tailscale: update to 1.94.1

Changelog: https://tailscale.com/changelog#2026-01-26
Signed-off-by: Sandro Jäckel <sandro.jaeckel@gmail.com>

faad2: update to 2.11.2

Remove no longer used CONFIGURE_ARGS since the conversion to CMake.

Remove patented stuff. Red Hat Legal seems to have approved its
inclusion into Fedora without any flags disabling SBR. If it's good
enough for Red Hat it's good enough for OpenWrt.

Signed-off-by: Rosen Penev <rosenp@gmail.com>

mstflint: update to 4.34.1-3

This commit updates the mstflint package
to the latest 4.34.1-3 release.

Release notes:
https://github.com/Mellanox/mstflint/releases/tag/v4.34.1-3

Signed-off-by: Til Kaiser <mail@tk154.de>

ci: bump HyperStickler to v1-rc.1

Update HyperStickler and disable branch check.

Changes: https://github.com/GeorgeSapkin/hyperstickler/releases/tag/v1-rc.1
Signed-off-by: George Sapkin <george@sapk.in>

ci: add day of the week and labels to dependabot

Run dependabot every Saturday and label PRs with GitHub/CI and
dependencies labels.

Signed-off-by: George Sapkin <george@sapk.in>

adblock-fast: update to 1.2.1-3

* add an option dnsmasq_validity_check to enable removal of invalid
  domains from the final dnsmasq files
* renamed option sanity_check to dnsmasq_sanity_check
* better names for Format Filters and Parse Filters variables

Signed-off-by: Stan Grishin <stangri@melmac.ca>

docker-compose: Update to version 5.0.2

Release notes:
https://github.com/docker/compose/releases/tag/v5.0.2

Signed-off-by: Javier Marcet <javier@marcet.info>

libimobiledevice: fix dependency on libtatsu

libtatsu is a dependency only for libimobiledevice-utils
the library itself does not use it during build, and is a
core component for iPhone tethering, while the utils are optional

move the dependency to the utils, to reduce the build size:
libtatsu depends on libcurl, which is compiled with a TLS library,
so users of prebuilt packages are forced to install both
OpenSSL and mbed TLS. This patch removes the unnecessary dependency.

Fixes: https://github.com/openwrt/packages/issues/28427
Signed-off-by: Georgi Valkov <gvalkov@gmail.com>

ddns-scripts: add namesilo.com

new service provider namesilo.com

config guide:
* set [domain] to apex domain
* set [username] to subdomain (without apex domain)
* set [password] to api key

Signed-off-by: Lin Fan <im.linfan@gmail.com>

adblock: update 4.5.0-4

* add interface information to the dns report
* support multiple tcpdump interfaces ('any') in the dns report properly

Signed-off-by: Dirk Brenken <dev@brenken.org>

ci: bump actions/checkout from 5 to 6

Bumps [actions/checkout](https://github.com/actions/checkout) from 5 to 6.
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/v5...v6)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-version: '6'
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

samba4: fix compiling bundled Kerberos

Fix compiling bundled Kerberos library on several 32-bit architectures
by linking with libatomic.

Disable kernel keyring being picked up from a dirty buildbot
environment.

Signed-off-by: George Sapkin <george@sapk.in>

samba4: remove pthread dependency

Remove libpthread dependency since it's integrated into libc.

Signed-off-by: George Sapkin <george@sapk.in>

samba4: sort arguments and dependencies

Lexicographically sort configuration arguments and dependencies.

Signed-off-by: George Sapkin <george@sapk.in>

ci: add dependabot

Add dependabot config to automatically check for action updates once a
week and open PRs if any are found.

Signed-off-by: George Sapkin <george@sapk.in>

liboil: remove package

This software seems no longer maintained by upstream.
The latest upstream release is 16 years ago,
and no package depends on this.

Signed-off-by: Yanase Yuki <dev@zpc.st>

ostiary: remove package

This software seems no longer maintained by upstream.
Both PKG_SOURCE_URL and URL are dead, and
no package depends on this.

Signed-off-by: Yanase Yuki <dev@zpc.st>

python3: error on host python path too long

Error if shebang to host python interpreter would exceed 127 characters
(124 characters plus shebang and newline). This is used to alert user
when python-installer would fail to correctly set a Python program's
shebang line.

Closes: https://github.com/openwrt/packages/issues/28310
Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

crowdsec: remove go version tag

Let crowdsec build system set go version itself.

Link: https://github.com/openwrt/packages/pull/28309
Signed-off-by: George Sapkin <george@sapk.in>

golang: add generic package definition

Move version definition to a helper file so multiple versions can be
easily defined using it.

Variables HOST_GO_VARS, PKG_GO_ASMFLAGS, PKG_GO_GCFLAGS,
PKG_GO_INSTALL_ARGS, PKG_GO_LDFLAGS, PKG_GO_VARS, and
PKG_GO_ZBOOTSTRAP_MODS are defined using conditional variable
assignment and can be overridden for each go version.

Link: https://github.com/openwrt/packages/pull/28309
Signed-off-by: George Sapkin <george@sapk.in>

golang: add versioned package for 1.25

Add versioned package for 1.25 to enable having multiple host go
versions side by side.

Set default version to 1.25 in golang-values.mk

Add unversioned dummy package to allow go-based packages to continue
using the default go host version. Packages can use it by specifying:

PKG_BUILD_DEPENDS:=golang/host

or use a specific version out of the ones that are available in that
branch by specifying:

PKG_BUILD_DEPENDS:=golang1.25/host

Host go is exposed to each package through PATH set in
GO_PKG_BUILD_CONFIG_VARS and GO_PKG_VARS.

Target go is installed through alternatives with the default version
having higher priority.

Newer versions can reuse older ones as bootstraps by setting
GO_BOOTSTRAP_VERSION package variable to older version, e.g.:

GO_BOOTSTRAP_VERSION:=1.24

All subpackages provide suffix-less names, e.g. golang, golang-src, etc.
Default versions are marked as default variants.

Link: https://github.com/openwrt/packages/pull/28309
Signed-off-by: George Sapkin <george@sapk.in>

golang: split bootstrap into a separate package

Split bootstrap into a new package to enable multiple versions of go to
reuse the same bootstrap.

Add more source mirrors.

Link: https://github.com/openwrt/packages/pull/28309
Signed-off-by: George Sapkin <george@sapk.in>

golang: add SPDX license identifiers

Link: https://spdx.org/licenses/GPL-2.0-only.html
Link: https://github.com/openwrt/packages/pull/28309
Signed-off-by: George Sapkin <george@sapk.in>

domoticz: fix chown call

Busybox's chown stops reading the username at the dot, so only user was
changed and the group remained as root. Properly use ':' instead of '.'
as the delimeter.

Fixes: a98239c "domoticz: update to 3.9571 and clean up FHS handling"
Signed-off-by: Eugenio Pérez <eupm90@gmail.com>
[add PKG_RELEASE bump, modify commit message, add Fixes line]
Signed-off-by: Hannu Nyman <hannu.nyman@iki.fi>

adblock: update 4.5.0-3

* fixed a potential deadlock during startup, when dns reporting is disabled

Signed-off-by: Dirk Brenken <dev@brenken.org>

golang: bump to 1.25.6

Fixes: CVE-2025-61726
Fixes: CVE-2025-61728
Fixes: CVE-2025-61730
Fixes: CVE-2025-61731
Fixes: CVE-2025-68119
Fixes: CVE-2025-68121
Link: https://github.com/golang/go/issues?q=milestone%3AGo1.25.6+label%3ACherryPickApproved
Signed-off-by: David Mandy <smallprogramzhusir@gmail.com>

irqbalance: update to version 1.9.5

Update to version 1.9.5

* Use upstream meson.build file, as they now support meson
  * patch it locally to continue using static glib linking

* Disable numa, systemd and thermal functions via meson options

* Resurrect the patch to silence repetitive EINVAL warnings.
  (patch was used with 1.9.3, but was not needed with 1.9.4)
  Related discussion in upstream issue 336 and 349

Signed-off-by: Hannu Nyman <hannu.nyman@iki.fi>

tinyproxy: support DisableViaHeader option

This option is required for the proxy to be transparent, and has been
supported since at least 2009. Description taken from upstream.

Signed-off-by: Xu Wang <xwang1498@gmx.com>

lxc: fix meson.build on esoteric host systems

When building lxc's meson.build tries to infer
something for the target system out of the host
build OS. This isn't reproducible and can actually
fail on some OS' like NixOS.

The failure looked like this, early in the
building stage of lxc:

> ../../../../build_dir/target-aarch64_cortex-a53_musl/lxc-6.0.5/meson.build:166:8: ERROR: Problem encountered: "distrosysconfdir" is not set

The /etc/default seems to be something that is
derived on most host systems, so use that as the
explicit config.

This fixes building lxc on NixOS and similar.

This also makes the build more pure and
reproducible. Before this commit building the same
set of checkouts, same config would yield
different lxc artifacts on RedHat and Ubuntu.
It was probably harmless though.

This also removes inactive maintainer from the
Makefile.

Signed-off-by: Michal Kazior <michal@plume.com>

coova-chilli: update to 1.8

Switch back to tarballs as upstream makes one available.

Remove upstreamed patches.

Signed-off-by: Rosen Penev <rosenp@gmail.com>

libmariadb: update to 3.4.8

This release is needed in order to build against the 6.18 kernel.

Removed upstreamed: 020-gcc15.patch

Signed-off-by: John Audia <therealgraysky@proton.me>

lpc21isp: remove package

This software seems no longer maintained.
The latest upstream commit is 11 years ago,
and no package depends on this.

Signed-off-by: Yanase Yuki <dev@zpc.st>

tayga: transfer maintainership

As suggested by Ondřej Caletka in
https://github.com/openwrt/packages/pull/28240
transfer maintainership to myself.

Signed-off-by: Goetz Goerisch <ggoerisch@gmail.com>

tayga: update to 0.9.6

Release notes: https://github.com/apalrd/tayga/releases/tag/0.9.6

Manually refreshed patch 002-bigendian_wrong_checksum.patch

Signed-off-by: Goetz Goerisch <ggoerisch@gmail.com>

samba4: bump to 4.22.7

https://www.samba.org/samba/history/samba-4.22.7.html

Signed-off-by: Javier Marcet <javier@marcet.info>

python-greenlet: update to 3.3.1

Removed MIPS16 hacks. They were fixed upstream and didn't work anyway.

Signed-off-by: Rosen Penev <rosenp@gmail.com>

php8: small maintainance cleanups

- align the config option names
- re-order the configuration options
- add some help text
- drop obsolete notes regarding older PHP versions and obsolete CONFLICT
- remove (meanwhile) unrecognized configure options

Signed-off-by: Michael Heimpold <mhei@heimpold.de>

haproxy: implement force_reload init option

- It will be used for acme-renew events
- Fixes issue #28038

Signed-off-by: Christian Lachner <gladiac@gmail.com>

snort3: update to 3.10.2.0

New upstream release. Changelog:
appid: configurable midstream service discovery
appid: prefer QUIC client appid over SSL
appid: prevent out-of-bounds read in bootp option parsing
appid: prevent out-of-bounds read in sslv2 server-hello detection
control: refactor connection ownership model and improve thread safety
extractor: avoid reporting default values for missing SSL fields
file_api: coverity fix
flow: refactor dump_flows command to dump flow state in binary format
mime: fix compile issues
react: block flow when packets are not reset candidates
show_flows: implement utility program to convert dump_flows binary files to text Flow state data for each flow
smtp: handle split CRLF in multi-line response parsing
ssl: ssl client hello event is published with empty hostname

% snort --version
       ,,_     -*> Snort++ <*-
      o"  )~   Version 3.10.2.0
       ''''    By Martin Roesch & The Snort Team
               http://snort.org/contact#team
               Copyright (C) 2014-2025 Cisco and/or its affiliates. All rights reserved.
               Copyright (C) 1998-2013 Sourcefire, Inc., et al.
               Using DAQ version 3.0.24
               Using Vectorscan version 5.4.12 2026-01-11
               Using libpcap version 1.10.5 (with TPACKET_V3)
               Using LuaJIT version 2.1.0-beta3
               Using LZMA version 5.8.1
               Using OpenSSL 3.5.4 30 Sep 2025
               Using PCRE2 version 10.47 2025-10-21
               Using ZLIB version 1.3.1

Signed-off-by: John Audia <therealgraysky@proton.me>

snort3: update to 3.10.1.0

New upstream release. Changelog:
alert_fast: ensure call_once definition doesn't collide in std vs glibc, thanks to krag on GitHub for suggesting this fix
alert_json: add support for logging appid, thanks to ssam18 on GitHub for suggesting this change
appid: add check to avoid setting brute force state for pending sessions that are pruned
appid: allow out-of-order packet inspection in third-party engine
appid: check for Lua table errors during initialization and cleanup
appid: enable out-of-order inspection by default
appid: fix client process regex mapping logic
appid: fix eve process handler event debug logging
appid: fix setting global ssh ignore flag
appid: fix size check in TFTP service detector
appid: mDNS TXT records parsing and deviceinfo event generation
appid: prevent multiple out-of-bounds reads in ssl
build: address compilation warnings
build: fix Coverity warnings in related components
cmake: fix pkg-config path for libdir, thanks to brianmcgillion on GitHub for submitting a similar fix
decoder: adding encode function for TransbridgeCodec
dns: add fix infinite recursion vulnerability
file: use new EVP functions rather than deprecated SHA functions
flow: add logs to show different ways a flow can fail to create
ftp_telnet: fix coverity errors and improve cmd_len configurability
ftp_telnet: fix ftp_cmd_pipe_index handling
ftp_telnet: Handle malformed traffic in ftp to generate alert
hash: update hashes to use new EVP functions, thanks to
http_inspect: add urlencoded to content-type list
http_inspect: fix coverity error
iec104: fix IEC 104 SQ0 bounds checks by removing duplicate asdu_size_map entries and using IO_GROUP sizes, preventing out-of-bounds reads
iec104: validate Type I length to prevent ASDU out-of-bounds read
ips_options: fix cursor position for byte_extract
ips_options: reset PCRE rule counts on new configuration loaded
main: update dioctl daqSnort latency common change
mime: add unit tests for data fitting memory limit
mime: add unit tests for data over memory limit
mime: add unit tests for file logging
mime: fix mime boundary parsing
mime: ignore field collection if not configured
mime: implement content parsing of multipart/form_data
mime: improve form-data collection for incomplete boundaries
mime: leave room for null-character in case of size limit hit
mime: remove unused forward-declaration
mime: rename class field to comply with the style
mime: return error code if cannot add headers for logging
pub_sub: add is_urlencoded method
sip: fix out-of-bounds reads in sip_parse_sdp_m
smb,dlp: update filename,filesize of FileInfo handling to enable dlp evaluation for repeated txns
smtp: usage of config cmds
snort2lua: fix failure in converting patterns containing commas
snort_ml: enable client body scanning by default
snort_ml: scan multipart form data
ssl: free certificate data if certificate length is 0
ssl: tls client hello check out of bounds fix
unified2: use proper API for obtaining VLAN ID from packet

% snort --version

   ,,_     -*> Snort++ <*-
  o"  )~   Version 3.10.1.0
   ''''    By Martin Roesch & The Snort Team
           http://snort.org/contact#team
           Copyright (C) 2014-2025 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using DAQ version 3.0.24
           Using Vectorscan version 5.4.12 2026-01-11
           Using libpcap version 1.10.5 (with TPACKET_V3)
           Using LuaJIT version 2.1.0-beta3
           Using LZMA version 5.8.1
           Using OpenSSL 3.5.4 30 Sep 2025
           Using PCRE2 version 10.47 2025-10-21
           Using ZLIB version 1.3.1

Signed-off-by: John Audia <therealgraysky@proton.me>

libdaq3: update to 3.0.24

New upstream release. Changelog:
api: update dioctl daqSnort latency common changes

Signed-off-by: John Audia <therealgraysky@proton.me>

go2rtc: update to 1.9.14

Release note: https://github.com/AlexxIT/go2rtc/releases/tag/v1.9.14

Signed-off-by: Vladimir Ermakov <vooon341@gmail.com>

adblock: update 4.5.0-2

* rework DNS reporting: more reliable, more information (request type), better performance
* fixed minor issues
* readme update
* LuCI: added new DNS page (incl. Allowed/Blocked canvas)

Signed-off-by: Dirk Brenken <dev@brenken.org>

bind: bump to 9.20.18

Fixes security issues:

 - CVE-2025-13878: Malformed BRID and HHIT records could trigger an
   assertion failure.

Signed-off-by: Noah Meyerhans <frodo@morgul.net>

boringssl: drop package

Package is not being used anywhere and the version in the repo has not
been updated in over four years.

Signed-off-by: George Sapkin <george@sapk.in>

zabbix: fix agentd default user and minor issues

The last PR (https://github.com/openwrt/packages/pull/28370) missed
including two needed changes, and had a minor packaging Makefile
mistake.

The Zabbix Agent needs to drop privileges to the zabbix-agent user.
Similarly, if run as root (not the default), the Zabbix server needs to
drop privileges to the zabbix-server user.

There are also, in the Makefile, three instances of using BUILD_VARIANT
instead of VARIANT in package definitions.

So we fix those issues.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

banhostlist: remove package

The domains list which this script uses isn't
updated for 5 years. We can use adblock related
packages instead of this script, so let's drop this.

Signed-off-by: Yanase Yuki <dev@zpc.st>

coredns: update to 1.14.1

Release note: https://coredns.io/2026/01/15/coredns-1.14.-release/

Co-authored-by: George Sapkin <george@sapk.in>
Signed-off-by: Vladimir Ermakov <vooon341@gmail.com>

perlbase-encode: added dependency on perlbase-storable

The Encode module uses the Storable module.

Signed-off-by: Jens Wagner <jens@wagner2013.de>

python-semanage: update to 3.9

Upstream list of changes is available at
https://github.com/SELinuxProject/selinux/releases/tag/3.9.

Signed-off-by: W. Michael Petullo <mike@flyn.org>

node: january 13, 2026 Security Releases

HOST BUILD ONLY

Update to 22.22.0
This is a security release.
Notable Changes

    (CVE-2025-59465) add TLSSocket default error handler
    (CVE-2025-55132) disable futimes when permission model is enabled
    lib,permission:
    (CVE-2025-55130) require full read and write to symlink APIs
    src:
    (CVE-2025-59466) rethrow stack overflow exceptions in async_hooks
    src,lib:
    (CVE-2025-55131) refactor unsafe buffer creation to remove zero-fill toggle
    tls:
    (CVE-2026-21637) route callback exceptions through error handlers

Signed-off-by: Hirokazu MORIKAWA <morikw2@gmail.com>

python-selinux: update to 3.9

Upstream list of changes is available at
https://github.com/SELinuxProject/selinux/releases/tag/3.9.

Signed-off-by: W. Michael Petullo <mike@flyn.org>

semodule-utils: update to 3.9

Upstream list of changes is available at
https://github.com/SELinuxProject/selinux/releases/tag/3.9.

Signed-off-by: W. Michael Petullo <mike@flyn.org>

selinux-python: update to 3.9

Upstream list of changes is available at
https://github.com/SELinuxProject/selinux/releases/tag/3.9.

Signed-off-by: W. Michael Petullo <mike@flyn.org>

openvswitch: remove nf-conntrack6 dependency

nf-conntrack6 is now an empty package, so remove it.

Signed-off-by: Qingfang Deng <dqfext@gmail.com>

jool: remove nf-conntrack6 dependency

nf-conntrack6 is now an empty package, so remove it.

Signed-off-by: Qingfang Deng <dqfext@gmail.com>

sing-box: update to 1.12.17

changelog: https://github.com/SagerNet/sing-box/releases/tag/v1.12.17

Signed-off-by: xiao bo <peterwillcn@gmail.com>

python-passlib: remove unmaintained package

passlib is unmaintained since 2020 and a maintained fork called libpass,
which is a drop-in replacement (even using the passlib module name), is
now available. https://github.com/Kozea/Radicale/issues/1952 has more
information.

Therefore we remove the python-passlib package from this repo.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

radicale3: bump to version 3.6.0

This eliminates a dependency on the unmaintained passlib
(python3-passlib) package and add a dependency on libpass, a maintained
fork of passlib: https://github.com/Kozea/Radicale/pull/1953

In addition Radicale auth type 'autodetect' for `htpasswd` auth has
been improved by upstream.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

python-libpass: add replacement for passlib

passlib has not be updated since 2020 and is therefore a dead project.
Radicale (used in this repo as radicale3) has updated to use libpass (a
maintained fork of passlib): https://github.com/Kozea/Radicale/pull/1953
therefore add python3-libpass to provide libpass, a drop-in replacement
for passlib, and a dependency for Radicale v3.6.0.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

mmc-utils: update to upstream's 8f41ccbb40b8 commit

Summary of upstream's highlight changes:
- recognize ext_csd_rev 9
- fix CID manufacturing date decoding
- add ability to flush optional eMMC cache
- upcoming versioning
- RPMB handling refactoring
- improved FFU support
- doc/help refactoring/cleanups

This also requires updating our patch for fortify-ing and
we need to add a flag to disable a call to 'sparse' tool.

Signed-off-by: Michael Heimpold <mhei@heimpold.de>

ddns-scripts: fix luci XHR timeout when restarting ddns service

Redirect stdout and stderr to /dev/null when starting/restarting the ddns
service in the background. Without this redirection, file descriptors are
inherited by the child process, preventing proper process detachment and
causing luci's XHR requests to timeout.

radicale3: make the empty uci config consistent

We update the missing sections defaults to match the upstream default,
which are also our defaults when there is an UCI configuration, and
are also the defaults for the LuCI app.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

radicale3: add better reload handling

We update the initscript to rebuild the radicale3 target configuration
file and then HUP the radicale3 process to reload it, on a reload
event, rather than the default which does not regenerate the target
configuration.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

radicale3: update initial uci config

With recent changes to the proposed PR
(https://github.com/openwrt/luci/pull/8216) for the LuCI app for
radicale3, it is not longer necessary that uncommented configuration
be present in /etc/config/radicale3 for the LuCI app to work.

Therefore make the initial uci config commented sample only.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

radicale3: fix permissions on ssl cert/key

When LuCI uploads files like the SSL key and certificate, it makes the
files readable only by root. Since radicale is running as a
non-privileged user it is unable to access a certificate and key
uploaded by LuCI, therefore when SSL cert and key (and optional CA) are
configured, make them group radicale3 and group readable, so the
radicale server can use them.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

kea: create /var/lib/kea directory in init script

This is required to fix the following error:

kea-dhcp4: ERROR [kea-dhcp4.dhcpsrv.548449842384] DHCPSRV_MEMFILE_FAILED_TO_OPEN Could not open lease file: invalid path specified: '/var', supported path is '/var/lib/kea'

Signed-off-by: Stijn Tintel <stijn@linux-ipv6.be>

kea: fix /var/run/kea permissions

This is required to fix the following error:

kea-dhcp-ddns[3115]: 2026-01-15 20:00:36.776 FATAL [kea-dhcp-ddns.dctl/3115.547785590368] DCTL_CONFIG_FILE_LOAD_FAIL DhcpDdns reason: 'socket-name' is invalid: socket path:/var/run/kea does not exist or does not have permssions = 750

Signed-off-by: Stijn Tintel <stijn@linux-ipv6.be>

hev-socks5-tunnel: update to 2.14.3

Upstream changelog:
https://github.com/heiher/hev-socks5-tunnel/releases/tag/2.14.3

Signed-off-by: Ray Wang <git@hev.cc>

adblock: release 4.5.0-1

* added firewall rules based on nftables in a separate isolated nftables table (inet adblock)
  and chains (prerouting), with MAC addresses stored in an nftables set.
  Implemented the following firewall‑integrated features:
  * external DNS Routing (unfiltered): routes DNS queries from selected devices or interfaces
    to an external unfiltered DNS resolver
  * external DNS Routing (filtered): routes DNS queries from selected devices or interfaces
    to an external filtered DNS resolver
  * force DNS: blocks or redirects all external DNS traffic from selected interfaces
    to ensure that clients use the local resolver
* removed the optional generation of an additional jail list (only supported bydnsmasq),
  use the new, resolver independent ext. DNS routing instead
* removed the pz-client-ip feature (only supported by bind),
  use the new, resolver independent ext. DNS routing instead
* removed the obsolete, hardcoded fw4 rules for DNS enforcement
  existing rules will be removed via uci-defaults script after adblock update
* changed the Jail mode to a simple allowlist-only mode
* fixed minor issues in the mail template
* readme update
* LuCI: added a new config tab "Firewall Settings"
* LuCI: fixed minor usability issues

Signed-off-by: Dirk Brenken <dev@brenken.org>

ddns-scripts: add multiple DNS records support for aliyun ddns

Added logic to extract and match DNS record ID from parameters,
with fallback to default selection if no match is found.

Signed-off-by: QiLei Niu <qilei.niu@gmail.com>

v2ray-geodata: Update to latest version

Update all geodata.

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>

v2ray-core: Update to 5.44.1

Release note:
- https://github.com/v2fly/v2ray-core/releases/tag/v5.43.0
- https://github.com/v2fly/v2ray-core/releases/tag/v5.44.1

Signed-off-by: Tianling Shen <cnsztl@immortalwrt.org>

madplay: fix compilation with GCC 15

Define __GNU_LIBRARY__ for a proper getopt
declaration when building with GCC 15.

Signed-off-by: Til Kaiser <mail@tk154.de>

knxd: bump to version 0.14.75

new upstream version 0.14.75
remove obsolete patch 0110-configure.ac.patch

Signed-off-by: Othmar Truniger <github@truniger.ch>

telegraf: update to 1.37.1

- Update Telegraf to v1.37.1

Signed-off-by: Niklas Thorild <niklas@thorild.se>

knot: update to version 3.5.3

Release notes: https://www.knot-dns.cz/2026-01-16-version-353.html

Signed-off-by: Jan Hák <jan.hak@nic.cz>

zabbix: avoid unnecessary configure/compile

For items which are only copied from the source code, avoid the
prepare, configure, and compile steps, while preserving the special
behaviour of the mac80211 addon, which has a unique prepare and
compile.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

zabbix: deduplicate zabbix-agentd Makefile parts

Avoid unnecessary duplication on zabbix-agentd package definitions by
using a common zabbix-agentd/Default and extending it for different
zabbix-agentd flavours.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

zabbix: use separate users for agent and server

For security, per upstream recommendations, use a separate user for the
agent daemon and the server daemon.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

zabbix: bump to 7.0.22 LTS

Bump Zabbix to the latest released 7.0.x LTS version.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

coreutils: patch possible infinite loop with SEEK_HOLE

cp, install, and mv no longer enter an infinite loop copying sparse files
with SEEK_HOLE. E.g., this was seen on ext4 when copying sparse files with
extents that are being actively updated, and copy offload is not being used.

See also:
https://github.com/coreutils/coreutils/commit/bd528f923482223649aa84be7d131e69356149da

Signed-off-by: Wei-Ting Yang <williamatcg@gmail.com>

bash: update to 5.3 patch level 9

- Fix posix-mode issue with "wait -n", where it can return process IDs
  outside the requested set
- Do not try to use shm_open, there is too much variance in behavior
  across systems
- Remove internal quoting that causes failures when expanding nested
  array subscripts in an arithmetic context
- Fix issue with source when read(2) returns fewer characters than
  fstat(2) says are available
- Fix crash when restoring default disposition for SIGINT in
  asynchronous subshell
- Fix issues with range expressions and non-ascii characters in glob
  patterns when globasciiranges is enabled
- Fix issue where nofork command substitutions can affect
  redirections in the calling shell
- Fix issue with calling mbrtowc too much when translating
  ansic-single-quoted strings
- Fix crash when interrupting reverse i-search with ^C

Signed-off-by: Wei-Ting Yang <williamatcg@gmail.com>

bash: refactor Makefile

Order CONFIGURE_VARS and CONFIGURE_ARGS by ASCII.

Signed-off-by: Wei-Ting Yang <williamatcg@gmail.com>

php8: fix gettext and intl dependencies and build

* Add a needed BUILD_DEPENDENCY on icu package, when PHP8_INTL is
  defined.
* Make PHP8_DOM selecting PHP8_LIBXML instead of depending on it.
* PHP8_INTL does not depend on PHP8_GETTEXT, it builds also
  without gettext.
* Always show option for choosing PHP8_FULLUCIDATA
* For php8-cgi, php-cli, etc, a libstdcpp dependency is only gained
when PHP8_INTL is selected, therefore update those conditional depends.

As some combinations of these changes can change the binaries output,
PKG_RELEASE has been bumped.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>
Signed-off-by: Michael Heimpold <mhei@heimpold.de>

php8: add more help text and tweak whitespace

Add more menuconfig help text descriptions, and
convert some mixed tabs and spaces to spaces.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

php8: fix xmlreader dom circular dependency

xmlreader was selecting package php8-mod-dom as well as depending on
PHP8_DOM, while php8-mod-dom also depended on PHP8_DOM (and therefore
selected PHP8_DOM when php8-mod-dom was selected). This is a Kconfig
recursive dependency, so break the recursion by noting that because
php8-mod-xmlreader selects php8-mod-dom, PHP8_DOM is a transitive
depends, so php8-mod-xmlreader should not depend on PHP8_DOM itself.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

php8: reformat CONFIG_DEPENDS

Switch to a single CONFIG_ per line, and alphabetize.

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

zabbix: add initscript for server

Adds an initscript for zabbix_server, and related helper files

+ uses a zabbix_server uci conf to enable/disable startup
+ updates the default zabbix_server.conf to work with initscript
+ add a sysctl.d conf to set max-files more appropriate for zabbix_server

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

zabbix: fix agentd PidFile creation

Addresses the issue pointed out in #28165, which is that zabbix_agentd
always creates a PidFile and has no option to disable PidFile creation.
Therefore update the configuration file to default to create a PidFile
where we want it.

Close #28165

Signed-off-by: Daniel F. Dickinson <dfdpublic@wildtechgarden.ca>

syncthing: bump 2.0.13

Changelog: https://github.com/syncthing/syncthing/releases/tag/v2.0.13
Signed-off-by: George Sapkin <george@sapk.in>

coredns: update 1.14.0

- Update version
- Add finalize plugin

Signed-off-by: Vladimir Ermakov <vooon341@gmail.com>

owut: update to 2026.01.13

Enhancements:
    efahl/owut@2526d84be888 owut: add better messaging in quiet modes

Signed-off-by: Eric Fahlgren <ericfahlgren@gmail.com>

wget: provide virtual wget-any

Provide a virtual wget-any to match the uclient-fetch provides in base.

Remove unused gnu-wget provide.

Signed-off-by: George Sapkin <george@sapk.in>

sing-box: update to 1.12.15

changelog: https://github.com/SagerNet/sing-box/releases/tag/v1.12.15

Signed-off-by: xiao bo <peterwillcn@gmail.com>

libteam: disable zmq and dbus

Fix build error when zmq or dbus is detected by autoconf.

Signed-off-by: Qingfang Deng <dqfext@gmail.com>

icu: bump to 78.2

We are pleased to announce the release of Unicode® ICU 78.2. It updates to CLDR 48.1. These are maintenance releases for ICU 78 and CLDR 48, with limited sets of bug fixes and no API or structural changes.

ICU 78.2 also includes a small number of bug fixes, as well as a minor update for time zone data (tzdata) version 2025c (2025-dec) ICU-23296.

Signed-off-by: Hirokazu MORIKAWA <morikw2@gmail.com>

ddns-scripts: add apertodns.com-token to provider list

Add missing provider entry for apertodns.com-token.
The service configuration (apertodns.com-token.json) was already
merged in PR #28160, but the provider list entry was missing.

Signed-off-by: Andrea Ferro <support@apertodns.com>

banip: release 1.8.0-1

* hardened the uci config parsing
* added a fast, flexible & secure IPv4/IPv6 validator function, it eliminates > 99 % of garbage inputs
  Please note: The ‘rule’ in the feed file now only contains parameters for the IP validator;
  details can be found in the readme file. Old custom feed files are not compatible and will be
  backed up/removed via the uci-defaults script
* added BCP38 support: to block packets with spoofed source IP addresses in all supported chains
* optimized the log monitor plus performance improvements
* removed the pallebone feed (discontinued)
* added the ipexdbl feed
* various small improvements
* LuCI: add the BC38 option under Table/Chain Settings
* LuCI: updating the custom feed editor
* LuCI: small usability improvements
* readme update

Signed-off-by: Dirk Brenken <dev@brenken.org>

miniupnpd: enable IPv6 leases file

Introduces the IPv6 Leases file by default. This file will display active IPv6 leases requested under the IPv6 PCP (Port Control Protocol) a.k.a IPv6 Pinholes.

miniupnpd must be compiled with ENABLE_UPNPPINHOLE set for this to take effect. This is taken care of currently by setting CONFIG_IPV6.
The lease file looks something like
Proto;ClientIP;ClientPort;RemoteIP;RemotePort;UID;Timestamp;Description

Signed-off-by: Michael Gray <michael.gray@lantisproject.com>