thu, 2 Jul 2026 19:56:57 +0000 (21:56 +0200)] 
bootctl: expose --esp-path/--boot-path/--make-entry-directory via Varlink (#42838)

The Install/Unlink/Link/LinkAuto Varlink methods always auto-discover
the ESP and XBOOTLDR partitions and Install always runs
make-entry-directory in auto mode, so IPC callers cannot match what the
CLI verbs do with `--esp-path`, `--boot-path` and
`--make-entry-directory`. Add optional `espPath`, `xbootldrPath` and
`makeEntryDirectory` parameters that feed into the same code paths the
CLI already uses.

12 days agoAllow systemd to be built as as single statically-linked binary (#42820)
Lennart Poettering [Thu, 2 Jul 2026 19:56:27 +0000 (21:56 +0200)] 
Allow systemd to be built as as single statically-linked binary (#42820)

The idea is that we can build a container by building a single-binary
systemd:
```console
$ meson setup build-static --default-library=static --prefer-static --auto-features=disabled -Dbuild-static=true -Dsystemd-multicall-binary=true && ninja -C build-static systemd
$ mkdir /var/tmp/container/usr/lib -p
$ cp build-static/systemd /var/tmp/container/usr/lib/
$ echo 'ID=quick' >/var/tmp/container/usr/lib/os-release
$ systemd-nspawn --restrict-address-families=af_unix --register=no --private-users=managed -D /var/tmp/container/ /usr/lib/systemd
░ Spawning container container on /var/tmp/container.
░ Press Ctrl-] three times within 1s to kill container; two times followed by r
░ to reboot container; two times followed by p to poweroff container.
Selected user namespace base 1855193088 and range 65536.
systemd 262~devel running in system mode (-PAM -AUDIT +SELINUX -APPARMOR +IMA +IPE +SMACK -SECCOMP -GCRYPT +GNUTLS +OPENSSL -ACL +BLKID +CURL -ELFUTILS -FIDO2 +IDN2 +KMOD +LIBCRYPTSETUP +LIBCRYPTSETUP_PLUGINS +LIBFDISK +PCRE2 -PWQUALITY +P11KIT +QRENCODE +TPM2 -BZIP2 -LZ4 +XZ +ZLIB +ZSTD -BPF_FRAMEWORK -BTF -XKBCOMMON +UTMP -LIBARCHIVE)
Detected virtualization systemd-nspawn.
Detected architecture x86-64.
Detected first boot.

Welcome to Linux!

Initializing machine ID from container UUID.
Failed to open netlink, ignoring: Address family not supported by protocol
Applying preset policy.
Populated /etc with preset unit settings.
Unit default.target not found.
Falling back to graphical.target.
Mount unit not supported, skipping *MountsFor= dependencies.
Queued start job for default target graphical.target.
[  OK  ] Reached target sysinit.target.
[  OK  ] Reached target basic.target.
System is tainted: unmerged-bin:var-run-bad
[  OK  ] Reached target multi-user.target.
[  OK  ] Reached target graphical.target.
Startup finished in 61ms.
```
The container can be reloaded with SIGTERM, powered off with SIGRTMIN+4,
etc. SIGRTMIN+5 should cause a reboot but it currently fails:
```
...
Rebooting.
Container container is being rebooted.
Failed to attach root directory: Invalid argument
Failed to receive mount namespace fd from outer child: Input/output error
```
It's a bug … somewhere, but probably not caused by the linking changes
being done here.

12 days agoupdate TODO 42848/head
Lennart Poettering [Thu, 2 Jul 2026 07:56:05 +0000 (09:56 +0200)] 
update TODO

12 days agotpm2: cache NvPCR NV space exhaustion via flag files in /run/
Lennart Poettering [Thu, 2 Jul 2026 07:13:35 +0000 (09:13 +0200)] 
tpm2: cache NvPCR NV space exhaustion via flag files in /run/

When we run out of NV index space while allocating an NvPCR, the
situation will unlikely improve until (at least) reboot. Retrying the
(doomed) Esys_NV_DefineSpace call on every subsequent allocation attempt
is wasteful (and very slow), so remember the exhaustion in a flag file
under /run/ and fail early next time.

We use two separate flag files, one for orderly and one for non-orderly
NvPCRs, since the two draw on different TPM resources (RAM-backed vs.
NVRAM-backed): exhaustion of one doesn't imply exhaustion of the other.

The files live in /run/, hence are cleared on reboot, which is
potentially is when NV space might become available again.

12 days agotpm2: optionally disable TPMA_NV_ORDERLY for NvPCRs
Lennart Poettering [Thu, 2 Jul 2026 06:52:16 +0000 (08:52 +0200)] 
tpm2: optionally disable TPMA_NV_ORDERLY for NvPCRs

NVIndexes in TPMs can operate in two modes:

1. Backed by TPM RAM. In this case they are only written to NVRAM on an
   orderly TPM shutdown when the system goes down. (TPMA_NV_ORDERLY flag
   is on)

2. Backed by TPM NVRAM. In this case the nvindex value is written to NVRAM
   on every write, and things are not delayed until orderly shutdown.

Normally mode 1 sounds like the obvious choice for NvPCRs, which reset
to zero anyway at boot. However, things are more complicated since
real-life TPMs tend to have a lot less RAM than NVRAM (both are
constrained but RAM even more than NVRAM). Hence there's value in using
NVRAM right-away. However, writing to NVRAM all the time means wearing
it out (since NVRAM is more vulnerable to that).

So far we unconditionally went for mode 1, but ran into space
constraints of RAM due to that.

Let's improve things a bit, and use orderly mode for NvPCRs we expect to
write many times, and non-orderly mode for those we expect to write only
a small, fixed number of times at boot, and not anymore during runtime.
Right now, this is only the "hardware" NvPCR, which measures hw identity
at boot.

Hopefully, this stretches available resources a bit further.

This also makes sure if the flag was set differently on allocation as
we'd set now, we accept it and won't complain, to make upgrades safe.

Suggested by Andreas Fuchs.

12 days agopcrextend,tpm2-util,tpm2-setup: gracefully skip NvPCR when TPM NV space is exhausted
dongshengyuan [Wed, 24 Jun 2026 11:57:04 +0000 (19:57 +0800)] 
pcrextend,tpm2-util,tpm2-setup: gracefully skip NvPCR when TPM NV space is exhausted

Map TPM2_RC_NV_SPACE to -ENOBUFS in tpm2_define_nvpcr_nv_index() rather
than -ENOSPC, giving it a dedicated errno distinct from the -ENOSPC that
write_string_file_at() can return when /run is full — a different failure
that occurs after the NV index is already allocated on the TPM.

In extend_nvpcr_now(), propagate -ENOBUFS as-is so callers can handle it
in a nicer fashion. In vl_method_extend(), map it to the new varlink error
io.systemd.PCRExtend.NvPCRSpaceExhausted. In run(), handle -ENOBUFS
explicitly under --graceful and print an appropriate message. Update
tpm2-setup.c accordingly.

Fixes #42725
Signed-off-by: dongshengyuan <dongshengyuan@uniontech.com>
12 days agoimport: Trust subkeys included in signature (#41860)
Lennart Poettering [Thu, 2 Jul 2026 19:38:03 +0000 (21:38 +0200)] 
import: Trust subkeys included in signature (#41860)

- import: Trust subkeys included in signature

    With gpg sub keys one can rotate signing keys while having a stable
trust anchor. So far one still had to ship the sub key out of band but
a newer gpg has the option to include the sub key in the signature and
import it automatically. This is safe if we only allow importing a sub
    key signed by the top key we already have in the key ring.
    Add the --auto-key-import argument to gpg to import subkeys but also
set --import-options=merge-only,import-clean to restrict what we import
    to only be sub keys signed by the top key we have in the keyring and
    discard any irrelevant parts.
- import: Support env var to override gpg keyring

By default there is a fixed keyring in /usr or /etc. But when running
systemd-pull unprivileged in the user context or with a custom transfer
definition as in systemd-sysupdate --definitions=./... (e.g., for local
ParticleOS updates) it is limiting to require that all keys have to be
part of the OS keyring or otherwise no verification can be used. Also,
    for testing it is valuable to point it at a different keyring.
    Add a SYSTEMD_OPENPGP_KEYRING env var where the omission or empty
assignment sticks to the current behavior of the global OS keyrings but
    a keyring path given will take precedence. While an env var can leak
    down the process tree and is more difficult to secure for being the
trust anchor the advantage is that one can directly specify it in the
    service unit as drop-in instead of having to patch the command
invocation. Anyway it's a niche use case and thus not part of the man
    page.

12 days agorun: default run0 to root explicitly
Shihao Ren [Wed, 24 Jun 2026 03:46:56 +0000 (11:46 +0800)] 
run: default run0 to root explicitly

When neither --user=, --area= nor --empower is given, run0 already
behaves as if root was requested, but only implicitly. That can be
misleading downstream.

Set arg_exec_user to "root" up front in parse_argv_sudo_mode(), so the
intent is visible and the rest of the code can rely on it.

Fixes #40468

Signed-off-by: Shihao Ren <renshihao.rsh@bytedance.com>
12 days agoFix: tmpfiles clean device node (#42791)
Lennart Poettering [Thu, 2 Jul 2026 19:33:34 +0000 (21:33 +0200)] 
Fix: tmpfiles clean device node (#42791)

Two minor issues regarding the tmpfile.c file

12 days agomeasure: Support binding signed policies to individual phases
Chris Coulson [Thu, 4 Jun 2026 14:04:29 +0000 (15:04 +0100)] 
measure: Support binding signed policies to individual phases

systemd-measure can produce multiple signed policies for different
phases. However, a policy for a TPM resource that includes these signed
policies can currently be satisfied by any policy that is signed
with the same key.

It can be desirable to bind a resource's policy to one or more
specific phases. One way to do this could be to sign policies for
different phases or phase combinations with different keys. Another
approach is to limit the scope of signed policies using a policy
reference.

Using a policy reference works because:
- The reference is included along with the approved policy digest in the
  digest that is signed.
- The reference argument is included in the authorization policy for a
  resource via the TPM2_PolicyAuthorize assertion.
- During execution of the TPM2_PolicyAuthorize assertion, the TPM checks
  that the session's current policy digest is the approved policy digest,
  computes a digest from the approved policy digest and the supplied policy
  reference, and checks that the resulting digest is the one that was
  verified by TPM2_VerifySignature (via the returned ticket).

This adds a new --policyref argument to systemd-measure which binds all
of the signed policies to the specified policy reference. I did consider
making this more intelligent by auto-generating policy references for each
phase, but this approach provides the most flexibility for now. By making
use of the existing --append argument, a signer can produce multiple
signed policies with the same key that are bound to any individual phases
or combinations of phases.

The policy reference is a string without the NULL terminator. It is
supplied to the TPM via the TPM2B_NONCE type, which has a maximum size
equivalent to the size of the largest digest supported by the TPM. As
the signer doesn't know the capabilities of the target TPM,
systemd-measure limits the size of the policy reference to 32 bytes, to
fit within the size of a SHA256 digest.

This also includes the corresponding changes to systemd-cryptenroll and
systemd-repart (to add an equivalent --tpm2-public-key-policyref argument
so that the policy can be bound to the desired corresponding phase, and to
ensure that the policy reference is included in the LUKS2 token metadata),
and systemd-cryptsetup (to handle the policy reference stored in the LUKS2
token metadata).

This doesn't include policy reference support for credentials yet
because it requires a change to the credential headers.

12 days agobless-boot: avoid false maybe-uninitialized warning 42843/head
Yu Watanabe [Thu, 2 Jul 2026 08:31:38 +0000 (17:31 +0900)] 
bless-boot: avoid false maybe-uninitialized warning

Obserbed with GCC-11 on Ubuntu.
```
In file included from ../src/shared/format-table.h:7,
                 from ../src/bless-boot/bless-boot.c:11:
../src/bless-boot/bless-boot.c: In function ‘verb_set’:
../src/basic/log.h:187:27: error: ‘source2’ may be used uninitialized in this function [-Werror=maybe-uninitialized]
  187 |                         ? log_internal(_level, _e, PROJECT_FILE, __LINE__, __func__, __VA_ARGS__) \
      |                           ^~~~~~~~~~~~
../src/bless-boot/bless-boot.c:458:40: note: ‘source2’ was declared here
  458 |         const char *target, *source1, *source2;
      |                                        ^~~~~~~
In file included from ../src/shared/format-table.h:7,
                 from ../src/bless-boot/bless-boot.c:11:
../src/basic/log.h:187:27: error: ‘source1’ may be used uninitialized in this function [-Werror=maybe-uninitialized]
  187 |                         ? log_internal(_level, _e, PROJECT_FILE, __LINE__, __func__, __VA_ARGS__) \
      |                           ^~~~~~~~~~~~
../src/bless-boot/bless-boot.c:458:30: note: ‘source1’ was declared here
  458 |         const char *target, *source1, *source2;
      |                              ^~~~~~~
In file included from ../src/shared/format-table.h:7,
                 from ../src/bless-boot/bless-boot.c:11:
../src/basic/log.h:187:27: error: ‘target’ may be used uninitialized in this function [-Werror=maybe-uninitialized]
  187 |                         ? log_internal(_level, _e, PROJECT_FILE, __LINE__, __func__, __VA_ARGS__) \
      |                           ^~~~~~~~~~~~
../src/bless-boot/bless-boot.c:458:21: note: ‘target’ was declared here
  458 |         const char *target, *source1, *source2;
      |                     ^~~~~~
cc1: all warnings being treated as errors
```

12 days agoci/build-test: try to build with OPENSSL_NO_DEPRECATED
Yu Watanabe [Wed, 1 Jul 2026 19:47:32 +0000 (04:47 +0900)] 
ci/build-test: try to build with OPENSSL_NO_DEPRECATED

12 days agocrypto-util: drop unused symbol
Yu Watanabe [Wed, 1 Jul 2026 19:46:51 +0000 (04:46 +0900)] 
crypto-util: drop unused symbol

12 days agocrypto-util: make OpenSSL UI API symbols optional during dlopen
Yu Watanabe [Wed, 1 Jul 2026 18:47:06 +0000 (03:47 +0900)] 
crypto-util: make OpenSSL UI API symbols optional during dlopen

Previously, if systemd was built with OpenSSL UI support, it would fail
to load libcrypto at runtime if the library lacked UI support, requiring
a recompilation of systemd to fix.

Let's relax this strict requirement by making the UI methods optional
during dlopen(). openssl_ui_supported() is added to dynamically check
if all required UI symbols were successfully loaded.

12 days agocrypto-util: allow loading private keys from engine/provider without UI support
Yu Watanabe [Wed, 1 Jul 2026 18:33:04 +0000 (03:33 +0900)] 
crypto-util: allow loading private keys from engine/provider without UI support

OpenSSL UI is not a mandatory feature to load private keys from an engine
or a provider. Let's allow loading private keys even if OpenSSL UI is not
supported.

Note that even if OPENSSL_NO_UI_CONSOLE is set, the type UI_METHOD is
always defined. Hence, the `#ifndef` condition in the definition of
struct OpenSSLAskPasswordUI is unnecessary and can be dropped.