Linux From Scratch oversatt til Norsk

BLFS sikkerhetsråd for BLFS 12.0

BLFS-12.0 ble utgitt 01.09.2023

Denne siden er i alfabetisk rekkefølge etter pakker, og hvis en pakke har flere råd, kommer den nyeste først.

Lenkene på slutten av hvert element peker til flere detaljer som har lenker til utgitte bøker.

Generelt sett hentes alvorlighetsgraden fra oppstrøms, hvis oppgitt, eller fra NVD (https://nvd.nist.gov/vuln/detail/) hvis en analyse er tilgjengelig der, men individuelle alvorlighetsgrader ved NVD kan endres over tid. Hvis ingen annen informasjon er tilgjengelig, antas det vanligvis en «Høy» alvorlighetsgrad.

Apache HTTPD

12.0 027 Apache HTTPD Dato: 07.10.2023 Alvorlighetsgrad: Medium

I httpd-2.4.58, tre sikkerhetsproblemer ble rettet. Oppdater til 2.4.58. 12.0-027

BIND

12.0 095 BIND Dato: 13.02.2024 Alvorlighetsgrad: Høy

I BIND-9.18.19, seks sikkerhetsproblemer ble rettet som blant annet kunne føre til at tjenesten krasjer på grunn av høy CPU utnyttelse, generere feil på grunn av lite minne som kan tillate BIND å lese fra annet systemminne og andre. Oppdater til BIND-9.18.24 12.0-095

12.0 011 BIND Dato: 21.09.2023 Alvorlighetsgrad: Høy

I BIND-9.18.19, to sikkerhetsproblemer ble rettet som kunne tillate en eksternt utnyttbar tjenestenekt (krasj av den navngitte serverprosessen) ved behandling av DNS spørringer. Oppdater til BIND-9.18.19. 12.0-011

CUPS

12.0 009 CUPS Dato: 21.09.2023 Alvorlighetsgrad: Høy

I CUPS-2.4.7, et sikkerhetsproblem ble rettet som kunne tillate ekstern kjøring av kode eller tjenestenekt (CUPS tjenestekrasj) på grunn av en ondsinnet utskriftsjobb. Oppdater til cups-2.4.7. 12.0-009

cURL

12.0 084 cURL Dato: 01.022024 Alvorlighetsgrad: Lav

In cURL-8.6.0, et sikkerhetsproblem ble rettet som kunne tillate en omgåelse av OCSP verifisering på grunn av gjenbruk av TLS økter. Dette sikkerhetsproblemet gjelder bare for tilkoblinger som bruker TLS 1.2. Oppdater til cURL-8.6.0. 12.0-084

12.0 053 cURL Dato: 06.12.2023 Alvorlighetsgrad: Høy

I cURL-8.5.0, to sikkerhetsproblemer ble fikset som kunne tillate kapring av informasjonskapsler og slette HSTS data. Oppdater til cURL-8.5.0. 12.0-053

12.0 024 cURL Dato: 11.10.2023 Alvorlighetsgrad: Høy

I cURL-8.4.0, to sikkerhetsproblemer ble fikset som kunne tillate injeksjon av informasjonskapsler og ekstern kjøring av kode eller krasj ved bruk av SOCKS5 proxyfunksjonen. Oppdater til cURL-8.4.0. 12.0-024

12.0 007 cURL Date: 2023-09-14 Alvorlighetsgrad: Medium

I cURL-8.3.0, et sikkerhetsproblem ble rettet som kunne tillate tjenestenektelse ved behandling av HTTP overskrifter. Tjenestenektelsen oppstår fordi cURL prosessen kjøres uten minne. Oppdater til cURL-8.3.0. 12.0-007

Exim

12.0 066 Exim Dato: 29.12.2023 Alvorlighetsgrad: Kritisk

I Exim-4.97.1, et sikkerhetsproblem som tillater SMTP smugling i visse konfigurasjoner ble rettet. Eksterne angripere kan bruke en offentlig tilgjengelig utnyttelse til å injisere e-postmeldinger med en forfalsket MAIL FROM adresse, som vil tillate omgåelse av SPF beskyttelsesmekanismene. Oppdater til Exim-4.97.1. 12.0-066

12.0 025 Exim Dato: 17.10.2023 Alvorlighetsgrad: Høy

I exim 4.96.1 og 4.96.2 fem sårbarheter, hvorav tre er vurdert som Høye, ble rettet; oppdater til exim-4.96.2. 12.0-025

Exiv2

12.0 098 Exiv2 Dato: 13.02.2024 Alvorlighetsgrad: Lav

I Exiv2-0.28.2, to sikkerhetsproblemer ble rettet som kunne tillate tjenestenektelse (programkrasj og for høyt ressursforbruk) ved behandling av QuickTime videoer. 12.0-098

12.0 038 Exiv2 Dato: 07.11.2023 Alvorlighetsgrad: Høy

I Exiv2-0.28.1, et sikkerhetsproblem ble rettet som kunne tillate vilkårlig kodekjøring ved lesing av metadata fra en laget bildefil. Oppdater til Exiv2-0.28.1. 12.0-038

FAAD2

12.0 039 FAAD2 Dato: 08.11.2023 Alvorlighetsgrad: Høy

I FAAD2-2.11.0, to sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring eller tjenestenekt ved behandling av MP4 filer. Flere andre minnesikkerhetsproblemer ble også rettet, men ble ikke tildelt CVE-er. Oppdater til FAAD2-2.11.0 umiddelbart. 12.0-039

Firefox

12.0 104 Firefox Dato: 20.02.2024 Alvorlighetsgrad: Høy

I firefox 115.8.0 yv sårbarheter ble fikset. Oppstrømshastighet tre av disse som høy. 12.0-104

12.0 079 Firefox Revidert: 08.02.2024 Alvorlighetsgrad: Høy

I firefox 115.7.0 ni sårbarheter ble fikset. Oppstrøms vurderer sårbarheten i Angle som høy, men Angle ser ut til å bare brukes på MS Windows. Tidligere vurderte Mozilla minnesikkerhetsfeil som høy påvirkning, med denne utgivelsen beskriver de dem nå som moderat påvirkning. Imidlertid har NVD nå analysert den CVE-en og vurderer den som høy alvorlighetsgrad. 12.0-079

12.0 057 Firefox Dato: 19.12.2023 Alvorlighetsgrad: Høy

I firefox 115.6.0 elleve sårbarheter ble rettet. Oppstrøms vurderer tre av disse som høy. 12.0-057

12.0 046 Firefox Dato: 21.11.2023 Alvorlighetsgrad: Høy

I firefox 115.5.0 syv sårbarheter ble rettet. Oppstrøms vurderer fem av disse som høy. 12.0-046

12.0 029 Firefox Dato: 24.10.2023 Alvorlighetsgrad: Høy

I firefox 115.4.0 seks sårbarheter som gjelder Linux brukere ble fikset. Oppstrøms vurderer to av disse som høy, men to andre kan føre til krasj og er derfor vurdert som høy av BLFS inntil det foreligger en ekstern analyse. 12.0-029

12.0 013 Firefox Dato: 26.09.2023 Alvorlighetsgrad: Høy

I firefox 115.3.0 fire sårbarheter vurdert som høy ble fikset, oppdater til Firefox-115.3.0. 12.0-013

GIMP

12.0 040 GIMP Oppdatert: 20.11.2023 Alvorlighetsgrad: Høy

I GIMP-2.10.36, fire sikkerhetsproblemer ble rettet som kunne tillate ekstern kodekjøring eller tjenestenekt ved behandling av DDS, PSD eller PSP filer. Oppdater til GIMP-2.10.36. 12.0-040

GnuPG

12.0 082 GnuPG Dato: 26.01.2024 Alvorlighetsgrad: Høy

I GnuPG-2.4.4, en sikkerhetsfeil ble rettet der generering av smartkort oppbevarte en ubeskyttet sikkerhetskopi av nøkkelen på disk. Oppstrøms sier at alle potensielt berørte brukere bør sjekke om en utilsiktet kopi av en smartkortnøkkel finnes og slette den. Hvis du genererte et smartkort ved hjelp av GnuPG-2.4.2, 2.4.3 eller 2.2.42, må du oppdatere til GnuPG-2.4.4 og følge instruksjonene i sikkerhetsveiledningen for å se etter og fjerne de ubeskyttede sikkerhetskopienøklene. 12.0-082

GnuTLS

12.0 070 GnuTLS Dato: 17.01.2024 Alvorlighetsgrad: Medium

I GnuTLS-3.8.3, to sikkerhetsproblemer ble rettet som kunne muliggjøre et tidsbestemt sidekanalangrep (som førte til lekkasje av sensitive data), og et programkrasj. Oppdater til GnuTLS-3.8.3 eller nyere. 12.0-070

12.0 045 GnuTLS Dato: 16.11.2023-11-16 Alvorlighetsgrad: Medium

I GnuTLS-3.8.2, et sikkerhetsproblem som kunne tillate et tidsbestemt sidekanalangrep ble rettet. Oppdater til GnuTLS-3.8.2 eller nyere. 12.0-045

gstreamer

12.0 081 gstreamer Dato: 25.01.2024 Alvorlighetsgrad: Høy

I gst-plugins-bad-1.22.9, et sikkerhetsproblem ble rettet som kunne tillate ekstern kjøring av kode eller krasj ved behandling av AV1 kodede videofiler med misdannede strømmer. Sårbarheten oppstår på grunn av en heap bufferoverløp. Oppdater gstreamer stakken til 1.22.9. 12.0-081

12.0 065 gstreamer Dato: 27.12.2023 Alvorlighetsgrad: Høy

I gst-plugins-bad-1.22.8, et sikkerhetsproblem ble rettet som kunne tillate ekstern kjøring av kode eller krasj ved behandling av AV1 kodede videofiler med feilformede strømmer. Oppdater gstreamer-stakken til 1.22.8. 12.0-065

12.0 042 gstreamer Dato: 14.11.2023 Alvorlighetsgrad: Høy

I gst-plugins-bad-1.22.7, to sikkerhetsproblemer ble fikset som kunne føre til krasj eller kjøring av vilkårlig kode. Disse sårbarhetene kan oppstå når man behandler MXF eller AV1 filer, inkludert via nettlesere. Oppdater gstreamer stakken til 1.22.7. 12.0-042

12.0 010 gstreamer Dato: 21.09.2023 Alvorlighetsgrad: Høy

I gst-plugins-bad-1.22.6, tre sikkerhetssårbarheter ble fikset som kunne tillate vilkårlig kodekjøring ved behandling av MXF filer eller H.265 videoer. Oppdater gstreamer stakken til 1.22.6. 12.0-010

ImageMagick

12.0 099 ImageMagick Dato: 15.02.2024 Alvorlighetsgrad: Medium

ImageMagick ser ut til å ha blitt sin egen CVE nummereringsmyndighet. Endringsloggen mellom 7.1.1-15 og 7.1.1-28 på ChangeLog.md. nevner minst to GHSA råd, men disse mangler eller er utilgjengelige. 12.0-099

Intel Microcode

12.0 043 Intel Microcode Dato: 15.11.2023 Alvorlighetsgrad: Høy

Intel mikrokode for noen prosessorer har blitt oppdatert for å fikse en sårbarhet som kan tillate lokal privilegiumsøkning, informasjonsavsløring og/eller tjenestenekt. Les 12.0-043 for listen over berørte prosessorer og hvordan du oppdaterer mikrokoden for å fikse sårbarhetene.

jasper

12.0 069 jasper Dato: 12.01.2024 Alvorlighetsgrad: Høy

I jasper-4.1.2, et sikkerhetsproblem ble rettet som kunne tillate kjøring av vilkårlig kode eller krasj ved behandling av et laget bilde som bruker JPEG-2000 kodeken. Oppdater til jasper-4.1.2. 12.0-069

libarchive

12.0 008 libarchive Dato: 14.09.2023 Alvorlighetsgrad: Medium

I libarchive-3.7.2, flere sikkerhetsproblemer ble rettet som kunne tillate vilkårlig kodekjøring og tjenestenekt når man skrev et PAX arkiv ved bruk av libarchive API. Oppdater til libarchive-3.7.2. 12.0-008

libnotify

12.0 023 libnotify Dato: 11.10.2023 Alvorlighetsgrad: Lav

I libnotify-0.8.3, et sikkerhetsproblem ble rettet som kunne tillate at en lokal bruker krasjer et program som kjører hvis visse parametere ble angitt når et varsel ble generert. Oppdater til libnotify-0.8.3. 12.0-023

Libreoffice

12.0 054 Libreoffice Oppdatert: 19.12.2023 Alvorlighetsgrad: Kritisk

I Libreoffice-7.6.4.1, tre sikkerhetsproblemer ble rettet. En av disse var i den medfølgende kopien av Skia. Denne sårbarheten er identisk med QtWebEngine/Chromium sårbarheten som tillater ekstern kjøring av kode ved å behandle et bilde som er for stort for en buffer. I dette tilfellet ville angrepsvektoren være et skadelig bilde inne i et dokument. I tillegg ble en sikkerhetsfeil rettet som kunne tillate Gstreamer-pipeline injeksjon på grunn av feil inndata validering, og en sikkerhetsfeil ble rettet som kunne tillate vilkårlig skriptkjøring ved behandling av en lenkes mål. Begge disse kan utnyttes ved behandling av dokumenter. Det anbefales å oppdatere til Libreoffice-7.6.4.1 så snart som mulig. 12.0-054

libssh2

12.0 062 libssh2 Dato: 26.12.2023 Alvorlighetsgrad: Kritisk

I libssh2-1.11.0, er det oppdaget en sårbarhet som tillater nedgraderinger av stille kryptering på grunn av MITM-angrep. Denne sårbarheten har blitt vurdert som kritisk, og er også kjent som «Terrapin»-angrepet. Gjenoppbygg libssh2 med oppdateringen i boken så snart som mulig. 12.0-062

libuv

12.0 094 libuv Dato: 13.02.2024 Alvorlighetsgrad: Medium

I libuv-1.48.0, et sikkerhetsproblem ble rettet som kunne tillate angripere å lage nyttelaster som omdirigeres til utilsiktede IP-adresser, noe som omgår utviklerkontroller. Oppdater til libuv-1.48.0. 12.0-094

libX11

12.0 019 libX11 Dato: 09.10.2023 Alvorlighetsgrad: Medium

I libX11-1.8.7, tre sikkerhetsproblemer ble rettet som kunne tillate tjenestenekt (programkrasj), eller ekstern kodekjøring på systemer der X11 kjører som root eller på systemer med X11 videresending aktivert. Oppdater til libX11-1.8.7. 12.0-019

libxml2

12.0 087 libxml2 Dato: 05.02.2024 Alvorlighetsgrad: Medium

I libxml2-2.12.5, et sikkerhetsproblem ble rettet som kunne tillate tjenestenektelse (programkrasj) når XML Reader-grensesnittet ble brukt med DTD-validering og XInclude-utvidelse aktivert. Problemet oppstår når et håndlaget XML dokument behandles, og fører til en use-after-free-feil i xmlValidatePopElement. Oppdater til libxml2-2.12.5. 12.0-087

libXpm

12.0 020 libXpm Dato: 19.10.2023 Alvorlighetsgrad: Medium

I libXpm-3.5.17, to sikkerhetsproblemer ble fikset som kunne tillate en angriper å lese innholdet i minnet på et system ved å åpne et skadelig XPM bilde. Oppdater til libXpm-3.5.17. 12.0-020

Libvpx

12.0 017 Libvpx Dato: 29.09.2023 Alvorlighetsgrad: Høy

Google har annonsert et sikkerhetsproblem i libvpx som det finnes en utnyttelse av. Oppdater til (eller gjenoppbygg) libvpx-1.13.0 med en oppdatering for å fikse sårbarheten. 12.0-017

Libwebp

12.0 003 Libwebp Dato: 13.09.2023 Alvorlighetsgrad: Kritisk

Chromium og Apple har annonsert en kritisk sårbarhet i libwebp som blir aktivt utnyttet. Den er fikset i libwebp-1.3.2. Oppgrader til libwebp-1.3.2. 12.0-003

Linux-PAM

12.0 073 Linux-PAM Dato: 18.01.2024 Alvorlighetsgrad: Medium

I Linux-PAM-1.6.0, et sikkerhetsproblem ble rettet som kunne tillate lokal tjenestenekt (krasj) ved bruk av pam_namespace.so PAM modulen. Merk at en standard BLFS installasjon ikke vil bruke denne modulen, så de fleste systemer påvirkes ikke med mindre en bruker har lagt til denne modulen i systemet på egenhånd. Hvis du bruker denne modulen, oppdater til Linux-PAM-1.6.0. 12.0-073

MariaDB

12.0 051 MariaDB Dato: 01.12.2023 Alvorlighetsgrad: Høy

I mariadb-10.11.6 en sårbarhet som tillater en angriper med nettverkstilgang å krasje (DOS) serveren, ble rettet. Oppdater til mariadb-10.11.6. 12.0-051

Mutt

12.0 002 Mutt Dato: 10.09.2023 Alvorlighetsgrad: Høy

I mutt-2.2.12 en sårbarhet som kunne føre til at mutt krasjer under parsing av en feilformet header ble rettet. Oppdater til mutt-2.2.12. 12.0-002

nghttp2

12.0 022 nghttp2 Dato: 11.10.2023 Alvorlighetsgrad: Høy

I nghttp2-1.57.0, et sikkerhetsproblem i HTTP/2 protokollen ble rettet, noe som tillater et eksternt utnyttbart tjenestenektangrep. Dette sikkerhetsproblemet utnyttes i praksis til å utløse distribuerte tjenestenektangrep mot ulike tjenester. Oppdater til nghttp2-1.57.0, spesielt hvis du kjører en webserver. 12.0-022

node.js

12.0 026 node.js Dato: 22.10.2023 Alvorlighetsgrad: Høy

I node.js-18.18.2, fire sårbarheter ble fikset, hvorav to er vurdert som Høy. En av disse er i den leverte versjonen av nghttp2, så hvis du følger boken med systemet nghttp2, bør du oppdatere nghttp til 1.57.0 12.0-022 samt oppdatere til node.js-18.18.2. 12.0-026

12.0 102 node.js Dato: 17.02.2024 Alvorlighetsgrad: Høy

I node.js-20.11.1, åtte sårbarheter ble fikset, hvorav noen ble rangert som Høy. Oppdater til node.js-20.11.1. 12.0-102

NSS

12.0 100 NSS Dato: 16.02.2024 Alvorlighetsgrad: Medium

I NSS-3.98, et sikkerhetsproblem ble rettet som kunne tillate lekkasje av RSA kryptografiinformasjon, for eksempel om høy-ordre bitene i RSA dekrypteringsresultatet er null. Denne informasjonen kan brukes til å iverksette et Bleichenbacher eller Manger angrep mot alle RSA dekrypteringsoperasjoner. Oppdater til NSS-3.98. 12.0-100

OpenJDK

12.0 074 OpenJDK Dato: 20.01.2024 Alvorlighetsgrad: Høy

I OpenJDK-21.0.2, fem sikkerhetssårbarheter er rettet i Hotspot og sikkerhetskomponentene som kan tillate uautorisert oppretting, endring og sletting av data på et system, samt informasjonsutlevering, tjenestenekt og ekstern kjøring av kode. Fire av disse sårbarhetene krever ingen rettigheter eller brukerinteraksjon, og kan primært utnyttes over nettverket. Én kan utnyttes lokalt, men krever noen rettigheter, men fortsatt ingen brukerinteraksjon. Oppdater til OpenJDK-21.0.2. 12.0-074

12.0 036 OpenJDK Dato: 02.11.2023 Alvorlighetsgrad: Medium

I OpenJDK-21.0.1, to sikkerhetsproblemer ble rettet som kunne gjøre det mulig for en ekstern angriper å endre, legge til eller slette data som et Java program har tilgang til, samt at en ekstern angriper kunne forårsake en tjenestenekt. Oppdater til OpenJDK-21.0.1. 12.0-036

OpenLDAP

12.0 088 OpenLDAP Dato: 05.02.2024 Alvorlighetsgrad: Høy

I OpenLDAP-2.6.7, et sikkerhetsproblem ble rettet som kunne tillate en angriper å feilformulere et LDAP søk og dermed gi dem en høyer tilgangsmaske enn de burde ha. Oppdater til OpenLDAP-2.6.7 eller nyere. 12.0-088

OpenSSH

12.0 061 OpenSSH Dato: 26.12.2023 Alvorlighetsgrad: Kritisk

I OpenSSH-9.6p1, to sikkerhetsproblemer ble fikset som kunne tillate at et MITM angrep forårsaket en stille krypteringsnedgradering, og for vilkårlig kommandoinjeksjon under noen omstendigheter (for eksempel ved bruk av git undermoduler). MITM angrepet er vurdert som kritisk og har fått kodenavnet «Terrapin»-angrepet. Oppdater til OpenSSH-9.6p1 eller nyere. 12.0-061

Postfix

12.0 078 Postfix Dato: 23.01.2024 Alvorlighetsgrad: Kritisk

I Postfix-3.8.5 (og 3.7.10, 3.6.14, og 3.5.24), forbedringer av løsningen for CVE-2023-51764 (SMTP smugling) ble laget som gir mer kompatibilitet med noen eksisterende SMTP klienter og bedre logging. I tillegg er det nå oppdateringer tilgjengelig for noen versjoner av Postfix som ikke støttes. For de fleste brukere vil oppdateringene i Postfix-3.8.4 (og 3.7.9, 3.6.13 og 3.5.24) være tilstrekkelige, men hvis du støter på problemer, anbefales det å oppgradere til disse forbedrede versjonene. 12.0-078.

12.0 067 Postfix Dato: 29.12.2023 Alvorlighetsgrad: Kritisk

I Postfix-3.8.4 (så vel som 3.7.9, 3.6.13, og 3.5.23), et sikkerhetsproblem ble rettet som tillater SMTP smugling på offentlige e-postservere. Eksterne angripere kan bruke et offentlig tilgjengelig utnyttelsespunkt til å injisere e-postmeldinger med en forfalsket MAIL FROM adresse, som også tillater omgåelse av SPF beskyttelsesmekanismer. Oppdater til Postfix-3.8.4 (eller en av 3.7.9, 3.6.13 og 3.5.23) så snart som mulig hvis du bruker en offentlig e-postserver, og implementer de nødvendige konfigurasjonsendringene. Se 12.0-067 for flere detaljer.

PostgreSQL

12.0 090 PostgreSQL Dato: 09.02.2024 Alvorlighetsgrad: Høy

I PostgreSQL-16.2 en sårbarhet ble rettet som kunne tillate vilkårlig kommandokjøring ved å lokke en bruker til å kjøre en kommando (sjekk CVE for kommandoen). På grunn av dette anbefales det på det sterkeste å oppdatere til PostgreSQL på alle eldre systemer. 12.0-090

12.0 041 PostgreSQL Dato: 10.11.2023 Alvorlighetsgrad: Høy

I PostgreSQL-16.1 (og 15.5), tre sikkerhetsproblemer ble fikset som kunne tillate minne og informasjons avsløring, vilkårlig kode kjøring, signalisering av superbrukerprosesser og tjenestenekt. Det er sterkt anbefalt å oppdatere PostgreSQL så snart som mulig på grunn av sårbarheter knyttet til vilkårlig kodekjøring og minne-/informasjonsavsløring. Oppdater til PostgreSQL-16.1 (eller 15.5 hvis du ønsker å beholde 15). 12.0-041

ProFTPD

12.0 060 ProFTPD Dato: 23.12.2023 Alvorlighetsgrad: Kritisk

I ProFTPD 1.3.8b SSH sårbarheten «Terrapin» ble fikset. Dette kunne tillate en angriper å nedgradere forbindelsen til et lavere sikkerhetsnivå, noe som resulterer i redusert sikkerhet og lar en angriper logge på offerets klient. Det anbefales på det sterkeste å oppdatere ProFTPD så snart som mulig på grunn av den brede angrepsflaten til dette sikkerhetsproblemet. 12.0-060

Python3

12.0 092 Python3 Dato: 13.02.2024 Alvorlighetsgrad: Høy

I Python-3.12.2, et sikkerhetsproblem ble rettet som kunne tillate stille utførelse av vilkårlig kode via skjulte *.pth filer. *.pth filer kjøres automatisk, i motsetning til vanlige Python filer som trenger eksplisitt import eller sending som et argument til Python tolkeren. Problemet ble løst oppstrøms ved å hoppe over *.pth filer med navn som starter med et punktum (eller attributtet hidden file på andre systemer). Oppdater til Python-3.12.2, eller 3.11.8 hvis du foretrekker å holde deg til 3.11.x-serien. 12.0-092

12.0 001 Python3 Dato: 03.09.2023-09-03 Alvorlighetsgrad: Medium

I Python-3.11.5, et sikkerhetsproblem ble rettet som kunne tillate omgåelse av TLS håndtrykk i SSL sockets. Oppdater til python-3.11.5. 12.0-001

Qt5

12.0 101 Qt5 Dato: 17.02.2024 Alvorlighetsgrad: Høy

I Qt5-5.15.12, ble det oppdaget et sikkerhetsproblem som kunne tillate bufferoverløp ved lesing av en laget KTX bildefil. Dette problemet finnes i qtbase, og vil føre til tjenestenekt eller muligens andre konsekvenser ved lesing av filen i et program. Gjenoppbygg Qt5 (eller qt5-alternate) med oppdateringen. 12.0-101

Qt6

12.0 103 Qt6 Dato: 18.02.2024 Alvorlighetsgrad: Critical

I Qt6-6.6.2, to sikkerhetsproblemer ble fikset som kunne tillate tjenestenekt og kjøring av vilkårlig kode. Ett av disse problemene oppstår når KTX bilder lastes inn, og er klassifisert som bufferoverløp. Det andre sikkerhetsproblemet er klassifisert som heltallsoverløp og er i HTTP/2-implementeringen i QtBase. På grunn av sikkerhetsgraden til HTTP/2 problemet, anbefales det at du oppdaterer denne pakken umiddelbart hvis du har den installert. Oppdater til Qt6-6.6.2. 12.0-103

QtWebEngine

12.0 048 QtWebEngine Dato: 01.12.2023 Alvorlighetsgrad: Kritisk

I QtWebEngine-5.15.17, ni sikkerhetsproblemer ble fikset som kunne tillate eksternt utnyttbare krasj og ekstern kjøring av kode. En av disse sårbarhetene er under aktiv utnyttelse og kan utløses når en nettside som inneholder et bilde eller annet 2D innhold gjengis. Oppdater til QtWebEngine-5.15.17 umiddelbart for å beskytte systemet ditt. 12.0-048

12.0 033 QtWebEngine Dato: 30.10.2023 Alvorlighetsgrad: Høy

I QtWebEngine-5.15.16, rettelser for åtte sikkerhetssårbarheter i Chromium ble tilbakeportert til grenen. Alle er vurdert som høy. 12.0-033

Samba

12.0 021 Samba Dato: 11.10.2023 Alvorlighetsgrad: Høy

I samba-4.19.1, flere sikkerhetsproblemer ble fikset som kunne gjøre det mulig for en angriper å utløse tjenestenektelse, krasje tjenesten, eller potensielt kompromittere den. Oppdater til samba-4.19.1. 12.0-021

Seamonkey

12.0 059 Seamonkey Dato: 20.12.2023 Alvorlighetsgrad: Høy

I Seamonkey-2.53.18, flere sikkerhetsproblemer ble rettet som kunne tillate clickjacking, forfalskning av adresselinjen, krasj, utvidelser åpning av vilkårlige URL-er, tilgang til minne utenfor grensene, tyveri av innhold fra utklippstavlen og stigjennomgang. Oppdater til Seamonkey-2.53.18. 12.0-059

12.0 028 Seamonkey Dato: 24.10.2023 Alvorlighetsgrad: Høy

Seamonkey-2.53.17.1 sender en gammel versjon av libvpx med et annet API enn nåværende libvpx, noe som forhindrer bruk av system libvpx. Den nylige offentlige sårbarheten har ført til at oppstrømsleverandører har utgitt rettelser for flere libvpx problemer, men de har ennå ikke klart å fullføre en ny utgivelse. Oppdater til Seamonkey-2.53.17.1 pluss consolidated_fixes-1.patch. 12.0-028

12.0 014 Seamonkey Dato: 27.09.2023 Alvorlighetsgrad: Høy

I Seamonkey-2.53.17.1, flere sikkerhetsproblemer ble rettet som kunne tillate forfalskning av fullskjermsvinduer, tjenestenekt, ekstern kodekjøring, URL forfalskning, lagring av ukrypterte push-varsler på disk, og omgåelse av sertifikatunntak. Denne oppdateringen oppdaterer Seamonkey med sikkerhetsrettingene i Firefox 115.3.0 og Thunderbird 115.3.0. Oppdater til Seamonkey-2.53.17.1. 12.0-014

sendmail

12.0 086 sendmail Dato: 02.02.2024 Alvorlighetsgrad: Kritisk

I sendmail-8.18.2, et sikkerhetsproblem ble rettet som tillater SMTP-smugling på offentlig tilgjengelige e-postservere. Eksterne angripere kan bruke et offentlig tilgjengelig utnyttelsespunkt for å injisere e-postmeldinger med en forfalsket MAIL FROM adresse, som også tillater omgåelse av SPF beskyttelsesmekanismer. Oppdater til sendmail-8.18.2 hvis du har en offentlig tilgjengelig e-postserver. 12.0-086

SpiderMonkey

12.0 064 SpiderMonkey Dato: 27.12.2023 Alvorlighetsgrad: Høy

I SpiderMonkey/mozjs-115.6.0, et sikkerhetsproblem ble rettet som kunne føre til problemer med minnesikkerheten. Dette sikkerhetsproblemet kan føre til vilkårlig kodekjøring og krasj på grunn av minnekorrupsjon. Oppdater til SpiderMonkey-115.6.0. 12.0-064

12.0 030 SpiderMonkey Dato: 24.10.2023 Alvorlighetsgrad: Høy

I Javascript koden til firefox-115.4.0 finnes det en løsning for et potensielt krasj. Oppstrøms vurderer dette som middels, men BLFS vurderer det som høyt i påvente av ekstern analyse. 12.0-030

systemd

12.0 068 systemd Dato: 30.12.2023 Alvorlighetsgrad: Medium

Det ble funnet et sikkerhetsproblem i systemd-resolved som kunne tillate systemd-resolved å godta poster for DNSSEC signerte domener, selv når de ikke har noen signatur. Merk at du må ha DNSSEC støtte aktivert på systemet ditt for å være sårbart for dette sikkerhetsproblemet, og at støtte ikke er aktivert som standard. Hvis du har DNSSEC støtte aktivert, må du gjenoppbygge systemd med den nye 'sed' ved å følge instruksjonene fra BLFS. Hvis du ikke har DNSSEC støtte aktivert, er det ikke nødvendig med noen handling. 12.0-068

Thunderbird

12.0 105 Thunderbird Dato: 21.02.2024 Alvorlighetsgrad: Høy

I Thunderbird-115.8.0, flere sikkerhetsproblemer ble rettet som kunne tillate forfalskning, skjulte varsler, tilsløring av tillatelsesdialogboksen, utilsiktet tillatelsesinnvilgelse, injeksjon av svarhoder og kjøring av vilkårlig kode. Oppdater til Thunderbird-115.8.0. 12.0-105

12.0 080 Thunderbird Dato: 24.01.2024 Alvorlighetsgrad: Høy

I Thunderbird-115.7.0, ni sikkerhetsproblemer ble rettet som kunne tillate eksternt utnyttbare krasj, kjøring av vilkårlig kode, omgåelse av HSTS policyer, eskalering av privilegier, omgåelse av tillatelsesforespørsler, phishing og omgåelse av innholdssikkerhetspolicyen hvis en slik er angitt. Oppdater til Thunderbird-115.7.0. 12.0-080

12.0 063 Thunderbird Dato: 26.12.2023 Alvorlighetsgrad: Høy

I Thunderbird-115.6.0, elleve sikkerhetssårbarheter ble rettet som kunne tillate ekstern kjøring av kode, utnyttbare krasj, sandkasse-rømming, aksept av S/MIME signaturer til tross for avvikende meldingsdatoer, udefinert oppførsel og aksept av forfalskede meldinger ved behandling av PGP/MIME nyttelaster. Oppdater til Thunderbird-115.6.0. 12.0-063

12.0 047 Thunderbird Dato: 22.11.2023 Alvorlighetsgrad: Høy

I Thunderbird-115.5.0, syv sikkerhetsproblemer ble rettet som kunne tillate ekstern kjøring av kode, krasj som kunne utnyttes eksternt, clickjacking når tillatelsesspørsmål presenteres for brukeren, minnedatalekkasje på et lerret og at tekst uventet kopieres til hovedvalget når den kjører under X11. Oppdater til Thunderbird-115.5.0. 12.0-047.

12.0 037 Thunderbird Dato: 02.11.2023 Alvorlighetsgrad: Høy

I Thunderbird-115.4.1, seks sikkerhetsproblemer ble rettet som kunne tillate eksternt utnyttbare krasj, kjøring av vilkårlig kode, clickjacking, adressebark forfalskning og at utvidelser åpnet vilkårlige URL-er i bakgrunnen. Oppdater til Thunderbird-115.4.1. 12.0-037.

12.0 015 Thunderbird Dato: 27.09.2023 Alvorlighetsgrad: Høy

I Thunderbird-115.3.0, tre sikkerhetsproblemer ble fikset som kunne føre til eksternt utnyttbare krasj og kjøring av vilkårlig kode. Merk at disse sikkerhetsproblemene bare gjelder når du bruker HTML e-post. Oppdater til Thunderbird-115.3.0. 12.0-015

12.0 006 Thunderbird Dato: 14.09.2023 Alvorlighetsgrad: Kritisk

I Thunderbird-115.2.2, et kritisk sikkerhetsproblem i den medfølgende libwebp filen ble fikset, noe som kunne tillate ekstern kjøring av kode ved lasting av en ondsinnet HTML e-post som inneholder et innebygd webp bilde. Versjonen av Thunderbird som ble levert med BLFS 12.0 var konfigurert til å bruke den medfølgende versjonen av libwebp, men den har blitt endret i utviklingsboken til å bruke systemversjonen av libwebp. Det anbefales at du oppdaterer til den oppdaterte versjonen av libwebp og at du oppgraderer Thunderbird umiddelbart for å beskytte systemet ditt. 12.0-006

Unbound

12.0 096 Unbound Dato: 27.09.2023 Alvorlighetsgrad: Høy

I Unbound-1.19.1, to sikkerhetsproblemer ble rettet som kunne føre til at instansen krasjet på grunn av CPU utmattelse. Oppdater til Unbound-1.19.1. 12.0-096

tracker-miners

12.0 034 tracker-miners Oppdatert: 02.11.2023 Alvorlighetsgrad: Høy

I tracker-miners-3.6.1, et sikkerhetsproblem ble rettet som tillater en sandkasse-rømming. Dette sikkerhetsproblemet vil tillate en skadelig fil å kjøre kode utenfor sandkassen hvis tracker-extract prosessen har blitt kompromittert av et sikkerhetsproblem i en annen pakke. Oppdater til tracker-miners-3.6.2 og dens avhengighet tracker-3.6.0, eller alternativt oppdater til tracker-miners-3.5.4. 12.0-034

WebKitGTK

12.0 089 WebKitGTK Dato: 05.02.2024 Alvorlighetsgrad: Kritisk

I WebKitGTK-2.42.5, tre sikkerhetsproblemer ble fikset som kunne tillate triviell ekstern kodekjøring og at en nettside kunne lage fingeravtrykk av en bruker. På grunn av sikkerhetsproblemene ved ekstern kodekjøring anbefales det at du oppdaterer WebKitGTK umiddelbart for å beskytte systemet ditt. Oppdater til WebKitGTK-2.42.5. 12.0-089

12.0 058 WebKitGTK Dato: 19.12.2023 Alvorlighetsgrad: Medium

I WebKitGTK-2.42.4, et sikkerhetsproblem ble rettet som kunne føre til at et program krasjet ved behandling av et stort SVG bilde. Problemet ble løst med forbedret minnehåndtering. Oppdater til WebKitGTK-2.42.4 eller nyere. 12.0-058

12.0 052 WebKitGTK Dato: 06.12.2023 Alvorlighetsgrad: Kritisk

I WebKitGTK-2.42.3, to sikkerhetsproblemer ble fikset som kunne tillate informasjonsavsløring og kjøring av vilkårlig kode. Begge disse sårbarhetene kan utnyttes ved behandling av spesiallaget nettinnhold, og er kjent for å bli aktivt utnyttet. Oppdater til WebKitGTK-2.42.3 eller nyere umiddelbart for å beskytte systemet ditt. 12.0-052

12.0 044 WebKitGTK Dato: 16.11.2023 Alvorlighetsgrad: Høy

I WebKitGTK+-2.42.2, to sikkerhetsproblemer ble rettet, som kunne føre til tjenestenekt og ekstern kjøring av kode ved behandling av laget nettinnhold. Oppdater til WebKitGTK+-2.42.2 eller nyere umiddelbart for å beskytte systemet ditt. 12.0-044

12.0 016 WebKitGTK+ Dato: 27.09.2023 Alvorlighetsgrad: Kritisk

I WebKitGTK+-2.42.1, et kritisk sikkerhetsproblem ble rettet som kunne føre til ekstern kjøring av kode ved behandling av spesiallaget nettinnhold. Sårbarheten ble løst med ytterligere kontroller ved behandling av JavaScript. Apple er klar over rapporter om at dette sikkerhetsproblemet blir aktivt utnyttet, og krever ingen brukermedvirkning for å utnytte det. Oppdater til WebKitGTK+-2.42.1 eller nyere umiddelbart for å beskytte systemet ditt. 12.0-016

wpa_supplicant

12.0 097 wpa_supplicant Dato: 13.02.2024 Alvorlighetsgrad: Høy

I wpa_supplicant-2.10, ble det oppdaget et sikkerhetsproblem som kunne gjøre det mulig for en angriper å lure et offer til å koble seg til en ondsinnet klone av et bedrifts WiFi-nettverk, og dermed la dem avlytte all trafikk. BLFS utviklerne har laget en oppdatering for dette sikkerhetsproblemet basert på en oppstrømsrettelse. 12.0-097

xdg-utils

12.0 093 xdg-utils Dato: 13.02.2024 Alvorlighetsgrad: Medium

I xdg-utils-1.2.1, et sikkerhetsproblem som kunne tillate at vedlegg ble lagt til diskret i e-poster sendt via kommandoen 'xdg-email', ble rettet. Oppdater til xdg-utils-1.2.1. 12.0-093

Xorg-server

12.0 071 xorg-server Dato: 17.01.2024-01-17 Alvorlighetsgrad: Medium

I xorg-server-21.1.11, fire sikkerhetsproblemer ble rettet som kunne føre til krasj, privilegieeskalering og ekstern kodekjøring på systemer der X11 videresending er i bruk. Disse sårbarhetene er klassifisert som heapbufferoverløp og minnetilgang utenfor grensene. Oppdater til xorg-server-21.1.11. 12.0-071

12.0 055 xorg-server Oppdatert: 15.12.2023 Alvorlighetsgrad: Høy

I xorg-server-21.1.10, to sikkerhetsproblemer ble rettet som kunne tillate privilegieeskalering og minneavsløring. Hvis du bruker SSH X Forwarding, kan disse sårbarhetene brukes til ekstern kjøring av kode. Oppdater til xorg-server-21.1.10 12.0-055

12.0 032 xorg-server Oppdatert: 29.10.2023 Alvorlighetsgrad: Høy

I xorg-server-21.1.9 et sikkerhetsproblem ble rettet på grunn av en skrivefeil utenfor grensene, som førte til eskalering av rettigheter eller tjenestenekt. Oppdater til xorg-server-21.1.9. 12.0-032

12.0 031 xorg-server Oppdatert: 2023-10-29 Alvorlighetsgrad: Lav

I xorg-server-21.1.9 et sikkerhetsproblem ble rettet som kunne tillate et X serverkrasj i en svært spesifikk og eldre konfigurasjon. Oppdater til xorg-server-21.1.9. 12.0-031

Xwayland

12.0 072 Xwayland Dato: 17.01.2024 Alvorlighetsgrad: Medium

I Xwayland-23.2.4, fire sikkerhetsproblemer ble rettet som kunne føre til krasj og eskalering av rettigheter. Disse sårbarhetene er klassifisert som heap buffer overløp og out-of-bounds minnetilgang. Oppdater til Xwayland-23.2.4. 12.0-072

12.0 056 Xwayland Dato: 15.12.2023 Alvorlighetsgrad: Høy

I Xwayland-23.2.3, to sikkerhetsproblemer ble rettet på grunn av lesing og skriving utenfor grensene, noe som førte til eskalering av rettigheter og informasjonsavsløring. Oppdater til Xwayland-23.2.3. 12.0-056

12.0 032 xwayland Oppdatert: 29.10.2023 Alvorlighetsgrad: Høy

I xwayland-23.2.2 et sikkerhetsproblem ble rettet på grunn av en skrivefeil utenfor grensene, som førte til eskalering av rettigheter eller tjenestenekt. Oppdater til xwayland-23.2.2. 12.0-032