rtklib: disable MIPS16 to work around GCC ICE

The MIPS variants (mips_24kc, mips_4kec, mipsel_24kc, mipsel_74kc) all
fail to compile preceph.c with an internal compiler error:

  during RTL pass: reload
  src/preceph.c:317:1: internal compiler error:
    in lra_update_fp2sp_elimination, at lra-eliminations.cc:1416

This is a GCC LRA pass bug triggered when compiling with -mips16. Set
PKG_BUILD_FLAGS:=no-mips16 to strip the -mips16 / -minterlink-mips16
flags from CFLAGS for this package, matching the approach already used
by stress-ng for the same class of issue.

Bump PKG_RELEASE since only the build flags change.

Signed-off-by: Alexandru Ardelean <redacted>

xupnpd: add version check override

Skip version checks as none of the executables seem to report their
versions.

Signed-off-by: George Sapkin <redacted>

vsftpd: add version check override

Skip version checks as none of the executables seem to report their
versions.

Signed-off-by: George Sapkin <redacted>

tor: add version check override

Add version check override script.

Signed-off-by: Wei-Ting Yang <redacted>

rsync: add version check override

Add version check override script.

Signed-off-by: George Sapkin <redacted>

rpcbind: add version check override

Skip version checks as none of the executables seem to report their
versions.

Signed-off-by: Wei-Ting Yang <redacted>

mikrotik-btest: add version check override

Skip version checks as none of the executables seem to report their
versions.

Signed-off-by: Wei-Ting Yang <redacted>

lm-sensors: add version check override

Add version check override script.

Signed-off-by: Wei-Ting Yang <redacted>

libwacom: add version check override

Skip version checks as none of the executables seem to report their
versions.

Signed-off-by: George Sapkin <redacted>

libseccomp: add version check override

Skip version checks as none of the executables seem to report their
versions.

Signed-off-by: George Sapkin <redacted>

treewide: fix typos in version check overrides

Fix shellcheck shell configuration in version check overrides.

Signed-off-by: George Sapkin <redacted>

tailscale: update to 1.98.3

Changelog: https://tailscale.com/changelog#2026-05-13
Changelog: https://tailscale.com/changelog#2026-05-15
Changelog: https://tailscale.com/changelog#2026-05-21
Signed-off-by: Sandro Jäckel <redacted>

prometheus-node-exporter-lua: check if status is nil before processing wifi device metrics interfaces

Signed-off-by: Jun Ouyang <redacted>

prometheus-node-exporter-lua: expose node_os_info

the original node_exporter exposes a node_os_info metric with a set of
data about the system [1] which is then used by several dashboards.

openwrt.lua already exposes OS info, but using the node_openwrt_info
metric requires changes to existing dashboards, and would require more
complex lookups when there are non-OpenWrt hosts in the overview too.

as we've already called ubus and fetched the data, we can expose it in
two formats easily.

[1] https://github.com/prometheus/node_exporter/blob/d6d0e710bb7daf07a2743fde060f0d5f32c565f3/collector/os_release.go#L190-L192

Signed-off-by: Evgeni Golov <redacted>

prometheus-node-exporter-lua: fixup uci_dhcp_host

Handle cases where 'mac' is missing (nil), a single string,
or an array (table).

Additionally, add support for the 'duid' field.

Signed-off-by: Etienne Champetier <redacted>

openfortivpn: bump PKG_RELEASE

Bump PKG_RELEASE for the newly added `realm` parameter support
(introduced in PR #29414).

Signed-off-by: Xing-Kai Wang <redacted>

prometheus-node-exporter-lua: add filesystem metrics

Add a collector for the various fileystem metrics which matches the
node-exporter behaviour. This collector supports the following metrics:

* node_filesystem_size_bytes
* node_filesystem_free_bytes
* node_filesystem_avail_bytes
* node_filesystem_files
* node_filesystem_files_free
* node_filesystem_readonly

Signed-off-by: Will May <redacted>

prometheus-node-exporter-lua: add modemmanager exporter

Add a Prometheus collector for ModemManager that exports cellular modem
signal metrics via mmcli. Supports multiple modems (labeled by D-Bus
object path), exports overall signal quality and detailed per-technology
signal parameters (LTE, NR5G, UMTS, GSM, CDMA, ...).

Requires signal refresh to be enabled on the modem:
  mmcli -m <id> --signal-setup=<interval_seconds>

Tested on: ath79/generic, GL.inet GL-X300B, OpenWrt 23.05.5

Co-authored-by: Claude <redacted>
Signed-off-by: Jean-Laurent Girod <redacted>

erlang: fix PKG_CPE_ID escaping for apk ADB format

apk's ADB binary package format rejects both the backslash-escape and
the percent-encoding variants of the previous CPE id:

  cpe:/a:erlang:erlang\/otp     ERROR: info field 'tags' has invalid value
  cpe:/a:erlang:erlang%2Fotp    ERROR: info field 'tags' has invalid value

apk's tag value parser only accepts a restricted alphabet for ADB
package format and neither '\' nor '%' make the cut. The result is
that the package never produces an .apk.

Drop the '/otp' suffix entirely and use cpe:/a:erlang:erlang, which
matches the higher-level Erlang CPE entry. cve scanners that walked
the more specific erlang\/otp entry will fall back to this one.

This effectively reverts the product portion of bfdf01496 ("lang/erlang:
fix PKG_CPE_ID"), which was correct against the NIST 2.3 string but
incompatible with apk's tag parser.

Signed-off-by: Alexandru Ardelean <redacted>

libxerces-c: fix CI build/test failures for apk + samples

Two unrelated issues both fixed here so the package + its samples
sub-package land in CI green:

1. PKG_CPE_ID escaping.
   apk's ADB binary package format rejects both the backslash-escape
   and the percent-encoding variants of the previous CPE id:

     cpe:/a:apache:xerces-c\+\+     ERROR: info field 'tags' has invalid value
     cpe:/a:apache:xerces-c%2B%2B   ERROR: info field 'tags' has invalid value

   apk's tag value parser only accepts a restricted alphabet for ADB
   package format and neither '\' nor '%' make the cut. With xerces-c
   unable to build, downstream consumers (notably sumo) also fail at
   cmake configure time with "Failed to find XercesC".

   Drop the '++' suffix entirely and use cpe:/a:apache:xerces-c, which
   matches the higher-level Apache Xerces-C CPE entry. cve scanners
   that walked the more specific xerces-c++ entry will fall back to
   this one.

2. Generic version-check override for libxerces-c-samples.
   The samples sub-package ships upstream demo programs
   (CreateDOMDocument, DOMCount, DOMPrint, SAX2Count, ...) which do
   not accept --version / -v / -V and therefore fail the framework's
   "executable prints PKG_VERSION" probe, making the package overall
   report "Generic tests failed". Add a minimal test-version.sh that
   exits 0 so the version-probe is skipped and the remaining generic
   checks (executable, no hardcoded paths, stripped, linked libs)
   still run for every binary.

Signed-off-by: Alexandru Ardelean <redacted>

lmdb: add a test-version.sh version-check override

lmdb-test ships /usr/bin/mtest, a stress test that unconditionally
opens ./testdb in the current directory and aborts (SIGABRT) when
that directory is missing. In the CI runtime container that's
always the case, so the framework's --version probe ends up with
"Aborted" output, no PKG_VERSION match, and the package gets
reported as "Generic tests failed - No executables in the package
provided version 0.9.35".

Add libs/lmdb/test-version.sh that handles each sub-package by name:
lmdb (library) and lmdb-test (no usable version probe) pass the
override, lmdb-utils runs 'mdb_dump -V' and matches against
PKG_VERSION, and unknown sub-packages fail loudly to force this
script to be updated. The other generic checks (no hardcoded paths,
stripped, linked libs) still run for every binary.

Signed-off-by: Alexandru Ardelean <redacted>

dnsdist: update to 2.0.6

Bump from 2.0.1 to the latest 2.0 LTS release. This pulls in
upstream commit 53cb738795 ("dnsdist: make code boost-1.91
compatible", Otto Moerbeek, 2026-04-29), which fixes the build
break against Boost 1.91 currently shipped by OpenWrt:

  dnsdist-lua.cc:3086:101: error: converting to
    'boost::optional<unordered_map<...>>' from initializer list
    would use explicit constructor 'constexpr boost::optional<T>::
    optional(U&&) [...]'

Signed-off-by: Alexandru Ardelean <redacted>

openfortivpn: add realm parameter support

Some FortiGate VPN gateways require a specific authentication realm
when multiple domains or user groups are configured on the same server.

This commit updates the netifd protocol script to parse the 'realm'
option from the UCI configuration and correctly append it to the
openfortivpn command line arguments.

Signed-off-by: Xing-Kai Wang <redacted>

boinc: resolve openwrt release

Allow boinc to read /etc/os-release to resolve openwrt version

Signed-off-by: Hector Espert <redacted>

hev-socks5-tproxy: update to 2.11.0

Upstream changelog:
https://github.com/heiher/hev-socks5-tproxy/releases/tag/2.11.0

Signed-off-by: Ray Wang <redacted>

hev-socks5-tunnel: update to 2.15.0

Upstream changelog:
https://github.com/heiher/hev-socks5-tunnel/releases/tag/2.15.0

Signed-off-by: Ray Wang <redacted>

hev-socks5-server: update to 2.12.0

Upstream changelog:
https://github.com/heiher/hev-socks5-server/releases/tag/2.12.0

Signed-off-by: Ray Wang <redacted>

fsh: update to 4.11.0

Upstream changelog:
https://github.com/heiher/hev-fsh/releases/tag/4.11.0

Signed-off-by: Ray Wang <redacted>

tor: update to 0.4.9.8 stable

Minor release, see the changelog [1] for what's new.

[1] https://gitlab.torproject.org/tpo/core/tor/-/blob/tor-0.4.9.8/ChangeLog

Signed-off-by: Rui Salvaterra <redacted>

redsocks: remove package

It seems this software is no longer maintained because
the latest commit is 7 years ago.
Also some people reports UAF bugs.

https://github.com/darkk/redsocks/issues/177
https://github.com/darkk/redsocks/issues/178

No packages depends on this.

Signed-off-by: Yanase Yuki <redacted>

netatalk: update to 4.4.3

Security fixes (from upstream release notes):
CVE-2026-44047, CVE-2026-44048, CVE-2026-44049, CVE-2026-44050,
CVE-2026-44051, CVE-2026-44052, CVE-2026-44054, CVE-2026-44055,
CVE-2026-44057, CVE-2026-44060, CVE-2026-44062, CVE-2026-44064,
CVE-2026-44066, CVE-2026-44068, CVE-2026-44076, CVE-2026-45354,
CVE-2026-45355, CVE-2026-45356, CVE-2026-45698, CVE-2026-45699

As of v4.4.2, upstream added a dependency on libatomic.

UAM hardening improvements also included.

Release notes at:
https://github.com/Netatalk/netatalk/releases/tag/netatalk-4-4-3

Signed-off-by: Antonio Pastor <redacted>

htop: update to 3.5.1

https://github.com/htop-dev/htop/compare/3.5.0...3.5.1

Signed-off-by: John Audia <redacted>

treewide: fix dangling SONAME symlinks when using ABI_VERSION

A previous commit attempted to introduce proper SONAME symlinks for
packages utilizing ABI_VERSION. However, it incorrectly copied only
the symlink without the underlying physical library file, resulting
in broken packages with dangling symlinks.

Before:
```
tar -Oxzf bin/packages/arm_cortex-a9_vfpv3-d16/packages/oniguruma_6.9.9-r1_arm_cortex-a9_vfpv3-d16.ipk ./data.tar.gz | tar -tzvf -
drwxr-xr-x  0 0      0           0 Feb  5  2024 ./
drwxr-xr-x  0 0      0           0 Feb  5  2024 ./usr/
drwxr-xr-x  0 0      0           0 Feb  5  2024 ./usr/lib/
lrwxrwxrwx  0 0      0           0 Feb  5  2024 ./usr/lib/libonig.so.5 -> libonig.so.5.4.0
```

After:
```
tar -Oxzf bin/packages/arm_cortex-a9_vfpv3-d16/packages/oniguruma_6.9.9-r1_arm_cortex-a9_vfpv3-d16.ipk ./data.tar.gz | tar -tzvf -
drwxr-xr-x  0 0      0           0 Feb  5  2024 ./
drwxr-xr-x  0 0      0           0 Feb  5  2024 ./usr/
drwxr-xr-x  0 0      0           0 Feb  5  2024 ./usr/lib/
lrwxrwxrwx  0 0      0           0 Feb  5  2024 ./usr/lib/libonig.so.5 -> libonig.so.5.4.0
-rwxr-xr-x  0 0      0      526493 Feb  5  2024 ./usr/lib/libonig.so.5.4.0
```

This properly standardizes shared library packaging, prevents shipping
duplicate full-sized files (as seen previously in packages like libre2),
and aligns the packages feed with core OpenWrt practices.
As you could see in the previous commit (see it in the ``Fixes`` tag):

Before:
```
tar -Oxzf bin/packages/arm_cortex-a9_vfpv3-d16/packages/re2_2023.02.01\~b025c6a3-r1_arm_cortex-a9_vfpv3-d16.ipk ./data.tar.gz | tar -tzvf -
drwxr-xr-x  0 0      0           0 Aug 18  2024 ./
drwxr-xr-x  0 0      0           0 Aug 18  2024 ./usr/
drwxr-xr-x  0 0      0           0 Aug 18  2024 ./usr/lib/
-rw-r--r--  0 0      0      331875 Aug 18  2024 ./usr/lib/libre2.so
-rw-r--r--  0 0      0      331875 Aug 18  2024 ./usr/lib/libre2.so.10
-rw-r--r--  0 0      0      331875 Aug 18  2024 ./usr/lib/libre2.so.10.0.0
```

After:
```
tar -Oxzf bin/packages/arm_cortex-a9_vfpv3-d16/packages/re2_2023.02.01\~b025c6a3-r1_arm_cortex-a9_vfpv3-d16.ipk ./data.tar.gz | tar -tzvf -
drwxr-xr-x  0 0      0           0 Aug 18  2024 ./
drwxr-xr-x  0 0      0           0 Aug 18  2024 ./usr/
drwxr-xr-x  0 0      0           0 Aug 18  2024 ./usr/lib/
lrwxrwxrwx  0 0      0           0 Aug 18  2024 ./usr/lib/libre2.so -> libre2.so.10
lrwxrwxrwx  0 0      0           0 Aug 18  2024 ./usr/lib/libre2.so.10 -> libre2.so.10.0.0
-rwxr-xr-x  0 0      0      331875 Aug 18  2024 ./usr/lib/libre2.so.10.0.0
```

Fixes: 537c2a631dd117564720a80f6976280901b010f5 ("treewide: avoid deref symlinks when installing .so")
Signed-off-by: Josef Schlehofer <redacted>

docker-compose: update to version 5.1.4

Changes: https://github.com/docker/compose/releases/tag/v5.1.0
Changes: https://github.com/docker/compose/releases/tag/v5.1.1
Changes: https://github.com/docker/compose/releases/tag/v5.1.2
Changes: https://github.com/docker/compose/releases/tag/v5.1.3
Changes: https://github.com/docker/compose/releases/tag/v5.1.4

Signed-off-by: Javier Marcet <redacted>

qemu-ga: skip starting on bare metal device

The same firmware image may be deployed on either bare metal device or
virtualized platforms (e.g., Proxmox VE).

On bare metal device, `qemu-ga` may still be started even though no
virtio-serial channel is available, resulting in repeated attempts to
access /dev/virtio-ports/org.qemu.guest_agent.0.

This causes continuous service respawning by procd and unnecessary log
spam.

This commit adds a pre-check for /dev/virtio-ports to avoid starting
`qemu-ga` when virtio-serial support is not present.

Signed-off-by: Andy Chiang <redacted>

vzlogger: add new package

vzlogger is a tool to read and log measurements of a wide variety of smart
meters and sensors to the volkszaehler.org middleware.

Signed-off-by: Andy Voigt <redacted>

libsml: add new package

libSML implements the Smart Message Language protocol used by German smart
meters (FNN specification). It is used by projects like volkszaehler for
reading smart meter data.

Signed-off-by: Andy Voigt <redacted>

ddns-scripts: add blazingfast.io Anycast DNS provider

Add DDNS update support for blazingfast.io Anycast DNS via their
REST API. Authentication is performed via JWT token obtained from
the login endpoint. Zone records are fetched to verify the record
type before update, ensuring IPv4 services only target A records
and IPv6 services only target AAAA records.

Service, zone and record IDs are passed via param_opt as
space-separated key=value pairs:
  service_id=X zone_id=Y record_id=Z

curl --config file approach is used throughout to avoid eval and
shell injection from user-controlled values. Supports both IPv4
and IPv6. For dual-stack, create two separate DDNS service sections
with their respective record IDs.

Tested on GL.iNet MT5000 (Brume 3) running OpenWrt with
ddns-scripts 2.8.2.

Signed-off-by: Fotios Kitsantas <redacted>

frp: bump to 0.69.0

Changes: https://github.com/fatedier/frp/releases/tag/v0.69.0

Signed-off-by: Roc Lai <redacted>

openvpn: add missing host routes

Maintainer: Alexandru Ardelean <redacted>

ping @feckert

First of all big thanks to all involved devs, porting this to proto is not a minor task and besides some small quirks it is working well.
(Not all that happy with the use of a default route instead of /1 routes, because you loose internet if the tunnel goes down but that is just me nitpicking)

However I had problems with default routing as the host routes to the server endpoint were missing.

I tracked it down to code in the `openvpn-hotplug` script and made some changes and in my testing it appears to work now.
As a bonus I also added code for a future implementation of the `nohostroute` option.

Problem:
The host routes were created by just using route setup this however does not work.

Solution:
using `proto_add_host_dependency` seems the better solution.

Furthermore the correct guard for IPv6 seems to be `net_gateway_ipv6` instead of `route_ipv6_gateway` however even the correct guard is only working if ipv6 source routing is disabled on wan6, so perhaps we should consider removing the guard entirely.
For now I left it in place with a warning.

I have tested it on X86 running master build from 5 days ago, both for IPv4 and IPv6

Please have a look and consider implementing.

Thanks

Signed-off-by: Erik Conijn <redacted>

curl: enable zlib support by default

zlib is already a default package required by apk

Signed-off-by: Jan Havelka <redacted>

adguardhome: bump to 0.107.76

Changes: https://github.com/AdguardTeam/AdGuardHome/releases/tag/v0.107.76
Signed-off-by: George Sapkin <redacted>

shadow: update to 4.19.4

Large version jump from 4.8.1 to 4.19.4 (latest upstream LTS).

Build changes:
- Refresh patches/004-fix-su-controoling-term.patch: su.c moved the
  ioctl() call from line 1122 to 1169 and changed (char *) 0 to
  (char *) NULL; update patch context and re-canonicalise through
  quilt (blank context line spacing).
- New CONFIGURE_ARGS:
  * --disable-logind: 4.19.4 added an optional libsystemd-based
    logind integration which OpenWrt doesn't ship.
  * --without-libbsd: shadow's configure now hard-fails on missing
    readpassphrase() unless libbsd is found; the in-tree
    lib/readpassphrase.c fallback is enabled by --without-libbsd.
  * --without-sssd: avoid dragging in an sssd build dep.
  * --disable-subordinate-ids: 4.19.4 builds libsubid (subuid/subgid
    runtime API) unconditionally when subids are enabled, and its
    libtool -export-symbols-regex generates a version script that
    binutils 2.40+ rejects against libxcrypt's versioned
    crypt_checksalt@@XCRYPT_4.3 symbol. Disabling subordinate-ids
    skips libsubid entirely; OpenWrt doesn't ship libsubid.
- Drop newgidmap, newuidmap, lastlog and groups from SHADOW_APPLETS:
  newgidmap/newuidmap are only built when subordinate-ids are
  enabled, lastlog defaults to disabled in 4.19.4, and the groups
  binary was removed from shadow upstream (use coreutils).

Test coverage:
- Replace the per-applet --version check in test.sh with per-applet
  functional tests:
    pwck     -> 'pwck -r' read-only consistency check; accept
                 non-zero exit since the CI container's /etc/passwd
                 trips minor warnings.
    grpck    -> 'grpck -r' read-only consistency check.
    chage    -> 'chage -l root' lists password aging info.
    useradd  -> 'useradd -D' dumps defaults without modifying state.
    passwd   -> 'passwd -S root' prints the password status line.
    faillog  -> create empty /var/log/faillog then 'faillog -a'
                must emit a header line.
    login/su -> PAM-interactive; presence covered by generic tests.
    Other applets -> verify binary presence (CI's generic tests
                 already check stripped, no build paths, linked-libs).
- Add test-version.sh as a generic-version-check override: shadow
  tools don't honour --version (only --help), so the framework's
  probe finds no PKG_VERSION match in any binary and would otherwise
  fail Generic tests for every sub-package.

Signed-off-by: Alexandru Ardelean <redacted>

libupnpp: update to 1.0.4

Update from 0.26.5 to 1.0.4 (major version jump 0.x -> 1.x).

Changes:
- Add +libcurl to DEPENDS: libupnpp 1.0.4 introduced a new mandatory
  dependency on libcurl (used for HTTP/SOAP communications)
- Build system remains meson (already in use)
- No patches needed

Signed-off-by: Alexandru Ardelean <redacted>

rsync: update to 3.4.3

Changelog: https://download.samba.org/pub/rsync/NEWS#3.4.3

This is an important update fixing 6 CVEs: CVE-2026-29518,
CVE-2026-43617, CVE-2026-43619, CVE-2026-43618,
CVE-2026-43620, and CVE-2026-4523

Signed-off-by: John Audia <redacted>

libudev-zero: backport hwdb USB ID lookup from upstream master

Replace the four stub udev_hwdb_*() functions with a working
implementation that looks up vendor and product names from
/usr/share/hwdata/usb.ids, so callers using the standard libudev
hwdb API benefit without needing package-specific patches.

The patch is a clean backport of upstream commit 2bebebc9e0444
("udev: implement hwdb USB ID lookup from usb.ids (#80)") merged
to illiliti/libudev-zero master on 2026-05-19, post-1.0.3. Drop
when the package is bumped to the next libudev-zero release.

Upstream now defaults USB_IDS_PATH to ${SHAREDIR}/hwdata/usb.ids
with SHAREDIR=${PREFIX}/share, so the explicit
USB_IDS_PATH=/usr/share/hwdata/usb.ids in MAKE_FLAGS is no longer
needed and is dropped.

Fixes: https://github.com/openwrt/packages/issues/29386
Signed-off-by: Alexandru Ardelean <redacted>

usbutils: update to 019, switch to meson

Update from 017 to 019. Version 019 dropped autoconf in favour of meson,
so switch to include/meson.mk and drop PKG_FIXUP:=autoreconf and the
autoconf CONFIGURE_ARGS.

The binary lsusb no longer reads usb.ids directly; it now queries the
udev hardware database. lsusb.py still searches /usr/share/hwdata/usb.ids
for device name resolution.

Signed-off-by: Alexandru Ardelean <redacted>

hwdata: update to 0.407

Refresh the hardware database with the latest USB, PCI and PnP IDs.

Signed-off-by: Alexandru Ardelean <redacted>

adblock: update 4.5.5-5

- f_etag performance optimization: single-pass awk consolidating count+match
- f_report: minor performance optimization
- LuCI: prevent possible report refresh timeouts

Signed-off-by: Dirk Brenken <redacted>

mstflint: update to 4.36.0-1

This commit updates the mstflint package
to the latest 4.36.0-1 release.

Obsolete patches have been removed,
as they are now included in this version.

Release notes:
https://github.com/Mellanox/mstflint/releases/tag/v4.36.0-1

Signed-off-by: Til Kaiser <redacted>

perl: fix miniperl missing execute permission (CI fix)

On some build systems, the miniperl binary is created without execute
permission (errno 126 when running it as /bin/sh). This breaks building
the mro extension and cascades to all dependent packages.

Fix by ensuring chmod +x on miniperl after the main build step.
This matches how many other build systems handle this same issue.

Signed-off-by: Alexandru Ardelean <redacted>

perl: fix dependency issues in archive, pod and test

perlbase-archive, perlbase-pod and perlbase-test
had executable utilities with missing dependencies.

Fixes: https://github.com/openwrt/packages/issues/29425
Fixes: https://github.com/openwrt/packages/issues/29426
Fixes: https://github.com/openwrt/packages/issues/29427
As discussed in PR 29463
https://github.com/openwrt/packages/pull/29463

those are either non-working or useless on OpenWrt,
therefore they have been removed.

Signed-off-by: Jens Wagner <redacted>

perl: fix missing line numbers in error messages

There were some type definitions missing in architecture.config,
that caused perl to return '%' instead of actual line numbers.

Fixes: https://github.com/openwrt/packages/issues/25912
Signed-off-by: Jens Wagner <redacted>

libjwt: update to 3.3.3

Patch release on the 3.3.x series.

Signed-off-by: Daniel Golle <redacted>

lvm2: update to 2.03.41

Stable bug-fix release in the 2.03.x series. The bundled
device-mapper library bumps from 1.02.209 to 1.02.215; track that
in PKG_VERSION_DM as well so the libdevmapper package shows the
correct upstream version.

Signed-off-by: Daniel Golle <redacted>

ola: fix host build by inheriting host PKG_CONFIG_PATH

The ola host build (HostBuild path that produces ola_protoc_plugin)
failed in clean buildbot environments with:

  configure: error: Missing the uuid library

even though libuuid is provided by tools/util-linux and is staged
at $(STAGING_DIR_HOST)/lib/pkgconfig/uuid.pc.

Root cause: HOST_CONFIGURE_VARS overrode PKG_CONFIG_PATH with

  PKG_CONFIG_PATH="$(STAGING_DIR_HOSTPKG)/usr/protobuf-compat/lib/\
pkgconfig:$(PKG_CONFIG_PATH)"

$(PKG_CONFIG_PATH) here is the make-time variable, which is never
set for host context (include/host-build.mk only exports it as a
per-rule env variable, not a make variable). It therefore expanded
to the empty string, and the resulting single-entry PKG_CONFIG_PATH
overrode the exported defaults from host-build.mk, hiding uuid.pc
from the host pkg-config wrapper.

Fix: refer to the env variable via shell expansion ($$PKG_CONFIG_PATH)
instead of the make variable. The make recipe expands $$ to $, and
the shell resolves $PKG_CONFIG_PATH from the inherited environment
populated by include/host-build.mk (which sets it to
$(STAGING_DIR_HOST)/lib/pkgconfig:$(HOST_BUILD_PREFIX)/lib/pkgconfig).

Fixes: 5e4f937e ("ola: use protobuf-compat instead of protobuf")
Signed-off-by: Alexandru Ardelean <redacted>

rsyslog: make libyaml support optional via RSYSLOG_libyaml

The upstream rsyslog build links against libyaml-0.so.2 whenever
pkg-config detects yaml-0.1, which made libyaml a hard dependency
of the rsyslog binary without any way to opt out from OpenWrt
config. libyaml is only used for YAML (.yaml/.yml) configuration
files and for loading rate-limiting policies from external files;
RainerScript (.conf) installs do not need it.

Introduce a new RSYSLOG_libyaml Config.in switch, default off, and
gate the +libyaml DEPENDS entry on it. Pass --enable-libyaml or
--disable-libyaml to configure based on the switch.

The upstream configure script in 8.2604.0 does not understand a
--disable-libyaml flag (libyaml was unconditionally autodetected).
Backport upstream commit c5c244861 ("configure: make libyaml
default-on explicit") as 001-configure-make-libyaml-default-on-
explicit.patch, which adds the AC_ARG_ENABLE(libyaml) block. The
patch dissolves cleanly once the package is bumped to 8.2606.0+.
PKG_FIXUP:=autoreconf is added so the configure.ac change flows
into the generated configure script during the SDK build.

Signed-off-by: Alexandru Ardelean <redacted>

adguardhome: bump to 0.107.75

Changes: https://github.com/AdguardTeam/AdGuardHome/releases/tag/v0.107.75
Signed-off-by: George Sapkin <redacted>

libinput: update to 1.31.2

Stable bug-fix release in the 1.31.x series. No API changes.

Signed-off-by: Daniel Golle <redacted>

gnupg2: update to 2.5.20

New stable release on the 2.5.x development series. Highlights from
upstream's NEWS:

 * gpgsm: Implement GCM encryption.

 * gpgsm: New option --attribute and server command SETATTR to
   include arbitrary signed or unsigned attributes into a
   signature. Requires libksba >= 1.7.0 (bumped to 1.8.0 in the
   preceding commit).

 * gpgsm: Introduce system attribute _signingCertificateV2.

 * gpg: Fix wrong assertion failure which could very rarely occur
   during key signature checking.

 * gpg: Consider certify-only keys for revocation signature check.

 * gpgsm: Fix possible double free in the CMS parser.

 * gpgsm: Fix possible too early removal of ephemeral keys.

Signed-off-by: Daniel Golle <redacted>

libksba: update to 1.8.0

Minor version bump on the GnuPG X.509 library. Highlights from
upstream's NEWS:

 1.8.0 (2026-05-13)
  * New function ksba_cms_get_attribute.
  * Support building of unsigned attributes with
    ksba_cms_add_attribute.

 1.7.0 (2026-05-07)
  * Add support for building AuthEnvelopedData.
  * New function ksba_cms_add_attribute.
  * Fix silent truncation of 64 bit length fields.
  * Fix incorrect overflow guard condition in _ksba_ber_read_tl.

The added interfaces (ksba_cms_add_attribute, _get_attribute) are
required by GnuPG >= 2.5.20 to expose gpgsm's --attribute option.

Signed-off-by: Daniel Golle <redacted>

postgresql: update to 18.4

PostgreSQL 18.4 is a quarterly bug-fix release of the 18.x major
series. No security advisories listed against this release.

Signed-off-by: Daniel Golle <redacted>

openal-soft: update to 1.25.2

Stable bug-fix release in the 1.25.x series. Highlights from
upstream's ChangeLog include:

 * Fix STL hardening assertion in the reverb effect.
 * Fix a potential crash with older PipeWire headers.
 * Fix capturing mono from a stereo or greater WASAPI input device.
 * Add capture support to the SDL3 backend.
 * Implement 3D processing for Distortion, Chorus, Flanger,
   Pitch Shifter and Frequency Shifter effects.

Signed-off-by: Daniel Golle <redacted>

openvpn: use mbedtls by default

When luci-proto-openvpn is selected in `make menuconfig`,
openvpn-openssl is picked up automatically. As mbedTLS is the default
TLS package, set DEFAULT_VARIANT on openvpn-mbedtls so that it is used
by default.

Signed-off-by: Qingfang Deng <redacted>

ripgrep: bump to 15.1.0

Changelog:
https://github.com/BurntSushi/ripgrep/releases/tag/15.1.0

Signed-off-by: John Audia <redacted>

vallumd: bump to 0.2.3

Drop upstreamed patches.

Signed-off-by: Stijn Tintel <redacted>

qbee-agent: bump version to 2026.19
Bump version to 2026.19

Signed-off-by: Jon Henrik Bjørnstad <redacted>

python-urllib3: update to 2.7.0

Fix CVE-2026-44431 and CVE-2026-44432.

Full release notes:
https://github.com/urllib3/urllib3/releases/tag/2.7.0

- Drop 0001-relax-setuptools-scm-version-constraint.patch since
  upstream changed the setuptools-scm constraint to >=8,<11.

Signed-off-by: Wei-Ting Yang <redacted>

v2ray-core: Update to 5.49.0

Release note: https://github.com/v2fly/v2ray-core/releases/tag/v5.49.0

Signed-off-by: Tianling Shen <redacted>

v2ray-geodata: Update to latest version

Update all geodata.

Signed-off-by: Tianling Shen <redacted>

simple-captive-portal: order nft chains predictably

Adjust simple-captive-portal firewall chain priority to apply before
default chain deterministically

Signed-off-by: Andris PE <redacted>

banip: update 1.8.8-4

- f_etag performance optimization: single-pass awk consolidating count+match
- f_report performance optimization: significantly reduce subshell spawning
- f_lookup performance optimization: DNS resolution parallelized per domain via subshells
- LuCI: prevent possible report refresh timeouts

Signed-off-by: Dirk Brenken <redacted>

ddns-scripts: add blazingfast.io Anycast DNS provider

Add DDNS update support for blazingfast.io Anycast DNS via their
REST API. Authentication is performed via JWT token obtained from
the login endpoint. Zone records are fetched to verify the record
type before update, ensuring IPv4 services only target A records
and IPv6 services only target AAAA records.

Service, zone and record IDs are passed via param_opt as
space-separated key=value pairs:
  service_id=X zone_id=Y record_id=Z

curl --config file approach is used throughout to avoid eval and
shell injection from user-controlled values. Supports both IPv4
and IPv6. For dual-stack, create two separate DDNS service sections
with their respective record IDs.

Tested on GL.iNet MT5000 (Brume 3) running OpenWrt with
ddns-scripts 2.8.2.

Signed-off-by: Fotios Kitsantas <redacted>

inotify-tools: update to 4.25.9.0

Update from 4.23.9.0.

The 4.25.9.0 release brings various fixes and updates accumulated
since 4.23 including build system fixes, smaller bug fixes and
maintenance updates.

Link: https://github.com/inotify-tools/inotify-tools/releases/tag/4.25.9.0
Link: https://github.com/inotify-tools/inotify-tools/blob/4.25.9.0/ChangeLog
Signed-off-by: Daniel Golle <redacted>

vim: move version checks to override

Move existing version checks into override and add explicit package checks.

Signed-off-by: George Sapkin <redacted>

unbound: add version check override

Add version check override script.

Signed-off-by: George Sapkin <redacted>

python-tabulate: add version check override

Skip version checks as none of the executables seem to report their
versions.

Signed-off-by: George Sapkin <redacted>

python-pyserial: add version check override

Skip version checks as none of the executables seem to report their
versions.

Signed-off-by: George Sapkin <redacted>

python-pyserial: fix host build

Fixes: ac212e0c ("python-pyserial: add hostbuild")
Signed-off-by: George Sapkin <redacted>

python3: add more packages to version check overrides

Add source packages and library to version check overrides.

Fixes: b5d3a38e ("python3: move version checks to override")
Signed-off-by: George Sapkin <redacted>

libucontext: add version check override

Skip version checks as none of the executables seem to report their
versions.

Signed-off-by: George Sapkin <redacted>

libftdi1: add version check override

Add explicit ftdi_eeprom version and a matching version check override.

Signed-off-by: George Sapkin <redacted>

libcap-ng: fix version check override

Fixes: 12b01bad ("libcap-ng-bin: add test-version.sh to skip version check")
Signed-off-by: George Sapkin <redacted>

krb5: add version check override

Skip version checks as none of the executables seem to report their
versions.

Signed-off-by: George Sapkin <redacted>

avahi: move version checks to override

Move existing version checks into override and add explicit package checks.

Signed-off-by: George Sapkin <redacted>

travelmate: update 2.4.5-3

- re-added the accidently removed 'trm_lookupcmd',
  still used in the auto-login scripts

Signed-off-by: Dirk Brenken <redacted>

bsbf-openwrt-resources: improve iface type detection and DNS

To find the correct network interface to create a network entry for, check
which driver is driving the network interface.

Restrict creating a network entry with DHCP client to network interfaces
driven by the cdc_ether, r8152, rndis_host, or ipheth driver.

Ensure UCI section name derived from interface name is proper.

Do not disable using DNS servers advertised by the ISP. This was a
requirement of bsbf-bonding. We can now do this as we transparently proxy
all DNS traffic to Xray which resolves queries.

Do not exit non-zero as it's useless.

Signed-off-by: Chester A. Unal <redacted>

bsbf-resources: update to GIT HEAD of 2026-05-16

Update bsbf-resources to the GIT HEAD of 2026-05-16.

- files/etc/uci-defaults/99-bsbf-bonding:
  - Do not ever exit non-zero. It prevents the script from being deleted
    after it's run.
  - Fix creating a new wan zone.
  - Do not disable using DNS servers advertised by the ISP. We can now do
    this as we transparently proxy all DNS traffic to Xray which resolves
    queries.

- files/usr/sbin/bsbf-bonding:
  - Attempting to source a file that doesn't exist breaks the rest of the
    script. Therefore, only source /etc/bsbf/bsbf-bonding.conf if it
    exists. Then, print to stderr if the configuration is improper.

Signed-off-by: Chester A. Unal <redacted>

python-certifi: update to 2026.4.22

Use the latest CA bundle from Mozilla.

Signed-off-by: Wei-Ting Yang <redacted>

perl-io-socket-ssl: update to 2.098

Changelog: https://metacpan.org/dist/IO-Socket-SSL/changes

Signed-off-by: Jens Wagner <redacted>

mbpoll: update to 1.5.4

Removed patch, as fixed in new source package now
Corrected path from /bin/mbpoll to /usr/bin/mbpoll

All changes from 1.5.2 can be found here:
https://github.com/epsilonrt/mbpoll/compare/v1.5.2...v1.5.4

Signed-off-by: Jens Wagner <redacted>

transmission-web-control: remove package

This software is no longer maintained because upstream
repository has been archived by the owner.
No packages depends on this.

Signed-off-by: Yanase Yuki <redacted>

adblock: update 4.5.5-4

- gated f_load behind a ubus socket check at the end of adblock.sh
   to harden against pre-ubus invocations
- added a 'adb_bver' fallback in f_log for invocation paths without prior f_load execution
- minor code improvements and fixes

Signed-off-by: Dirk Brenken <redacted>

banip: update 1.8.8-3

- gated config sanity checks at the end of banip-functions.sh
   behind 'ban_action' to skip them on init script sourcing paths (enable/disable/help)
- added a ubus socket guard around f_system to harden against pre-ubus sourcing
- added a 'ban_bver' fallback in f_log for sourcing paths without prior f_system execution
- reordered system utility references before system library sourcing,
   so f_log has a valid 'ban_logcmd' available if the library check fails
- minor code improvements and fixes

Signed-off-by: Dirk Brenken <redacted>

travelmate: update 2.4.5-2

- gated config sanity checks at the end of travelmate-functions.sh
   behind 'trm_action' to fix init script enable/disable/help paths
- added a ubus socket guard around f_system to harden against pre-ubus sourcing
- added a 'trm_bver' fallback in f_log for sourcing paths without prior f_system execution
- reordered system utility references before system library sourcing,
   so f_log has a valid 'trm_logcmd' available if the library check fails
- minor code improvements

Signed-off-by: Dirk Brenken <redacted>

dbus: add version check override

Add manual version checks and skip version checks for dbus-utils.

Signed-off-by: George Sapkin <redacted>

python3: move version checks to override

Move existing version checks into override and add explicit package checks.

Signed-off-by: George Sapkin <redacted>

checksec: mark version check override as executable

Mark version check override as executable and add explicit package checks.

Signed-off-by: George Sapkin <redacted>

libcap-ng-bin: add test-version.sh to skip version check

captest, filecap, netcap and pscap (libcap-ng-bin) do not print the
package version string (0.8.4), causing generic version check failures
in CI.

Signed-off-by: Alexandru Ardelean <redacted>

fatresize: add test-version.sh to skip git-snapshot version check

The binary does not report the OpenWrt package version (2023.06.11~ab78c48f);
override the generic version check with test-version.sh.

Signed-off-by: Alexandru Ardelean <redacted>