libidn2: update to 2.3.8

Changelog:
- Update to Unicode 15.1.0 standard with U+19DA marked DISALLOWED
- Switch from gnulib submodule to GNULIB_REVISION for build management
- Fix uninitialized memory and compiler warnings
- Improve reproducibility and cross-platform build compatibility

Signed-off-by: Alexandru Ardelean <redacted>

libidn: update to 1.43

Changelog:
- Fix uninitialized value bug in idna_to_unicode_4z4z on malloc failure
- Restore Unicode table generation scripts for modern Perl compatibility
- Fix Windows/musl compatibility for version checking
- Achieve reproducible builds across tested platforms

Signed-off-by: Alexandru Ardelean <redacted>

ngtcp2: update to 1.22.1

Changelog:
- Add Generic Segmentation Offload (GSO) packet aggregation via
  ngtcp2_conn_write_aggregate_pkt
- Fix CVE-2026-40170 (v1.22.1)
- Refine BBR congestion control and header protection cipher
- Improve error handling across the codebase

Signed-off-by: Alexandru Ardelean <redacted>

nghttp3: update to 1.15.0

Changelog:
- Client-side stream scheduling is now incremental by default
- Add nghttp3_recv_settings2 API
- Add glitch protection and time-based features (v1.12.0)
- Optimize QPACK Huffman decoding performance
- Fix ENABLE_CONNECT_PROTOCOL handling

Signed-off-by: Alexandru Ardelean <redacted>

banip: update 1.8.8-2

- optimized pidfile handling in the init file
- small cornercase fixes & improvements
- drop deprecated 'drop' feed (replaced by 'spamhaus' json feed with the same content)
- LuCI: expose the new JSON Lines Format in the feed editor
- readme update

Signed-off-by: Dirk Brenken <redacted>

lua-openssl: fix Lua detection with CMake 4.3

FindLuaJIT.cmake uses NO_DEFAULT_PATH and only searches hardcoded
luajit-specific paths, so it never finds regular Lua. However if
LUAJIT_INCLUDE_DIRS and LUAJIT_LIBRARY are pre-set in the CMake
cache, find_path/find_library skip their searches, the module sets
LUAJIT_FOUND=ON and also sets LUA_INCLUDE_DIR/LUA_LIBRARIES from
those values, and the if(NOT LUAJIT_FOUND) guard skips the broken
find_package(Lua REQUIRED) call that fails under CMake 4.3.

Signed-off-by: Alexandru Ardelean <redacted>

ci: mark and close PRs with formality issues

Add a recurring workflow that runs every day at 5:30 and marks all PRs
that have formality check failures (i.e. marked as 'not following
guidelines') that have not been active in the past 14 days as stale.
Close stale PRs after 14 more days.

Signed-off-by: George Sapkin <redacted>

adblock: update 4.5.5-2

- optimized pidfile handling in the init file
- multiple allowlist tweaks
- various small cornercase fixes & improvements
- LuCI: expose new UCI options 'adb_fetchcmd' and 'adb_fetchretry'
- readme update

Signed-off-by: Dirk Brenken <redacted>

boost: build libquadmath only on some archs

libquadmath is only packaged for x86 and powerpc targets in OpenWrt.
Declaring it as an unconditional runtime dependency of boost-charconv
causes apk installation failure on all other architectures (e.g.
i386, arm, mips) with "libquadmath (no such package)".

Guard the dependency with an ARCH filter so it is only pulled in on
platforms where the package actually exists.

Signed-off-by: Alexandru Ardelean <redacted>
boost: add x86 to libquadmath arch conditional in boost-charconv

libquadmath is available on x86 (i386) in addition to x86_64 and
powerpc variants. Include it in the filter so boost-charconv gets
the correct dependency on 32-bit x86 targets.

Signed-off-by: Alexandru Ardelean <redacted>

openzwave: add test.sh

MinOZW does not implement any --version flag, so skip the generic
version check. Just verify the binary is present and executable.

Signed-off-by: Alexandru Ardelean <redacted>

domoticz: fix build and add test.sh

boost::asio::post() without an explicit executor fails to compile with
Boost >= 1.82 due to changes in the executor model: bare lambdas no
longer have an implicit system executor that satisfies the
blocking.never requirement.

Pass io_context_ explicitly as the first argument so the handler is
dispatched on the correct io_context thread, which is the original
intent of the call (making stop() safe to call from any thread).

Add test.sh
domoticz is a daemon requiring a database and network port; it does not
implement a --version flag. Verify the binary is present and executable.

Disable LTO to fix link failure on i386 with musl fortify
Suggested via https://github.com/openwrt/packages/pull/29239
Also tested.

Signed-off-by: Alexandru Ardelean <redacted>

libre2: update to 2025-11-05

Bump to latest upstream snapshot (2025-11-05). re2 uses date-based
versioning from git. This brings roughly two years of upstream
improvements including performance optimisations, bug fixes, and
C++17/20 compatibility improvements.

Reference:
  https://github.com/google/re2/releases/tag/2025-11-05

Signed-off-by: Alexandru Ardelean <redacted>

Revert "adguardhome: added ujail dependency"

This commit was merged into the master branch by accident
and should be undone. Adding ujail as a hardcoded dependency
is incorrect, as ujail is meant to be an optional dependency.

A better approach is to implement ujail support within
the init script, which was discussed in the pull request
(https://github.com/openwrt/packages/pull/29277),
consistent with how other packages in the repository handle this.

Therefore, reverting for now.

This reverts commit e6b5141c7ea68f85b47abfd4904e0262782d43e3.

Signed-off-by: Josef Schlehofer <redacted>

libgpiod: add python-setuptools host build dep

If python3-gpiod is enabled and the python-setuptools host package is
missing, the setuptools.build_meta import will cause a build failure.
Fix this by adding a conditional build dependency.

Signed-off-by: Ernestas Kulik <redacted>

libgpiod: make Python bindings optional

The python3-light dependency gets lugged even with the package disabled,
so this commit makes python3-light a conditional dependency, similar to
gensio in 0c245fda70d580737ee30cc39d42bcca6ddd7f3e.

Signed-off-by: Ernestas Kulik <redacted>

mosquitto: fix installing libraries

Use cp instead of install when installing libraries to not follow
symlinks and create duplicate files.

Fixes: aa89f847 ("mosquitto: update to 2.0.18")
Signed-off-by: George Sapkin <redacted>

sed: update to v4.10

update to version v4.10, disable building gnulib-tests to avoid
compilation errors.

Add --disable-xattr to CONFIGURE_ARGS to avoid linking an unneeded
dependency.

Changes in sed since v4.9, from NEWS:

** Bug fixes

  sed 's/a/b/g' (and other global substitutions) now works on input
  lines longer than 2GB. Previously, matches beyond the 2^31 byte offset
  would evoke a "panic" (exit 4).
  [bug present since the beginning]

  'sed --follow-symlinks -i' no longer has a TOCTOU race that could let
  an attacker swap a symlink between resolution and open, causing sed to
  read attacker-chosen content and write it to the original target.
  [bug introduced in sed 4.1e]

  sed no longer falsely matches when back-references are combined with
  optional groups (.?) and the $ anchor.  For example, this no longer
  falsely matches the empty string at beginning of line:
    $ echo ab | sed -E 's/^(.?)(.?).?\2\1$/X/'
    Xab
  [bug present since "the beginning"]

  In --posix mode, sed no longer mishandles backslash escapes (\n,
  \t, \a, etc.) after a named character class like [[:alpha:]].
  For example, 's/^A\n[[:alpha:]]\n*/XXX/' would fail to match the
  trailing newline, treating \n as a literal backslash and an 'n'
  rather than a newline.  This happened when an earlier backslash
  escape in the same regex had already been converted, shifting the
  in-place normalization buffer.
  [bug introduced in sed 4.9]

  sed --debug no longer crashes when a label (":") command is compiled
  before the --debug option is processed, e.g., sed -f<(...) --debug.
  [bug introduced in sed 4.7 with --debug]

  sed no longer rejects the documented GNU extension 'a**' (equivalent
  to 'a*') in Basic Regular Expression (BRE) mode.  Previously, this
  worked only with -E (ERE mode), even though grep has always accepted
  it in BRE mode.
  [bug present since "the beginning"]

  sed no longer rejects "\c[" in regular expressions
  [bug present since the beginning]

  'sed --follow-symlinks -i' no longer mishandles an operand that is a
  short symbolic link to a long symbolic link to a file.
  [bug introduced in sed 4.9]

  Fix some some longstanding but unlikely integer overflows.
  Internally, 'sed' now more often prefers signed integer arithmetic,
  which can be checked automatically via 'gcc -fsanitize=undefined'.

** Changes in behavior

  In the default C locale, diagnostics now quote 'like this' (with
  apostrophes) instead of `like this' (with a grave accent and an
  apostrophe).  This tracks the GNU coding standards.

  'sed --posix' now warns about uses of backslashes in the 's' command
  that are handled by GNU sed but are not portable to other
  implementations.

** Build-related

  builds no longer fail on platforms without the <getopt.h> header or
  getopt_long function.
  [bug introduced in sed 4.9]

Signed-off-by: Russell Senior <redacted>

libfastjson: add missing runtime dependency on libm

libfastjson uses modf() from libm but does not declare the dependency.
With BIND_NOW (CONFIG_PKG_RELRO_FULL), this can cause the dynamic linker
to process libfastjson's relocations before libm's GOT is set up,
triggering a crash in libm's IFUNC resolver on PowerPC.

Fixes: https://github.com/openwrt/packages/issues/29160
Signed-off-by: micpf <redacted>

https-dns-proxy: update to 2026.03.18-1

Maintainer: me
Compile tested: x86_64, Dell EMC Edge620, OpenWrt 25.12.1
Run tested: x86_64, Dell EMC Edge620, OpenWrt 25.12.1

Description:
update to 2026.03.18, improve nftables rules

  - Update PKG_VERSION to 2026.03.18.
  - Set PKG_RELEASE to 1.
  - Update PKG_SOURCE_VERSION to 801881210ba8215dc9cd577222d8c10372423360.
  - Update PKG_MIRROR_HASH to 4c356c19b62fc7bdef3a67fd678e48f3659d709da10517c2eadef76e3409f5ce.

files/etc/init.d/https-dns-proxy:
  - Wrap the notrack chain in its own `inet https_dns_proxy_notrack`
    table. A top-level `chain` outside any table is invalid nftables
    syntax and is rejected on kernel 6.18+, breaking firewall load.
    Fixes mossdef-org/https-dns-proxy#7.
  - Syntax-check the generated snippet with `nft -c -f` after write
    and report OK/FAIL on the start path.
  - On remove, explicitly `nft delete table` in addition to removing
    the snippet file, so the live ruleset is cleaned up immediately
    rather than waiting for the next fw4 reload.

Signed-off-by: Stan Grishin <redacted>

adguardhome: added ujail dependency

In order to create a proper jail, we net the procd-ujail package.
Otherwise, AdGuardHome will run as unprivileged process,
and will not be able to listen on ports below 1024.

Signed-off-by: Alexander Krause <redacted>

zstd: add test.sh for script wrappers without --version

zstdgrep and zstdless are shell script wrappers that do not output a
version string, so the generic CI version check fails for them. Add a
test.sh case that verifies they are present and executable instead.

Signed-off-by: Alexandru Ardelean <redacted>

dbus: add test.sh for binaries without --version

dbus-utils utilities do not implement --version so the generic CI
version check fails for them. Add a test.sh case that verifies the
binaries are present and executable instead.

dbus-utils: dbus-monitor, dbus-send, dbus-test-tool
Signed-off-by: Alexandru Ardelean <redacted>

bluez: add test.sh for binaries without --version

Several bluez utilities do not implement --version so the generic CI
version check fails for them. Add test.sh cases that verify the
binaries are present and executable instead.

bluez-daemon: obexd
bluez-utils: bdaddr, ciptool, hciattach, hciconfig, l2ping, l2test, rctest
bluez-utils-extra: gatttool
Signed-off-by: Alexandru Ardelean <redacted>

semodule-utils: update to 3.10

Changes in 3.10:
- general bug fixes from libsepol (bounds statements in optional
  blocks, type attribute handling in role-types rule, NULL dereference
  and use-after-free fixes)
- treewide: add .clang-format configuration file

Signed-off-by: Alexandru Ardelean <redacted>

selinux-python: update to 3.10

Changes in 3.10:
- python/sepolicy: add support for DNF5
- sandbox/seunshare: replace system() with execv() to prevent shell
  injection vulnerability
- seunshare: always use translations when printing
- setfiles: add -A option to disable SELINUX_RESTORECON_ADD_ASSOC

Signed-off-by: Alexandru Ardelean <redacted>

python-semanage: update to 3.10

Changes in 3.10:
- improve semanage man pages: add examples for -r RANGE flag usage
- semanage: reset active value when deleting boolean customizations
- various libsemanage/libsepol bug fixes and security hardening

Signed-off-by: Alexandru Ardelean <redacted>

python-selinux: update to 3.10

Changes in 3.10:
- fix parsing of the enforcing kernel cmdline parameter
- build python module without isolation (Makefile fix)
- treewide: add .clang-format configuration file
- various libsepol bug fixes (NULL deref, use-after-free, MLS range
  validation, functionfs_seclabel policycap, bpf_token_perms polcap)

Signed-off-by: Alexandru Ardelean <redacted>

ci: relax subject and line length checks

Relax subject length checks to 60/80 and line length to 100 to match the
actions repo.

Link: https://github.com/openwrt/actions-shared-workflows/pull/95
Signed-off-by: George Sapkin <redacted>

glib2: split package into separate libraries

Existing package contains five libraries, some of which are > 1MB. Allow
packages which depend on only some of them to only pull in the ones they
need by splitting this package into finer-grained packages. Transition
can be done piecemeal as depending on glib2 will still pull in all the
libraries.

The original split commit (6bb0d6bd2) had a typo: the glib2 meta-package
used 'DEPENDS:+glib2-gthread +glib2-gio' (missing '='), which caused
the meta-package to have no effective dependencies. This meant packages
declaring '+glib2' did not get the sub-packages installed, causing APK
dependency checks to fail for all glib2 libraries across ~60 packages.

This re-applies the split with 'DEPENDS:=+glib2-gthread +glib2-gio'
(correct assignment syntax), so the meta-package properly pulls in all
sub-packages for consumers that still declare '+glib2'.

Signed-off-by: Alexandru Ardelean <redacted>
Signed-off-by: Alexandru Ardelean <redacted>

attr: add test.sh to handle version check

The generic CI test fails for /usr/bin/attr because that binary does
not implement --version. getfattr and setfattr do, so test those for
the version string and only verify attr is present and executable.

Signed-off-by: Alexandru Ardelean <redacted>

lua-openssl: fix CMake Lua detection in build

The CMakeLists.txt first tries FindLuaJIT.cmake which uses
NO_DEFAULT_PATH with hardcoded host paths, so it always fails in
cross-compilation. The fallback find_package(Lua REQUIRED) may also
fail to find a flat sysroot layout where lua.h lives at
/usr/include/lua.h rather than a versioned subdirectory.

Explicitly pass LUA_INCLUDE_DIR and LUA_LIBRARY to CMake to bypass
both finders, and depend on +liblua (the library package) instead of
+lua to ensure Build/InstallDev runs and Lua headers are present in
the staging directory before this package builds.

Signed-off-by: Alexandru Ardelean <redacted>

banip: release 1.8.8-1

- introduced a shared named nft limit (loglimit) referenced by
  all log rules instead of per-rule limits, aligning with kernel printk rate limits
- added new 'ban_logratelimit' and 'ban_logburstlimit' UCI options for tuning
   the shared log limit; setting ban_logratelimit=0 disables nft-side rate limiting
   entirely (useful for ulogd or other userspace log handlers that bypass printk)
- LuCI: made the new UCI option available (Log Settings)
- readme update

Signed-off-by: Dirk Brenken <redacted>

unzip: refresh patches

Fixes:
```
2026-04-28T14:55:09.6675796Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/0001-fix-heap-based-buffer-overflow-in-the-CRC32-verifica.patch' -> '/feed/utils/unzip/patches/0001-fix-heap-based-buffer-overflow-in-the-CRC32-verifica.patch'
2026-04-28T14:55:09.6707616Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/0002-fix-heap-based-buffer-overflow-in-the-test_compr_eb-.patch' -> '/feed/utils/unzip/patches/0002-fix-heap-based-buffer-overflow-in-the-test_compr_eb-.patch'
2026-04-28T14:55:09.6739766Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/0003-fix-heap-based-buffer-overflow-in-the-getZip64Data-f.patch' -> '/feed/utils/unzip/patches/0003-fix-heap-based-buffer-overflow-in-the-getZip64Data-f.patch'
2026-04-28T14:55:09.6770773Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/0004-fix-out-of-bounds-read-or-write-and-crash.patch' -> '/feed/utils/unzip/patches/0004-fix-out-of-bounds-read-or-write-and-crash.patch'
2026-04-28T14:55:09.6802381Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/0005-fix-heap-based-buffer-over-read-and-application-cras.patch' -> '/feed/utils/unzip/patches/0005-fix-heap-based-buffer-over-read-and-application-cras.patch'
2026-04-28T14:55:09.6832719Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/0006-fix-infinite-loop-because-of-an-empty-bzip2-data.patch' -> '/feed/utils/unzip/patches/0006-fix-infinite-loop-because-of-an-empty-bzip2-data.patch'
2026-04-28T14:55:09.6863943Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/0007-fix-error-to-prevent-unsigned-overflow.patch' -> '/feed/utils/unzip/patches/0007-fix-error-to-prevent-unsigned-overflow.patch'
2026-04-28T14:55:09.6895530Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/0008-fix-buffer-overflow-in-the-list_files-function.patch' -> '/feed/utils/unzip/patches/0008-fix-buffer-overflow-in-the-list_files-function.patch'
2026-04-28T14:55:09.6926806Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/0009-fix-buffer-overflow-in-the-zi_short-function.patch' -> '/feed/utils/unzip/patches/0009-fix-buffer-overflow-in-the-zi_short-function.patch'
2026-04-28T14:55:09.6958683Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/0010-unix.c-Remove-build-date.patch' -> '/feed/utils/unzip/patches/0010-unix.c-Remove-build-date.patch'
2026-04-28T14:55:09.6990350Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/0011-fix-heap-based-buffer-overflow-in-the-password-prote.patch' -> '/feed/utils/unzip/patches/0011-fix-heap-based-buffer-overflow-in-the-password-prote.patch'
2026-04-28T14:55:09.7023549Z '/builder/build_dir/target-aarch64_generic_musl/unzip-6.0/unzip60/patches/012-fix-gcc15-build.patch' -> '/feed/utils/unzip/patches/012-fix-gcc15-build.patch'
2026-04-28T14:55:09.7047649Z make[2]: Leaving directory '/feed/utils/unzip'
2026-04-28T14:55:09.7051724Z time: package/feeds/packages_ci/unzip/refresh#1.41#1.81#2.76
2026-04-28T14:55:09.7059428Z make[1]: Leaving directory '/builder'
2026-04-28T14:55:09.7071281Z ##[endgroup]
2026-04-28T14:55:09.7104892Z Dirty patches detected, please refresh and review the diff
```

Fixes: f9e7e2db94a768d24201df27c4b619e724f95536 ("unzip: add valid patche headers and missing CVE informations")
Signed-off-by: Josef Schlehofer <redacted>

coredns: fix netlink compat for wgsd plugin

wgsd (WireGuard Service Discovery plugin) pulls in
golang.zx2c4.com/wireguard/wgctrl -> mdlayher/genetlink v1.2.0 ->
mdlayher/netlink v1.6.2. This version of netlink calls
mdlayher/socket's Sendmsg/Recvmsg with the old API signatures
(pre-context.Context, single-return-value Sendmsg), but coredns
itself requires mdlayher/socket v0.5.1 which changed these
signatures to include context.Context and return (int, error).

Add a go get step that upgrades netlink to v1.7.2 after the wgsd
plugin dependencies are pulled in, ensuring the build uses a
netlink version compatible with socket v0.5.x.

Should fix:
  https://downloads.openwrt.org/snapshots/faillogs/i386_pentium-mmx/packages/coredns/compile.txt

```
../../../../../dl/go-mod-cache/github.com/mdlayher/netlink@v1.6.2/conn_linux.go:105:9: too many return values
have (int, error)
want (error)
../../../../../dl/go-mod-cache/github.com/mdlayher/netlink@v1.6.2/conn_linux.go:105:35: not enough arguments in call to c.s.Sendmsg
have ([]byte, nil, *"golang.org/x/sys/unix".SockaddrNetlink, number)
want (context.Context, []byte, []byte, "golang.org/x/sys/unix".Sockaddr, int)
../../../../../dl/go-mod-cache/github.com/mdlayher/netlink@v1.6.2/conn_linux.go:116:9: too many return values
have (int, error)
want (error)
../../../../../dl/go-mod-cache/github.com/mdlayher/netlink@v1.6.2/conn_linux.go:116:33: not enough arguments in call to c.s.Sendmsg
have ([]byte, nil, *"golang.org/x/sys/unix".SockaddrNetlink, number)
want (context.Context, []byte, []byte, "golang.org/x/sys/unix".Sockaddr, int)
../../../../../dl/go-mod-cache/github.com/mdlayher/netlink@v1.6.2/conn_linux.go:127:42: not enough arguments in call to c.s.Recvmsg
have ([]byte, nil, number)
want (context.Context, []byte, []byte, int)
../../../../../dl/go-mod-cache/github.com/mdlayher/netlink@v1.6.2/conn_linux.go:142:41: not enough arguments in call to c.s.Recvmsg
have ([]byte, nil, number)
want (context.Context, []byte, []byte, int)
github.com/aws/aws-sdk-go-v2/aws/protocol/query
github.com/aws/aws-sdk-go-v2/service/internal/accept-encoding
github.com/aws/smithy-go/private/requestcompression
```

Signed-off-by: Alexandru Ardelean <redacted>

syslog-ng: update to version 4.11.0

Release notes:
https://github.com/syslog-ng/syslog-ng/releases/tag/syslog-ng-4.11.0

Signed-off-by: Josef Schlehofer <redacted>

python3-ubus: update to 0.1.3

Bump to version 0.1.3 and drop patch, which is in upstream.

Signed-off-by: Erik Larsson <redacted>

prosody: fix PKG_HASH for 0.12.4

The prosody.im upstream updated the 0.12.4 tarball in-place, changing
its content without bumping the version. Update PKG_HASH to match the
currently published tarball.

Fixes: f4d305b73 ("prosody: update to 0.12.4")
Signed-off-by: Alexandru Ardelean <redacted>

banip: release 1.8.7-1

- fix log rate limit and drop throttling (#29255, #27990)
- serialize dedup writes via flock in f_down
- tighten RDAP CIDR validation and lock handling in f_monitor
- fix IPv6 prefix regex in f_search, simplify sed pattern in f_report
- readme update

Signed-off-by: Dirk Brenken <redacted>
Co-authored-by: Copilot <redacted>
Signed-off-by: Dirk Brenken <redacted>

mdio-netlink: update to Git HEAD (2026-04-14)

Signed-off-by: Robert Marko <redacted>

snort3: update to 3.12.2.0

Changelog: https://github.com/snort3/snort3/releases/tag/3.12.2.0

Signed-off-by: John Audia <redacted>

zoneinfo: updated to 2026b release

Updated package version and file hashes.

Signed-off-by: Vladimir Ulrich <redacted>

keepalived: bump PKG_RELEASE to 3

Bump PKG_RELEASE from 2 to 3.

Signed-off-by: Rishabh <redacted>

keepalived: update config for option track_script

Update config for option track_script in vrrp_instance to use vrrp_script
instead of track_script

Signed-off-by: Rishabh <redacted>

keepalived: remove config section track_script

Remove config section for track_script from keepalived.config
as it is not supported.

Signed-off-by: Rishabh <redacted>

keepalived: update config for vrrp_script section

Update config for vrrp_script in keepalived.config.
Add option name, direction and timeout in config.
Add some docs for option weight and option direction.

Signed-off-by: Rishabh <redacted>

keepalived: add option track_bfd in vrrp_instance

Update keepalived.config to add track_bfd option in vrrp_instance

Signed-off-by: Rishabh <redacted>

keepalived: add config for section peer

Update keepalived.config to add config for section peer.
`peer` is a section that can be used via 'list unicast_peer'

Signed-off-by: Rishabh <redacted>

keepalived: add config for bfd_instance

Add config for bfd_instance in keepalived.config.
This includes all currently supported options.

Signed-off-by: Rishabh <redacted>

keepalived: add config for track_script in sync group

Update keepalived.config to add track_script option in vrrp_sync_group

Signed-off-by: Rishabh <redacted>

keepalived: add option timeout in vrrp_script

Add option timeout in vrrp_script section.
This option specifies the timeout duration for script execution.

Signed-off-by: Rishabh <redacted>

keepalived: use section vrrp_script for option track_script

`track_script` and `vrrp_script` are both sections that run custom scripts
which handle priority of a vrrp_instance.
`track_script` is not supported by this uci implementation

`vrrp_instance` was still trying to fetch config for track_script from section
'track_script'.

After the changes, when listing track_script in vrrp_instance,
it tries to fetch config from section `vrrp_script` which is supported.

Signed-off-by: Rishabh <redacted>

keepalived: add track_script to vrrp_sync_group

Add logic to parse track_script section for vrrp_sync_group.
Keepalived supports script tracking in vrrp_sync_group but this was not
implemented by the uci implementation.

Note that if a vrrp_script is added to a sync group, you cannot use
priority/weight for that script as a vrrp_sync_group does not have a
priority/weight attached to it. It will do up/down as whole.

This option is optional and wouldn't affect any older configurations
during upgrade.

Signed-off-by: Rishabh <redacted>

keepalived: update print_unicast_peer_indent func

Added options min_ttl and max_ttl in section peer. These options are
supported by keepalived but were not supported by the uci implementation.

This allows accepting packets within a specific TTL range.

These options are optional and wouldn't affect any older configurations
during upgrade.

Signed-off-by: Rishabh <redacted>

keepalived: fix print_track_script_indent func

Removed unnecessary option value. This was not needed as option name is
already being used. Also removed a condition where the section was not
parsed if option value was not given. Value was being used to name the
script. Now the option name is used as the name when the script is called
in track_script.

Also added a condition where the section is not parsed if
option name is not given. This is because the script cannot be called if
it does not have a name.

No upgrade script is required.

The removed `value` option in `vrrp_script` was previously used to
identify scripts referenced by `track_script`. However, this mechanism
was non-functional:

- `track_script` attempted to reference a `track_script` section, which
  is not implemented in the UCI configuration.
- As a result, script references were not resolved correctly even if
  `value` was defined.

With this change, `track_script` now correctly references the
`vrrp_script` section, and the `name` option is used as the identifier.

Since the previous behavior was not working as intended, removing the
`value` option does not break any valid existing configurations.

Signed-off-by: Rishabh <redacted>

keepalived: use extended config_section open/close functions

The new updated config_section_open and close functions are now used in places
where they can be used. The following sections use these functions:

(inside vrrp_instance)
    - virtual_ipaddress
    - virtual_routes
    - track_script
    - track_interface
    - track_bfd
    - unicast_peer

Signed-off-by: Rishabh <redacted>

keepalived: add indent param in config_section_open/close

Add a parameter for indent in config_section_open and
config_section_close. Previously you had to separately add indents
while parsing if a section was inside another section.
Now this is supported by these two functions.
You can specify how much indent you need to add before opening or closing
a section.

Signed-off-by: Rishabh <redacted>

ddns-scripts: netcup.com adjust update error path

Adjust the update error handling path to avoid hard failures on
recoverable errors. This allows ddns to retry updates after the
configured retry interval and improves reliability.

Signed-off-by: Tim Flubshi <redacted>

ddns-scripts: netcup.com use json_load_file

Replace manual file loading via cat with json_load_file for parsing
JSON data. This uses the intended helper function and improves
code clarity and robustness.

Signed-off-by: Tim Flubshi <redacted>

ddns-scripts: fix netcup.com readonly variable

The netcup ddns update script fails on subsequent runs because a
readonly variable is assigned again. Fix this by removing the readonly
declaration to allow repeated execution.

Signed-off-by: Tim Flubshi <redacted>

treewide: avoid deref symlinks when installing .so

Deduplicate files

Signed-off-by: Josef Schlehofer <redacted>

csshnpd: bump to c1.0.18 release

Upstream release aligned to Mbed-TLS 3.6.6

Signed-off-by: Chris Swan <redacted>

nut: ensure correct upsmon settings names

Prompted by
https://github.com/openwrt/luci/pull/8420#issuecomment-4071252681
we update upsmon configs to ensure they are correct according to
upstream. We reorder the options so that they match upstream
documentation at
<https://networkupstools.org/docs/man/upsmon.conf.html> to be sure
we have not missed any items.
While at it, we add configuration options from the upstream
documentation that are not currently present in the UCI configs.

Some years ago upstream changed the names the primary/secondary
UPS system/monitor from master/slave to primary/secondary. It
is uncertain how much longer these deprecated names will be
accepted by NUT.
Therefore update naming to match upstream documentation and
configuration. See
<https://networkupstools.org/docs/man/upsmon.html>,
<https://networkupstools.org/docs/man/upsmon.conf.html>, and
<https://networkupstools.org/docs/man/upsd.users.html>.

At the same time, prompted by
https://github.com/openwrt/packages/pull/28875#issuecomment-4079307540
we simplify the configuration and add checks to avoid bad configs
due to misspellings/typos of configuation options by users.

A sample config

config upsmon 'upsmon'
       option notifycmd '/usr/bin/logger -t nut-monitor-exec '

config monitor
        option type primary
        option upsname upsname
        option hostname localhost
        option username upsuser
        option password upspassword

config notifications 'ONLINE'
        option message "UPS %s is on line power"
        option flag "SYSLOG"

config notifications 'ONBATT'
        option message "UPS %s is on battery power"
        option flag "SYSLOG+EXEC"

In order to iterate through the notifications, we use named
'notifications' sections and compare the section name to list of
notification events defined by NUT. If they don't match, warn
during initscript startup.

Signed-off-by: Daniel F. Dickinson <redacted>

Revert "gkrellmd: use finer-grained dependencies on glib2"

This is a follow-up revert. Since the underlying commit was reverted,
this one must be reverted too to avoid breakage. See commit e46654db2  for context.

This reverts commit f74183a2395cb4441ae5ebcb5691b18c8756e3b6.

Signed-off-by: Josef Schlehofer <redacted>

Revert "glib2: split package into separate libraries"

It causes multiple failures, which I noticed on OpenWrt buildbots [1]
for several packages [2].

It appears this change wasn't fully tested against a complete build
with all packages. Reverting for now until the issue is resolved.

[1] https://downloads.openwrt.org/snapshots/faillogs/
[2] https://github.com/openwrt/packages/pull/22544

This reverts commit 6bb0d6bd2a3afd2c5cbd6ea6dad8f050006bc52d.

Signed-off-by: Josef Schlehofer <redacted>

podman: update to 5.8.2

- adjust Makefile

Signed-off-by: nantayo <redacted>

python-zope-event: fix build with setuptools >= 81

The pyproject.toml for zope.event 6.1 specifies a strict build
dependency of setuptools>=78.1.1,<81. We currently package
setuptools>=81, causing pip to report a missing dependency and
fail the build.

Add patch 001-relax-setuptools-version.patch to drop the <81 upper
bound, allowing the package to build with any recent setuptools.

Add test.sh to verify the installed version and exercise the core
event API (subscribers list, notify(), event dispatch).

Signed-off-by: Alexandru Ardelean <redacted>

strongswan: update to 6.0.6

No significant functional changes.

Signed-off-by: Philip Prindeville <redacted>

prosody: update to 0.12.4

Release notes: https://blog.prosody.im/prosody-0.12.4-released/

Co-authored-by: BKPepe <redacted>

gkrellmd: use finer-grained dependencies on glib2

Following the split of glib2, depend on the more fine-grained packages
to reduce the installed size. Gkrellmd only needs to depend on the core glib2
library, gmodule and gthread, and not on gobject or gio.

Signed-off-by: Peter Denison <redacted>

glib2: split package into separate libraries

Existing package contains five libraries, some of which are > 1MB. Allow
packages which depend on only some of them to only pull in the ones they
need by splitting this package into finer-grained packages. Transition
can be done piecemeal as depending on glib2 will still pull in all the
libraries.

Signed-off-by: Peter Denison <redacted>

lua-openssl: update to 0.11.1

Update Makefile with the version
Remove LuaJIT fix patch - No longer needed
Add "ts-time-cb-signature" patch - Fixes build on various platforms

Signed-off-by: Amnon Paz <redacted>

xtables-addons: bump 3.30 and fix LUA build on 6.18

This upstream release allows clean builds against linux 6.18. Fix LUA
PacketScript build on 6.18 by switching to ccflags-y and restoring the
required -isystem include path. Remove compat_xtables since the module
no longer exists in 3.30 and drop all dependent kmod references.

Fix CI build failure with backport:
600-xt_pknock-fox-do_div-signness-mismatch.patch

Note that upstream tarball changed from xz to zst.

Signed-off-by: John Audia <redacted>

docker: bump to 29.4.1

Fix build issues and disable building for all MIPS variants.

Changes: https://docs.docker.com/engine/release-notes/27/
Changes: https://docs.docker.com/engine/release-notes/28/
Changes: https://docs.docker.com/engine/release-notes/29/#2941
Signed-off-by: George Sapkin <redacted>

dockerd: bump to 29.4.1

Disable building for all MIPS variants.

Changes: https://docs.docker.com/engine/release-notes/27/
Changes: https://docs.docker.com/engine/release-notes/28/
Changes: https://docs.docker.com/engine/release-notes/29/#2941
Co-authored-by: Gerard Ryan <redacted>
Signed-off-by: George Sapkin <redacted>

containerd: bump to to 2.2.3

Disable building for all MIPS variants.

Changes: https://github.com/containerd/containerd/releases/tag/v1.7.23
Changes: https://github.com/containerd/containerd/releases/tag/v2.0.0
Changes: https://github.com/containerd/containerd/releases/tag/v2.0.1
Changes: https://github.com/containerd/containerd/releases/tag/v2.0.2
Changes: https://github.com/containerd/containerd/releases/tag/v2.0.3
Changes: https://github.com/containerd/containerd/releases/tag/v2.0.4
Changes: https://github.com/containerd/containerd/releases/tag/v2.0.5
Changes: https://github.com/containerd/containerd/releases/tag/v2.1.0
Changes: https://github.com/containerd/containerd/releases/tag/v2.1.1
Changes: https://github.com/containerd/containerd/releases/tag/v2.1.2
Changes: https://github.com/containerd/containerd/releases/tag/v2.1.3
Changes: https://github.com/containerd/containerd/releases/tag/v2.1.4
Changes: https://github.com/containerd/containerd/releases/tag/v2.1.5
Changes: https://github.com/containerd/containerd/releases/tag/v2.2.0
Changes: https://github.com/containerd/containerd/releases/tag/v2.2.1
Changes: https://github.com/containerd/containerd/releases/tag/v2.2.2
Changes: https://github.com/containerd/containerd/releases/tag/v2.2.3
Co-authored-by: Gerard Ryan <redacted>
Signed-off-by: George Sapkin <redacted>

runc: bump to 1.3.5

Disable building for all MIPS variants.

Changes: https://github.com/opencontainers/runc/releases/tag/v1.1.15
Changes: https://github.com/opencontainers/runc/releases/tag/v1.2.0
Changes: https://github.com/opencontainers/runc/releases/tag/v1.2.1
Changes: https://github.com/opencontainers/runc/releases/tag/v1.2.2
Changes: https://github.com/opencontainers/runc/releases/tag/v1.2.3
Changes: https://github.com/opencontainers/runc/releases/tag/v1.2.4
Changes: https://github.com/opencontainers/runc/releases/tag/v1.2.5
Changes: https://github.com/opencontainers/runc/releases/tag/v1.2.6
Changes: https://github.com/opencontainers/runc/releases/tag/v1.3.1
Changes: https://github.com/opencontainers/runc/releases/tag/v1.3.2
Changes: https://github.com/opencontainers/runc/releases/tag/v1.3.3
Changes: https://github.com/opencontainers/runc/releases/tag/v1.3.4
Changes: https://github.com/opencontainers/runc/releases/tag/v1.3.5
Signed-off-by: George Sapkin <redacted>

ovpn-dco: work around EIP-197 incompatibility

ovpn-dco is currently incompatible with the SafeXcel EIP-197
cryptographic engine. Disable async until this is fixed.

Signed-off-by: Qingfang Deng <redacted>

boinc: version 8.2.11

Bump boinc version to 8.2.11

Signed-off-by: Hector Espert <redacted>

https-dns-proxy: update to 2025.12.29-5

Maintainer: me
Compile tested: x86_64, Dell EMC Edge620, OpenWrt 25.12.1
Run tested: x86_64, Dell EMC Edge620, OpenWrt 25.12.1

Description:Add nftables notrack for localhost traffic

  - Removed. License is now included in the main project.

net/https-dns-proxy/Makefile:
  - Bumped PKG_RELEASE to 5.

net/https-dns-proxy/files/etc/config/https-dns-proxy:
  - Added 'option notrack_dns '1'' to the default configuration.

net/https-dns-proxy/files/etc/init.d/https-dns-proxy:
  - Defined NOTRACK_NFT_FILE constant.
  - Added 'notrack_dns' and 'notrack_ports' variables.
  - Implemented 'notrack_nft' function to manage nftables rules for notracking local DNS traffic.
  - Enabled loading of 'notrack_dns' boolean from configuration.
  - Modified start_instance to collect listen_port into notrack_ports if notrack_dns is enabled.
  - Modified start_service to call notrack_nft update/remove based on notrack_dns and collected ports.
  - Modified stop_service to call notrack_nft remove.
  - Updated service_started and service_stopped to trigger firewall config changes when notrack_dns is enabled.

Signed-off-by: Stan Grishin <redacted>

semodule-utils: add test.sh

Add a bit of smoke testing for the CI.

Signed-off-by: Alexandru Ardelean <redacted>

selinux-python: fix cross-compilation, add test.sh

Add --no-build-isolation to PYTHON_SETUP_ARGS. Without it, pip creates
an isolated build environment which fails during cross-compilation
because _sysconfigdata is missing for the target arch.

Add test.sh verifying python3-sepolgen module loads correctly and
selinux-audit2allow binary is functional.

Signed-off-by: Alexandru Ardelean <redacted>

python-semanage: fix cross-compilation, add test.sh

Add HOST_PYTHON3_PIP_VARS and --no-build-isolation to MAKE_VARS.
Without --no-build-isolation, pip creates an isolated build environment
which fails during cross-compilation because _sysconfigdata is missing.
Aligns with python-selinux which already has this fix.

The libsemanage pywrap uses the host Python's EXT_SUFFIX to name the
C extension, so we will use the PYCEXT env-var to correct that.

Add basic test.sh to verify the semanage Python bindings load correctly
in environments without SELinux kernel support.

Signed-off-by: Alexandru Ardelean <redacted>

python-selinux: fix cross-compilation, add test.sh

Add --no-build-isolation to PYTHON_SETUP_ARGS. Without it, pip creates
an isolated build environment which fails during cross-compilation
because _sysconfigdata is missing for the target arch.

Add test.sh with basic import and API sanity checks.

Signed-off-by: Alexandru Ardelean <redacted>

adblock-fast: update to 1.2.2-18

* Switch Hagezi URL to a more compact higher-level only domains list as we
  prefer it anyways and there's less processing (thanks @dave14305)
* When update_config_sizes is unset, save collected sizes to RAM to improve
  luci app performance (thanks @sshaikh)

Signed-off-by: Stan Grishin <redacted>

telegraf: enable static linking for arm targets

- Fixes "2.44 assertion fail elf32-arm.c:9910" build error

Signed-off-by: Niklas Thorild <redacted>

telegraf: update to 1.38.3
- Update Telegraf to v1.38.3

Signed-off-by: Niklas Thorild <redacted>

coredns: update to 1.14.3

Changelog: https://github.com/coredns/coredns/releases/tag/v1.14.3

CVE-2026-32282, CVE-2026-32289, CVE-2026-33810, CVE-2026-27144,
CVE-2026-27143, CVE-2026-32288, CVE-2026-32283, CVE-2026-27140.

Signed-off-by: Vladimir Ermakov <redacted>

valkey: add new package

Valkey is a community fork of the  key-value database Redis.
It is a drop in replacement to Redis so most of the files are
derived from their Redis equivalent.

Co-authored-by: George Sapkin <redacted>
Signed-off-by: Matthew Cather <redacted>

frp: bump to 0.68.1

Changes: https://github.com/fatedier/frp/releases/tag/v0.67.0
Changes: https://github.com/fatedier/frp/releases/tag/v0.68.0
Changes: https://github.com/fatedier/frp/releases/tag/v0.68.1
Co-Authored-by: Peiyuan Song <redacted>
Signed-off-by: Roc Lai <redacted>

pbr: update to 1.2.2-r14

fix: avoid unnecessary dnsmasq restarts (thanks @egc112)
fix: insert, not add dns policies to ensure higher priority than the DNS
     hijack rules (thanks @egc112)

Signed-off-by: Stan Grishin <redacted>

banip: update 1.8.6-4

* fixed report generation and housekeeping
* added missing code/function comments

Signed-off-by: Dirk Brenken <redacted>

python3-django-cors-headers: update to 4.9.0; add test.sh

Major changes since 3.10.0:

4.0:
- add CORS_ALLOW_PRIVATE_NETWORK setting for Local Network Access spec support
- add async middleware support, reducing overhead on async views
- remove deprecated CORS_REPLACE_HTTPS_REFERER and CorsPostCsrfMiddleware
- remove three header names from default allowed list (accept-encoding, dnt, origin)

4.3:
- fix access-control-allow-credentials header not being omitted on
  non-allowed responses

4.6:
- drop support for Django 3.2 through 4.1

4.9:
- add Django 6.0 support
- tighten validation of sequence-type settings (e.g. CORS_ALLOW_METHODS)

Add PYPI_SOURCE_NAME:=django_cors_headers as the 4.x sdist uses
underscores in the filename.

Signed-off-by: Alexandru Ardelean <redacted>

vobject: update to 0.9.9; add test.sh

Changelog since 0.9.6.1:
- add product version number to the PRODID tag in iCalendar output
- add support for GEO tags in vCards
- various bugfixes and compatibility improvements

Also need to update setup.cfg at build time to insert the version
to allow the package to build.
Otherwise we get
```
2026-04-21T08:17:17.9341927Z   File "/builder/staging_dir/hostpkg/lib/python3.14/site-packages/setuptools/config/setupcfg.py", line 296, in __setitem__
2026-04-21T08:17:17.9342520Z     parsed = self.parsers.get(option_name, lambda x: x)(value)
2026-04-21T08:17:17.9343117Z   File "/builder/staging_dir/hostpkg/lib/python3.14/site-packages/setuptools/config/setupcfg.py", line 602, in _parse_version
2026-04-21T08:17:17.9343777Z     return expand.version(self._parse_attr(value, self.package_dir, self.root_dir))
2026-04-21T08:17:17.9344201Z                           ~~~~~~~~~~~~~~~~^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
2026-04-21T08:17:17.9344938Z   File "/builder/staging_dir/hostpkg/lib/python3.14/site-packages/setuptools/config/setupcfg.py", line 421, in _parse_attr
2026-04-21T08:17:17.9345544Z     return expand.read_attr(attr_desc, package_dir, root_dir)
2026-04-21T08:17:17.9345876Z            ~~~~~~~~~~~~~~~~^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
2026-04-21T08:17:17.9346409Z   File "/builder/staging_dir/hostpkg/lib/python3.14/site-packages/setuptools/config/expand.py", line 191, in read_attr
2026-04-21T08:17:17.9346947Z     return getattr(module, attr_name)
2026-04-21T08:17:17.9347261Z AttributeError: module 'vobject' has no attribute 'VERSION'
2026-04-21T08:17:17.9598878Z
```

Signed-off-by: Alexandru Ardelean <redacted>

numpy: update to 2.4.4

Patch release with stability and correctness fixes over 2.4.3:
- fix memory leak in certain array creation paths
- fix thread-safety issues in ufunc dispatch
- fix hash collisions in np.isin() on certain inputs
- fix OpenBLAS threading hang on ARM targets
- miscellaneous annotation and documentation improvements

Signed-off-by: Alexandru Ardelean <redacted>

scapy: update to 2.7.0; add test.sh

Update scapy to version 2.7.0.

Add python-setuptools/host to PKG_BUILD_DEPENDS as the package
uses setuptools as its build backend.

Changelog: https://github.com/secdev/scapy/blob/master/doc/scapy/installation.rst
Signed-off-by: Alexandru Ardelean <redacted>

python-flask-babel: update to 4.0.0; add test.sh

Changes since 3.1.0:
- drop Python 3.7 support; add PyPy 3.9 compatibility
- replace deprecated locked_cached_property with cached_property

Signed-off-by: Alexandru Ardelean <redacted>

python-chardet: update license to 0BSD

Upstream changed the project license to 0BSD.

Signed-off-by: Wei-Ting Yang <redacted>

snowflake: update to 2.13.1

Changelog:
https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/snowflake/-/blob/v2.13.1/ChangeLog?ref_type=tags

Signed-off-by: Nick Hainke <redacted>

cloudflared: support multiple upstream interfaces.
support multiple upstream interfaces in config.

Signed-off-by: kouhei-ioroi <redacted>

libjemalloc: update to 5.3.1

Routine version bump.  Lots of bugfixes and optimizations.

Signed-off-by: Philip Prindeville <redacted>