clamav: add missing dependency

clamav needs rust toolchain to build, add $(RUST_ARCH_DEPENDS) to
dependencies to avoid building on unsupported architectures.

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>

bind: bump to 9.20.0

We no longer use "epoll()", but a new library dependency "liburcu"
(user-space RCU) has been added.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

wgsd: add missing dependency

wgsd is written in Go, add $(GO_ARCH_DEPENDS) to dependencies to avoid
building on unsupported architectures.

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>

geoipupdate: take over the maintainership

Matthew Hagan has been absent for two years and this package lacks
proper maintenance. As I'm a user of this package, take over the
maintainership.

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>

geoipupdate: Update to 7.0.1

- do not touch default configuration
- put the binary into /usr/bin as it's not a "system" application
- update GO_PKG path
- remove useless init script[1]
- other minor clean up

1. The database directory will be automatically created by the program.

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>

adguardhome: add option config

Signed-off-by: xiaobo tian <peterwillcn@gmail.com>

rtpmidi: fix compilation with GCC14 and fmt10.2

Added two patches.

Signed-off-by: Rosen Penev <rosenp@gmail.com>

minizip: update to 4.0.7

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

kea: update to 2.6.0

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

gawk: set gawk as an alternative to awk

This makes it possible to build without busybox awk.

Signed-off-by: Christian Svensson <blue@cmd.nu>

Merge pull request #24651 from Chris1189/pr/hostname

net-snmp: set hostname as sysname

exfatprogs: update to 1.2.4

- Use proper tarball instead of codeload
- Remove autoreconf - provided configure works all right

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

libcurl-gnutls: update to 8.9.1

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

mjpg-streamer: fix option enabled check in init.d

[ "$enabled" ] returns true whatever non-empty value enabled has,
including 0.

Signed-off-by: Luiz Angelo Daros de Luca <luizluca@gmail.com>

netbird: update to 0.28.7

Signed-off-by: Wesley Gimenes <wehagy@proton.me>

mariadb: fix compilation with fmt 10.2

Upstream backport.

Signed-off-by: Rosen Penev <rosenp@gmail.com>

owut: update to 2024.07.31

Bug fixes:
  efahl/owut@e329cb9 owut: allow user to specify 'version_code' for build
  efahl/owut@fbafbf1 owut: improve image selection
  efahl/owut@6352b2c config: fix wrong directory in example

Signed-off-by: Eric Fahlgren <ericfahlgren@gmail.com>

freeradius3: update version 3.2.5

Signed-off-by: Esaaprilia Salsabila <esaapriliasalsabila@gmail.com>

curl: update to 8.9.1

- Remove upstreamed patch
- Remove stalled mirrors
- Fixes regression introduced in 8.9.0 update
    OpenWrt issue: https://github.com/openwrt/packages/issues/24693
    Upstream issue: https://github.com/curl/curl/issues/14280

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

lua-eco: update to 3.5.3

Signed-off-by: Jianhui Zhao <zhaojh329@gmail.com>

cryptsetup: update to version 2.7.4

Cryptsetup 2.7.4 Release Notes
==============================
Stable bug-fix release.

All users of cryptsetup 2.7 should upgrade to this version.

Changes since version 2.7.3
~~~~~~~~~~~~~~~~~~~~~~~~~~~

* Detect device busy failure for device-mapper table-referenced devices.

  Some device-mapper ioctl failures can disappear in libdevmapper,
  causing the libcryptsetup wrapper to return an invalid error (EINVAL)
  instead of EEXIST or EBUSY. One such case is when there is a device
  creation race, and the device-mapper device name is created, but
  the following mapping table load fails. This can happen because some
  block devices used in table mapping have already been claimed by
  another process (the kernel needs exclusive access).

  The kernel ioctl properly returns EBUSY; this errno is lost in
  libdevmapper (dm_task_get_errno returns 0). It should be fixed by
  libdevmapper in the future.

  Such behavior was seen in the systemd way of handling dm-verity
  devices. With these changes, the code should react for EEXIST and
  EBUSY, as another process has already activated the device.

  Code calling libcryptsetup also must not check the underlying device
  with an exclusive open flag (O_EXCL). Otherwise, it could cause a race
  in the kernel device-mapper, resulting in no process succeeding device
  activation (see also CRYPT_ACTIVATE_SHARED flag below).

* Fix shared activation for dm-verity devices.

  The CRYPT_ACTIVATE_SHARED flag was silently ignored when activating
  dm-verity devices. Dm-verity shared activation is generally safe
  since all verity devices are read-only.

  The shared flag is a way to skip the exclusive access check for the
  device, allowing it to create multiple mappings with the same device or
  properly handle a racy concurrent activation of devices with the same
  name from different processes.

* Add --shared option for veritysetup open action.

  The option allows the data device to be used in multiple device-mapper
  table mappings (skip exclusive access check) or to allow concurrent
  dm-verity device activation of the same device (only one process
  succeeds in this case; the other will return EEXIST or EBUSY).

* Do not use exclusive flag for the allocated backing loop files.

  Using this flag is an undefined operation for opening an existing file.
  The flag should be used only for allocated loop (block) devices.

* Fixes for problems found by static analyzers and Valgrind.

  These include fixes for non-default libgcrypt, NSS, and Nettle
  cryptographic backends, buffer operations to avoid partial read/write,
  and several other workarounds for mostly false positive warnings.

* Fixes to tests and CI scripts.

Cryptsetup 2.7.3 Release Notes
==============================
Stable bug-fix release with security fixes.

All users of cryptsetup 2.7 must upgrade to this version.

Changes since version 2.7.2
~~~~~~~~~~~~~~~~~~~~~~~~~~~

* Do not allow formatting LUKS2 with Opal SED (hardware encryption)
  if the reported logical sector size for the block device and Opal
  encryption logical block differs.

  Such a configuration can lead to a partially encrypted Opal locking
  range or data destruction following the expected locking range.

  Some NVMe drives support multiple LBAF profiles (typically supporting
  512-byte and 4096-byte sector size). Some broken Opal NVMe firmware can
  report bogus encryption size that disagrees with real used sector size.
  This usually happens after low-level NVMe reformatting (LBAF profile
  change with nvme utility) to different sector size.
  Moreover, some firmware versions do not properly reset this even after
  explicit PSID revert.

  Cryptsetup calculates the Opal locking range using the reported block
  size in Opal geometry ioctl.  Unfortunately, the broken firmware drive
  internally uses the logical block size of the block device, which can
  differ. This can lead to two possible situations:

  - Opal reports a smaller block size (512-byte) while the drive uses
  a 4096-byte sector. The configured locking range is then much larger,
  destroying data following the expected locking range setting.

  - Opal reports a larger block size (4096-byte) while the drive uses
  a 512-byte sector. The configured locking range is then much smaller,
  leaving the remaining space in the locking range unencrypted (violating
  the confidentiality of data).

  Cryptsetup now detects this discrepancy and disallows LUKS2 format with
  Opal hardware encryption in such a case.

  For already formatted devices, you will see this warning:
    "Bogus OPAL logical block size differs from device block size."

  If you also used software encryption (dm-crypt over Opal), data will
  still be fully encrypted with software dm-crypt.
  With hw-only encryption,  your configuration is probably already broken
  (insecure or accessing data beyond the assigned area).

  Note that this is caused by bad firmware (seen with multiple vendors),
  and the problem was reported, at least for drives we have access to.

* Fixes to wiping LUKS2 headers after Opal locking area erase.

  As the hardware locking range is destroyed (cryptsetup erase command),
  the LUKS2 header is no longer usable and was partially wiped.
  Now the code fully wipes also the secondary header, as the previous
  code wiped only the primary LUKS area.

  Note that this is an exception, as the normal erase command wipes only
  the keyslots, keeping the LUKS2 header in place.  With Opal encryption,
  the data segment is no longer valid, so the whole LUKS2 header is no
  longer usable.

* Mention the need for possible PSID revert before Opal format for some
  drives (man page).

* Fix Bitlocker-compatible code to ignore newly seen metadata entries.

  Recent Windows OS versions started to include new (undocumented)
  metadata entries in Bitlocker. These entries are now quietly ignored,
  allowing Bitlocker images to open with cryptsetup again.

* Fix interactive query retry if LUKS2 unbound keyslot is present.

  If an unbound keyslot is present, the password query retry count is
  now properly applied.

* Detect unsupported zoned devices for LUKS header devices.

  Zoned devices cannot be written with direct-io and used for LUKS header
  logic in general. Code now rejects placing the LUKS header on a zoned
  device, while you can still create a detached header and use a zoned
  device for encrypted data.

* Allow "capi" cipher format for benchmark command and fix parsing
  of plain IV in "capi" format.

  Some ciphers can be specified only in Linux kernel crypto notation
  (in short, "capi"). Code now allows this format also for benchmark,
  for example, "benchmark -c capi:xts\(aes\)-plain64"
  (that is equivalent to -c aes-xts-plain64).

* Add support for HCTR2 encryption mode.

  The HCTR2 encryption mode was added to the Linux kernel for fscrypt,
  but as it is a length-preserving mode (with sector tweak), it can be
  easily used for disk encryption, too.
  The mode has the same property as wide modes (any change is propagated
  to the whole sector instead of only one block as in XTS mode).

  As it needs a larger initialization vector (32 bytes), we need to add
  an exception in the userspace format code.
  You can now use --cipher aes-hctr2-plain64 for the format operation.

* Source code now uses SPDX license identifiers instead of full
  license preambles.

* Fix missing includes for cryptographic backend that could cause
  compilation errors for some systems.

* Fix tests to work correctly in FIPS mode with recent OpenSSL 3.2.

* Fix various (mostly false positive) issues detected by Coverity.

Cryptsetup 2.7.2 Release Notes
==============================
Stable bug-fix release.

All users of cryptsetup 2.7 should upgrade to this version.

Changes since version 2.7.1
~~~~~~~~~~~~~~~~~~~~~~~~~~~
* Fix activation of OPAL-only encrypted LUKS device with tokens.
  The issue was caused by an invalid volume key check (assert)
  that is impossible without software encryption.

* Fix formatting of OPAL devices with 4096-byte sector size.

* Fix incorrect OPAL locking range alignment calculation if used
  over an unaligned device partition.

* Add --hw-opal-factory-reset option description to the manual page.

* Do not check the passphrase quality for OPAL Admin PIN,
  as this passphrase already exists.

* Update license for FAQ document to CC BY-SA 4.0.

NOTE: Please note that with OPAL-only (--hw-opal-only) encryption,
the configured OPAL administrator PIN (passphrase) allows unlocking
all configured locking ranges without LUKS keyslot decryption
(without knowledge of LUKS passphrase).
Because of many observed problems with compatibility, cryptsetup
currently DOES NOT use OPAL single-user mode, which would allow such
decoupling of OPAL admin PIN access.

Signed-off-by: Daniel Golle <daniel@makrotopia.org>

lvm2: update to version 2.03.35 and libdm 1.02.199

Version 2.03.25 - 12nd July 2024
================================
  Utilize more radix_tree instead of dm_hash and btree.
  Refactor DM uuid caching from device_mapper directory.
  Enhance checking for DM uuid device.
  Fix lvm shell command completion on tab key (2.03.24).
  Avoid lockd_vg call to lvmlockd for local VGs.
  Allow forced change of locktype from none.
  Handle OPTIONS defined in /etc/sysconfig/lvmlockd.

Version 2.03.24 - 16th May 2024
===============================
  Lvconvert supports VDO options for thin-pool with vdo conversion.
  Improve placement to .data.rel.ro and .rodata sections.
  Fix support for -y and -W when creating thinpool with vdo.
  Bettter support for runtime valgrind detection.
  Allow command interruption when communicating with dmeventd.
  Fix resize of VDO volume used for thin pool data volume.
  Use -Wl,-z,now and -Wl,--as-needed for compilation by default.
  Require 3.7 as minimal version for sanlock.
  Share code for closing opened desriptors on program startup.
  Fix memleak in lvmcache.
  Add configure --with-default-event-activation=ON setting.
  Fix return value from reporter function when hitting internal error.
  Skip checking of pools for lvremove and vgremove commands.
  VDO modprobes dm-vdo for 6.9 kernel and kvdo for older kernel version.
  Fix lvs reporting for VDO volumes with new upstream kernel driver.
  Don't import DM_UDEV_DISABLE_OTHER_RULES_FLAG in LVM rules, DM rules cover it.
  Fix table line generation for cache snapshots using cachevol.
  Enhance lvconvert support for external origins stacking.
  When swapping LV names also swap properties like hostname, time and data.
  Fix removal of stacked external origins.
  Lock filesystem when converting volume to read-only external origin.
  Support external origin between different thin-pool.
  Improve validation of acceptable volumes for external origins.
  Reduce amount of preloaded devices for complex device trees.
  Avoid logging problems from monitoring snapshots with inactive origins.
  Check for cache policy module presence in kernel's builtin modules file.
  Add configure --with-modulesdir to select kernel modules directory.
  Support creation of thin-pool with VDO use for its data volume.

libdm:

Version 1.02.199 - 12nd July 2024
=================================

Version 1.02.198 - 16th May 2024
================================
  Fix static only compilation of libdevmapper.a and dmsetup tool.
  Use better code for closing opened descriptors when starting dmeventd.
  Correct dmeventd -R for systemd environment.
  Restart of dmeventd -R checks pid file to detect running dmeventd first.
  Query with dmeventd -i quickly ends when there is no running dmeventd.
  Enhance dm_get_status_raid to handle mismatching status or reported legs.
  Create /dev/disk/by-label symlinks for DM devs that have crypto as next layer.
  Persist udev db for DM devs on cleanup used in initrd to rootfs transition.
  Process synthetic udev events other than 'add/change' as 'change' events.
  Increase DM_UDEV_RULES_VSN to 3 to indicate changed udev rules.
  Rename DM_NOSCAN to .DM_NOSCAN so it's not stored in udev db.
  Rename DM_SUSPENDED to .DM_SUSPENDED so it's not stored in udev db.
  Do not import DM_UDEV_DISABLE_OTHER_RULES_FLAG from db in 10-dm-disk.rules.
  Test DISK_RO after importing properties from db in 10-dm.rules.
  Also import ID_FS_TYPE in 13-dm-disk.rules from db if needed.

Signed-off-by: Daniel Golle <daniel@makrotopia.org>

opentracker: update to git HEAD

Most notably opentracker now supported simultanous listening on IPv4 and
IPv6. Hence we no longer need two build variants.

See project git history for details about changes:
https://erdgeist.org/gitweb/opentracker/log/?id=c854b3db9bf620e86481acfcc9fc31eba64bc8e6

Signed-off-by: Daniel Golle <daniel@makrotopia.org>

xz: add patch from upstream to fix mips64/octeon build

Fixes https://github.com/openwrt/packages/issues/24699

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

bottom: update to 0.9.7

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

dnsproxy: Update to 0.72.2

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

croc: update to 10.0.11

Release notes:
10.0.10: https://github.com/schollz/croc/releases/tag/v10.0.10
10.0.11: https://github.com/schollz/croc/releases/tag/v10.0.11

Signed-off-by: Jonas Jelonek <jelonek.jonas@gmail.com>

eza: update to 0.18.23

Release notes:
0.18.22: https://github.com/eza-community/eza/releases/tag/v0.18.22
0.18.23: https://github.com/eza-community/eza/releases/tag/v0.18.23

Signed-off-by: Jonas Jelonek <jelonek.jonas@gmail.com>

gping: update to 1.17.3

Signed-off-by: Jonas Jelonek <jelonek.jonas@gmail.com>

libv4l: update to 1.28.0

Remove backported patch. Also remove seemingly unneeded patch.

Signed-off-by: Rosen Penev <rosenp@gmail.com>

miniupnpd: Enable regex filter

UPnP rules now may have an optional regex filter on requester's
descriptions. This is a countermeasure against some UPnP exploiters
without shutting down UPnP service completely, albeit they can bypass it
by reporting innocent's descriptions maliciously.

Since the filter specifier is optional, existing valid config files will
still work.

This increases the executable's size by 1.3 kB from original 147.7 kB on
i386.

Signed-off-by: David Yang <mmyangfl@gmail.com>

miniupnpd: Update to 2.3.7

Update to 2.3.7, and remove patches which are already in upstream.

Signed-off-by: David Yang <mmyangfl@gmail.com>

swig: update to 4.2.1

- Switch package URL to HTTPS

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

Revert "curl: update to 8.9.0"

With the recent update, it was discovered that curl causes high CPU usage,
until the solution is found, let's revert the commit.

Fixes: https://github.com/openwrt/packages/issues/24693
This reverts commit e29aaab6061a53cfd7880d4bdcbbc61551945a75.

Signed-off-by: Josef Schlehofer <pepe.schlehofer@gmail.com>

boinc: update to 8.0.4

- Refresh a patch

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

xray-core: update to 1.8.23

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

imagemagick: update to 7.1.1.36

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

owut: update to 2024.07.24

The internal package list order fix depends on openwrt/asu@b7c8a426

Bug fixes:
  efahl/owut@d8af324 maintain internal package list in installation order
  efahl/owut@5bc21c6 armsr platform not detected properly
  efahl/owut@b0570d4 documentation link fixes for ASU server changes

Enhancements:
  efahl/owut@3a213f3 better download rate calculation

Signed-off-by: Eric Fahlgren <ericfahlgren@gmail.com>

strongswan: comma separated list for {left,right}subnet

Translate local_subnet and remote_subnet in /etc/config/ipsec into a comma separated list for leftsubnet and rightsubnet in /var/ipsec/ipsec.conf

perl: Run make depend to fix build race condition

Run make depend before building perl. This fixes parallel build failures
on machines with a high number of cores.

Example error 1:

    /bin/ln -s /build/staging_dir/hostpkg/usr/bin/generate_uudmap generate_uidmap
    make[5]: ./generate_uudmap: Command not found
    make[5]: *** [Makefile:321: bitcount.h] Error 127

Example error 2:

    /bin/ln -s /build/staging_dir/hostpkg/usr/bin/generate_uudmap generate_udmap
    ./generate_uudmap uudmap.h bitcount.h mg_data.h
    /bin/ln: failed to create symbolic link 'generate_uudmap': File exists
    make[5]: *** [Makefile:325: generate_uudmap] Error 1

Link: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=996953
Link: https://salsa.debian.org/perl-team/interpreter/perl/-/commit/366bc98c916a3455f15c532aa33a5636d2fe2803
Closes: https://github.com/openwrt/packages/issues/8238
Signed-off-by: Andreas Gnau <andreas.gnau@iopsys.eu>

lmdb: update to 0.9.33

- Don't set PKG_SOURCE_DATE since PKG_SOURCE_VERSION is enough

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

rsyslog: update to 8.2406.0

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

libmaxminddb: update to 1.10.0

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

xz: update to 5.6.2

- Refresh a patch

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

ruby: update to 3.3.4

Ruby 3.3.4 fixes a regression in Ruby 3.3.3 that dependencies are
missing in the gemspec of some bundled gems: net-pop, net-ftp, net-imap,
and prime. The fix allows Bundler to successfully install those gems on
platforms like Heroku. If your bundle install runs correctly now, you
may not have this issue. Other changes are mostly minor bug fixes.

See: https://www.ruby-lang.org/en/news/2024/07/09/ruby-3-3-4-released/

Signed-off-by: Luiz Angelo Daros de Luca <luizluca@gmail.com>

gnunet-fuse: update to 0.21.0

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

openfortivpn: update to 1.22.1

Signed-off-by: Marius Durbaca <mariusd84@gmail.com>

dockerd: Update to 27.1.1

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

docker: Update to 27.1.1

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

net-snmp: set hostname as sysname

This commit writes the option hostname obtained via uci_get
system.@system[0].hostname to the snmpd.conf file if sysName
is not defined in /etc/config/snmpd.

Signed-off-by: Christian Korber <ckorber@tdt.de>

rust: update to 1.80.0

- Remove two upstreamed patches
- Manually refresh one patch
- Automatically refresh another patch

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

clamav: update to 1.3.1

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

c-ares: update to 1.32.3

- Use up-to-date source URL

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

libfmt: bump to version 11.0.2

Signed-off-by: Othmar Truniger <github@truniger.ch>

gnunet: update to 0.21.2

- Remove upstreamed patch

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

libcurl-gnutls: update to 8.9.0

- Remove stalled mirrors

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

pdns-recursor: update to 5.1.1

this switches the default config to the new yaml format

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

curl: update to 8.9.0

- Remove upstreamed patch
- Remove stalled mirrors

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

netbird: update to 0.28.6

Signed-off-by: Wesley Gimenes <wehagy@proton.me>

containerd: Update to 1.7.20

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

dockerd: Update to 27.1.0

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

docker: Update to 27.1.0

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

docker-compose: Update to version 2.29.1

Release notes:
https://github.com/docker/compose/releases/tag/v2.29.1

Signed-off-by: Javier Marcet <javier@marcet.info>

knot: update to version 3.3.8

Signed-off-by: Jan Hák <jan.hak@nic.cz>

alist: Update to 3.36.0

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>

xray-core: update to 1.8.21

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

apache: update to 2.4.62

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

tesseract: update to 5.4.1

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

less: update to 661

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

owut: update to 2024.07.21

A couple of minor bug fixes, and several enhancements.

The major addition is the pre-install hook, which allows user to
intercept processing between the download and install.  This allows,
for example, copying the download artifacts (firmware-manifest.json)
to persistent storage and saving it for later reference.  Other
uses include automating backups as part of the upgrade process.
See /etc/owut.d/pre-install.sh for examples.

- bugs
  https://github.com/efahl/owut/commit/dc521b2 version list bug fix
  https://github.com/efahl/owut/commit/75faac2 fix OpenWRT firmware version comparisons
- enhancements
  https://github.com/efahl/owut/commit/0937933 add '--pre-install' hook
  https://github.com/efahl/owut/commit/23c2066 reduce 'dump' output verbosity
  https://github.com/efahl/owut/commit/cc9618d tweak the undocumented '--device' option handling
  https://github.com/efahl/owut/commit/2ec138b improve help

Signed-off-by: Eric Fahlgren <ericfahlgren@gmail.com>

perl: fix Segmentation fault

Signed-off-by: Esaaprilia Salsabila <esaapriliasalsabila@gmail.com>

Merge pull request #24612 from commodo/python-updates2

django,django-restframework: bump versions

mpd: fix build with libfmt v11

mpd fails to compile with libfmt v11 because of minor API changes in the
library.

https://github.com/MusicPlayerDaemon/MPD/issues/2068

Signed-off-by: Alexander Egorenkov <egorenar-dev@posteo.net>

openvpn: update to 2.6.12

This is a bugfix release

Bug fixes:

 - the fix for CVE-2024-5594 (refuse control channel messages with nonprintable characters) was too strict, breaking user configurations
   with AUTH_FAIL messages having trailing CR/NL characters. This often happens if the AUTH_FAIL reason is set by a script.

 - Http-proxy: fix bug preventing proxy credentials caching

For details refer to https://github.com/OpenVPN/openvpn/blob/v2.6.12/Changes.rst

Signed-off-by: Ivan Pavlov <AuthorReflex@gmail.com>

dnsdist: update to 1.9.6

Signed-off-by: Peter van Dijk <peter.van.dijk@powerdns.com>

imagemagick: update to 7.1.1.35

Signed-off-by: Aleksey Vasilenko <aleksey.vasilenko@gmail.com>

tailscale: Update to 1.70.0

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

xray-core: update to 1.8.20

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

dnsproxy: Update to 0.72.1

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

stress-ng: bump to version 0.18.01

Signed-off-by: Alexandru Ardelean <alex@shruggie.ro>

crun: update to 1.15

Changelogs: https://github.com/containers/crun/releases

Bump libocispec to latest commit (required due to rename of class to
_class)

Fixes a crun 1.14.1 bug which prevented Podman running containers due
to version parsing bug.

root@OpenWrt:~# podman run hello-world
Error: OCI runtime error: crun: unknown version specified

Signed-off-by: Jonathan McCrohan <jmccrohan@gmail.com>

django-restframework: bump to version 3.15.2

Signed-off-by: Alexandru Ardelean <alex@shruggie.ro>

django: bump to version 5.0.7

Signed-off-by: Alexandru Ardelean <alex@shruggie.ro>

fluent-bit: add package

* add package fluent-bit v3.1.3
* test performed
  - compile-test
  - run-test on target

* fluent-bit package is added to provide another option for
  log collection and management. It integrates well with
  a wide variety of environments and deployments. It is widely
  used by a number of organizations and is supported across a
  variety of platforms. Integrating it to make it available as
  an openwrt package.

Signed-off-by: Rahul Thakur <rahul.thakur@iopsys.eu>

nano: update to 8.1

Update nano editor to version 8.1.

Signed-off-by: Hannu Nyman <hannu.nyman@iki.fi>

docker-compose: Update to version 2.29.0

Release notes:
https://github.com/docker/compose/releases/tag/v2.29.0

Signed-off-by: Javier Marcet <javier@marcet.info>

xray-core: update to 1.8.19

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

bind: bump to 9.18.27

Fixes: https://gitlab.isc.org/isc-projects/bind9/-/issues/4586
Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

exim: update to 4.98

Remove upstreamed patch 300-avoid-time-printf.patch
Exim/exim@9ae8613607b12257e1fe59c603119bc5d4cd3474

Exim version 4.98
-----------------

JH/01 Support list of dkim results in the dkim_status ACL condition, making
      it more usable in the data ACL.

JH/02 Bug 3040: Handle error on close of the spool data file during reception.
      Previously This was only logged, on the assumption that errors would be
      seen for a previous fflush().  However, a fuse filesystem has been
      reported as showing this an error for the fclose().  The spool is now in
      an uncertain state, and we have logged and responded acceptance.  Change
      this to respond with a temp-reject, wipe spoolfiles, and log the error
      detail.

JH/03 Bug 3030: Fix handling of DNS servfail respons for DANE TLSA.  When hit
      during a recipient verify callout, a QUIT command was attempted on the
      now-closed callout channel, causing a paniclog entry.

JH/04 Bug 3039: Fix handling of of an empty log_reject_target, with
      a connection_reject log_selector, under tls_on_connect.  Previously
      with this combination, when the connect ACL rejected, a spurious
      paniclog entry was made.

JH/05 Fix TLS resumption for TLS-on-connect.  This was broken by the advent
      of loadbalancer-detection for resumption, in 4.96 - which tries to
      use the EHLO response. SMTPS does not have one at the time it is starting
      TLS.  Change the default for the smtp transport host_name_extract option
      to be a static string, for TLS-on-connect cases; meaning that resumption
      will always be attempted (unless deliberately overriden).

JH/06 Bug 3054: Fix dnsdb lookup for a TXT record with multiple chunks, with a
      chunk-separator specification.  This was broken by hardening introduced
      for Bug 3031.

JH/07 Bug 3050: Fix -bp for old message_id format spoolfiles.  Previously it
      included the -H with the id; this also messed up exiqgrep.

JH/08 Bug 3056: Tighten up parsing of DKIM DNS records.  Previously, whitespace
      was not properly skipped and empty elements would cause mis-parsing.
      Tighten parsing of DKIM header records.  Previously, all but lowercase
      alpha chars would be ignored in potential tag names.

JH/09 Bug 3057: Add heuristic for spotting mistyped IPv6 addresses in lists
      being searched.  Previously we only had one for IPv4 addresses. Per the
      documentation, the error results by default in a no-match result for the
      list.  It is logged if the unknown_in_list log_selector is used.

JH/10 Bug 3058: Ensure that a failing expansion in a router "set" option defers
      the routing operation.  Previously it would silently stop routing the
      message.

JH/11 Bug 3046: Fix queue-runs.  Previously, the arrivel of a notification or
      info-request event close in time to a scheduled run timer could result in
      the latter being missed, and no further queue scheduled runs being
      initiated.  This ouwld be more likely on high-load systems.

JH/12 Refuse to accept a line "dot, LF" as end-of-DATA unless operating in
      LF-only mode (as detected from the first header line).  Previously we did
      accept that in (normal) CRLF mode; this has been raised as a possible
      attack scenario (under the name "smtp smuggling").

JH/13 Add an fdatasync call for the received message data file in spool, before
      loggging reception and sending the SMTP ack.  Previously we only flushed
      the stdio buffer so there was still the possibility of a disk error.

JH/14 Bug 3061: Avoid a split log line when trying to rewrite a malformed
      address.  Previously, for the last address in a header line (commonly
      there is only one) the terminating newline was part of the logged
      information.

JH/15 Bug 3061: Ensure a log line is written for a malformed address in a
      header, when parsing for address-qualification.  Previously one was only
      written if there were rewrite rules.

JH/16 Two-phase queue runs are now reported in the daemon startup log line and
      in exiwhat output.

JH/17 Bug 3064: Fix combination of "-q<period> -R <recipients>". Introduction of
      the multiple-queue-runners facility for 4.97 broke this, giving only a
      one-time run of the queue.

JH/18 Bug 3068: Log a warning for use of deprecated syntax in query-style
      lookups.

JH/19 Fix TLS startup. When the last expansion done before the initiation of a
      TLS session resulted in a forced-fail, a misleading error was logged for
      the expansino of tls_certificates.  This would affect the common case of
      that option being set (main-section options) but not having any variable
      parts.  It could also potentially affect tls_privatekeys.  The underlyding
      coding errors go back to 4.90 but were only exposed in 4.97.

JH/20 Bug 3047: A recent (somewhere between 10.34 and 10.42) version of the
      pcre2 library starting allocating 20kB rather than 112 bytes per match
      call, which broke the 2GB total limitation on Exim's memory management
      when a user had over 104207 messages stored and the appendfile
      maildir_quota_directory_regex option is in use.  Release the allocated
      memory every thosand files to avoid this.
      The same issue arises with the ACL regex condition, which is applied
      to every line of a received message.

JH/21 Bug 3059: Fix crash in smtp transport. When running for a message for
      which all recipients had been handled (itself an issue) a null-pointer
      deref was done on trying to write a retry record. Fix that by counting
      the outstanding recipients before trying to transmit the message.
      The situation arose for a second MX try within a transport run, when the
      first had perm-rejected a recipient (the only one for the connection, in
      the case seen) during pipelining, and then closed the TCP connection.
      The transport classified that as an I/O error, leaving the message
      outstanding but having marked up the recipient as dealt-with. It then
      tried another MX because of the I/O error. Fix this by converting the
      message-level status to ok if there was a close but all recipients were
      dealt with.  Thanks to Wolfgand Breyha for debug runs.

JH/22 The ESMTP_LIMITS facility (RFC 9422) is promoted from experimental status
      and is now controlled by the build-time option DISABLE_ESMTP_LIMITS.

JH/23 Bug 3066: Avoid leaking lookup database credentials to log.

JH/24 Bug 3081: Fix a delivery process crash.  When the router "errors_to"
      option specified a fixed address, later rewriting on that address would
      trip on the configuration data being readonly.  Instead of modifying
      in-place, copy data.  Found and fixed by Peter Benie.

JH/25 Bug 3079: Fix crash in dbmnz.  When a key was present for zero-length
      data a null pointer was followed.  Find and testcase by Sebastian Bugge.

JH/26 Fix encoding for an AUTH parameter on a MAIL FROM command.  Previously
      decimal 127 chars were not encoded, and lowercase hex was used for
      encoded values.  Outstanding since at least 1999.

JH/27 Fix crash in logging.  When a message with a large number of recipients
      had been received, and logging of recipients is enabled, the buffer used
      for logging could reach limit.  A read using a null pointer would then
      be done, resulting in a crash of the receiving process before an SMTP
      ACK for the message was returned to the sending system.  Duplicate
      messages were created as a result.
      Find and debug help by Mateusz Krawczyk

JH/28 Bug 3086: Fix exinext for ipv6.  Change the format of keys in the retry
      DB, wrapping transport record bare-ip "host names" and ipv6
      "host addresses" in square-brackets.  This makes the parsing that
      exinext does more reliable.

JH/29 Bug 3087: Fix SRS encode.  A zero-length quoted element in the local-part
      would cause a crash.

JH/30 Bug 3029: Avoid feeding Resent-From: to DMARC.

JH/31 Bug 3027: For -bh / -bhc tests change to using the compressed form of
      ipv6 addresses for the sender.  Previously the uncompressed form was used,
      and if used in textual form this would result in behavior difference
      versus non-bh.

JH/32 Bug 3096: MAIL before HELO/EHLO, where required by hosts_require_helo, is
      now classed as a protocol error and subject to smtp_max_synprot_errors.

JH/33 Bug 2994: A subdir dsearch lookup should permit a directory name that starts
      ".." and has following characters.

JH/34 Fix delivery ordering for 2-phase queue run combined with
      queue_run_in_order.

JH/35 Bug 3099: fix parsing of MIME filename= split over multiple paramemters.
      Previously the $mime_filename variable would have an incorrect value.
      While in the code, extend coverage to name= which previously was only
      supported for single parameters, despite also filling in $mime_filename.

Signed-off-by: Daniel Golle <daniel@makrotopia.org>

Merge pull request #24600 from Shulyaka/patch-1

ddns-scripts: Update knot resolver regexp

ddns-scripts: Update knot resolver regexp

The output format of `khost` has changed. This commit fixes the regexp
for IPv4. It fixes the issue of using a custom DNS to resolve current
address.

```bash
root@localhost:~# khost ns2.afraid.org
ns2.afraid.org. has IPv4 address 69.65.50.223
ns2.afraid.org. has IPv6 address 2001:1850:1:5:800::6b
Host ns2.afraid.org. has no MX record
root@localhost:~# khost --version
khost (Knot DNS), version 3.3.5
```

Signed-off-by: Denis Shulyaka <Shulyaka@gmail.com>

openzwave: fix compilation with GCC14

Null pointer dereference. This looks like a bug fix actually...

Signed-off-by: Rosen Penev <rosenp@gmail.com>

dante: fix compilation with GCC14

Also added some configure fixes.

Signed-off-by: Rosen Penev <rosenp@gmail.com>

v2ray-geodata: Update to latest version

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>

v2raya: update to 2.2.5.7

ci: Fix up Docker images' tag from version number
chore(deps): bump github.com/gin-contrib/cors from 1.3.1 to 1.6.0

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

xray-core: update to 1.8.18

Signed-off-by: Milinda Brantini <C_A_T_T_E_R_Y@outlook.com>

isc-dhcpd: don't invoke ipcalc with empty start/range arguments

Handle not having a dynamic pool correctly without ipcalc.sh
generating noise about it.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

linuxptp: fix compilation with GCC14

Missing header.

Signed-off-by: Rosen Penev <rosenp@gmail.com>

perl-text-csv_xs: Update to 1.55

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

cligen: Update to 7.1.0

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>