BLFS sikkerhetsråd for BLFS 12.1.
BLFS-12.1 ble utgitt 01.03.2024
Denne siden er i alfabetisk rekkefølge etter pakker, og hvis en pakke har flere råd, kommer den nyeste først.
Lenkene på slutten av hvert element peker til flere detaljer som har lenker til utgitte bøker.
Generelt sett hentes alvorlighetsgraden fra oppstrøms, hvis oppgitt, eller fra NVD (https://nvd.nist.gov/vuln/detail/) hvis en analyse er tilgjengelig der, men individuelle alvorlighetsgrader ved NVD kan endres over tid. Hvis ingen annen informasjon er tilgjengelig, antas det vanligvis en «Høy» alvorlighetsgrad.
Apache HTTPD
12.1 067 Apache HTTPD Dato: 04.07.2024 Alvorlighetsgrad: Høy
I httpd-2.4.61, åtte sikkerhetshull ble rettet. 12.1-067
12.1 023 Apache HTTPD Dato: 08.04.2024 Alvorlighetsgrad: Høy
I httpd-2.4.59, tre sikkerhetsproblemer ble fikset som kunne tillate tjenestenektelse og HTTP responsdeling. En av disse sårbarhetene er «HTTP/2 CONTINUATION» angrepet, og tillater eksternt utnyttbar minneutmattelse. Oppdater til httpd-2.4.59 umiddelbart for å beskytte deg selv mot «HTTP/2 CONTINUATION» angrepet. 12.1-023
BIND
12.1 080 BIND Dato: 23.07.2024 Alvorlighetsgrad: Høy
I BIND-9.18.28, fire sikkerhetsproblemer ble fikset som kunne tillate en angriper å krasje DNS serveren eksternt. Merk at dette bare påvirker serveren, og ikke verktøyene. En av disse sårbarhetene er i SIG0 støtten, som ble fjernet fullstendig i denne utgivelsen. Alle brukere som kjører en offentlig tilgjengelig DNS server anbefales å oppgradere til denne utgivelsen så snart som mulig. Oppdater til BIND-9.18.28. 12.1-080
c-ares
12.1 002 c-ares Dato: 02.03.2024 Alvorlighetsgrad: Medium
I c-ares-1.27.0, et sikkerhetsproblem ble rettet som kunne føre til krasj ved lesing av feilformaterte /etc/resolv.conf-, /etc/nsswitch.conf eller HOSTALIASES filer. Oppdater til c-ares-1.27.0. 12.1-002
cryptsetup
12.1 065 cryptsetup Oppdatert: 10.07.2024 Alvorlighetsgrad: Høy
I cryptsetup-2.7.3, et sikkerhetsproblem ble rettet som kunne føre til at en disk ble delvis dekryptert, eller at dataene ble ødelagt. Oppdater til cryptsetup-2.7.3. 12.1-065
CUPS
12.1 062 CUPS Dato: 12.06.2024 Alvorlighetsgrad: Medium
I CUPS-2.4.9, et sikkerhetsproblem ble rettet som kunne tillate eskalering av rettigheter og tillater filer som kan skrives til hele verden i spesielle konfigurasjoner. Hvis et lyttealternativ i konfigurasjonsfilene peker til en symbolsk lenke, vil CUPS utføre en vilkårlig chmod til 0140777 av den plasseringen. Oppdater til CUPS-2.4.9 hvis du bruker denne konfigurasjonen. 12.1-062
cURL
12.1 084 cURL Dato: 31.07.2024 Alvorlighetsgrad: Lav
I cURL-8.9.1, et sikkerhetsproblem ble rettet som kunne føre til et krasj eller potensielt lekkasje av innholdet i heap-minne til applikasjonen når CURLINFO_CERTINFO brukes. Oppdater til cURL-8.9.1 12.1-084
12.1 081 cURL Dato: 24.07.2024 Alvorlighetsgrad: Medium
I cURL-8.9.0, et sikkerhetsproblem ble rettet som kunne føre til et krasj som oppstår når en server tilbyr et spesiallaget TLS sertifikat. Dette skjer i utf8asn1str() funksjonen i ASN.1 parseren. Merk at i noen tilfeller der malloc implementeringen ikke oppdager denne feilen, kan dette potensielt tillate ekstern kodekjøring. Oppdater til cURL-8.9.0. 12.1-081
12.1 015 cURL Dato: 27.03.2024 Alvorlighetsgrad: Medium
I cURL-8.7.1, et sikkerhetsproblem ble rettet som kunne føre til krasj på grunn av lekkasje av minne etter en avbrutt HTTP/2-serverpush. Oppdater til cURL-8.7.1. 12.1-015
Dovecot
12.1 093 Dovecot Dato: 2024-08-16 Alvorlighetsgrad: Høy
I Dovecot-2.3.19.1, to sikkerhetsproblemer ble rettet som kunne føre til ressursutmattelse ved behandling av store e-postoverskrifter. Ett av disse problemene oppstår når man behandler svært store e-postoverskrifter, mens det andre problemet oppstår når det er et stort antall adresseoverskrifter. Oppdater til Dovecot-2.3.19.1. 12.1-093
Emacs
12.1 071 Emacs Dato: 10.07.2024 Alvorlighetsgrad: Høy
I Emacs-29.4, et sikkerhetsproblem ble fikset som kunne tillate at vilkårlige skallkommandoer kunne kjøres i Org modus (den innebygde e-postklienten). Det finnes et offentlig konseptbevis tilgjengelig, og denne sårbarheten er enkelt å utnytte. Hvis du bruker Org modus i Emacs, må du oppdatere Emacs umiddelbart. Oppdater til Emacs-29.4. 12.1-071
12.1 014 Emacs Dato: 26.03.2024 Alvorlighetsgrad: Høy
I Emacs-29.3, fire sikkerhetsproblemer ble fikset som kunne tillate vilkårlig utførelse av Lisp kode, vilkårlig utførelse av kode via visning av en LaTeX forhåndsvisning for e-postvedlegg, og at upålitelig innhold vises i Org modus og ved behandling av e-poster. Hvis du bruker Emacs til å vise e-post eller bruker Org funksjonaliteten til dokumentredigering, formatering eller organisering, bør du oppdatere til Emacs-29.3 umiddelbart. 12.1-014
Exiv2
12.1 078 Exiv2 Dato: 19.07.2024 Alvorlighetsgrad: Lav
I Exiv2-0.28.3, et sikkerhetsproblem ble rettet som kunne tillate tjenestenekt (lesing utenfor grensene) ved parsing av metadataene til en laget ASF videofil. Oppdater til Exiv2-0.28.3. 12.1-078
Firefox
12.1 086 Firefox Dato: 07.08.2024 Alvorlighetsgrad: Høy
I Firefox-128.1.0esr (eller 115.14.0), tolv sikkerhetssårbarheter ble rettet som kunne tillate at varslingsdialoger i fullskjerm ble skjult, ekstern kodekjøring, informasjonsavsløring, sandkasse-rømninger, eksternt utnyttbare krasj, skripting på tvers av nettsteder, omgåelse av innholdssikkerhetspolicyer, omgåelse av tillatelser, skjult sikkerhetsspørsmål og utilsiktet dekryptering av data (på Sandy Bridge prosessorer). Oppdater til Firefox-128.1.0esr (eller 115.14.0). 12.1-086
12.1 074 Firefox Dato: 12.07.2024 Alvorlighetsgrad: Høy
I Firefox-128.0esr (og 115.13.0esr), flere sikkerhetsproblemer ble rettet som kunne tillate ekstern kjøring av kode, brukerforvirring som tillot uautoriserte tillatelser, flytting av markøren utenfor Firefox vinduet, krasj, blokkering av utgang fra fullskjermmodus, omgåelse av innholdssikkerhetspolicyer og utilsiktet sending av informasjonskapsler. Oppdater til Firefox-128.0esr (eller 115.13.0esr). 12.1-074
12.1 063 Firefox Dato: 12.06.2024 Alvorlighetsgrad: Høy
I Firefox-115.12.0esr, syv sikkerhetssårbarheter ble rettet som kunne føre til potensielt utnyttbare krasj, omgåelser av sandkassebegrensninger lekkasje av eksterne protokollbehandlere, minnekorrupsjon, ekstern kodekjøring og bildelekkasjer på tvers av opprinnelser. Oppdater til Firefox-115.12.0esr. 12.1-063
12.1 052 Firefox Dato: 31.05.2024 Alvorlighetsgrad: Høy
I Firefox-115.11.0esr, seks sikkerhetsproblemer ble rettet som kunne tillate vilkårlig kodekjøring, vilkårlig JavaScript kjøring, potensielle omgåelser av tillatelser, lekkasje av respons på tvers av opprinnelse og krasj når sider lagres i PDF filer. Oppdater til Firefox-115.11.0esr. 12.1-052
12.1 032 Firefox Dato: 17.04.2024 Alvorlighetsgrad: Høy
I Firefox-115.10.0esr, åtte sikkerhetsproblemer ble rettet som kunne tillate vilkårlig kodekjøring, eksternt utnyttbare tjenestenektanfallsbetingelser (ved bruk av HTTP/2 CONTINUATION rammer), eksternt utnyttbare krasj og clickjacking. Noen av disse sårbarhetene oppstår når JIT kompilatoren brukes, men én av sårbarhetene er 32-bits spesifikk og tillater et heltallsoverflyt når en håndlaget OpenType skrift behandles. Oppdatering av Firefox anbefales på grunn av HTTP/2 CONTINUATION angrepet. Oppdater til Firefox-115.10.0esr. 12.1-032
12.1 013 Firefox Dato: 22.03.2024 Alvorlighetsgrad: Kritisk
I firefox 115.9.1 en kritisk sårbarhet som ble avslørt på denne ukens pwn2own ble fikset. Oppdater til firefox-115.9.1. 12.1-013
12.1 008 Firefox Dato: 19.03.2024 Alvorlighetsgrad: Høy
I firefox 115.9.0 åtte sårbarheter som gjelder for Linux X86 ble rettet. Oppdater til Firefox-115.9.0. 12.1-008
FontForge
12.1 028 FontForge Dato: 15.04.2024 Alvorlighetsgrad: Medium
I FontForge-20230101, to sikkerhetsproblemer ble oppdaget som kunne tillate kommandoinjeksjon via ondsinnede filnavn og ondsinnede arkiver. Sårbarhetene ble løst ved å endre koden til å bruke g_spawn_sync/async() funksjonene i stedet for system() funksjonene, noe som fører til at kommandoer ikke kan utføres gjennom et skall. Gjenoppbygg FontForge med oppdateringen ved å følge instruksjonene i boken. 12.1-028
gdk-pixbuf
12.1 042 gdk-pixbuf Dato: 22.05.2024 Alvorlighetsgrad: Høy
I gdk-pixbuf-2.42.12, et sikkerhetsproblem ble rettet som kunne tillate korrupsjon av heap-minne (og dermed kjøring av vilkårlig kode eller krasj) ved behandling av deler i en laget ANI fil. ANI filer er animerte markører for Windows, men kan indekseres av Tracker og kan vises i noen applikasjoner. Oppdater til gdk-pixbuf-2.42.12. 12.1-042
ghostscript
12.1 043 ghostscript Dato: 22.05.2024 Alvorlighetsgrad: Høy
I ghostscript-10.03.1, fem sikkerhetssårbarheter ble rettet som kunne føre til krasj, skallinjeksjon og ekstern kodekjøring ved behandling av PostScript filer (inkludert utskriftsjobber). Oppdater til ghostscript-10.03.1. 12.1-043
12.1 006 ghostscript Dato: 09.03.2024 Alvorlighetsgrad: Høy
I ghostscript-10.03.0, et sikkerhetsproblem ble rettet som kunne tillate vilkårlig kodekjøring i den leverte fork-en til tesseract biblioteket som brukes til OCR. 12.1-006
giflib
12.1 001 giflib Dato: 02.03.2024 Alvorlighetsgrad: Høy
I giflib-5.2.2, to sikkerhetsproblemer ble rettet som kunne gjøre det mulig for en lokal angriper å få tak i sensitiv informasjon og føre til krasj. Disse sårbarhetene finnes i DumpScreen2RGB() funksjonen i gif2rgb verktøyet. Oppdater til giflib-5.2.2 hvis du bruker gif2rgb verktøyet. 12.1-001
Git
12.1 038 Git Dato: 15.05.2024 Alvorlighetsgrad: Medium
I git-2.45.0, fire sikkerhetsproblemer ble fikset som tillot et skadelig laget arkiv å kjøre skadelig kode under kloning og opprette hardlinker til filer utenfor det klonede arkivet. Oppdater til git-2.45.1 12.1-038
glib2
12.1 044 glib2 Dato: 22.05.2024 Alvorlighetsgrad: Medium
I glib-2.80.2, et sikkerhetsproblem ble rettet som kunne tillate unicast forfalskning med tjenester som bruker GDBus. Dette inkluderer flere systemtjenester, inkludert NetworkManager og andre. Dette tillater andre brukere av en delt datamaskin å sende forfalskede D-Bus signaler som en GDBus basert klient feilaktig vil tolke som sendt av den klarerte systemtjenesten, noe som vil forårsake feil oppførsel med en applikasjonsavhengig innvirkning. Oppdater til glib-2.80.2. 12.1-044
gnutls
12.1 012 gnutls Dato: 23.03.2024 Alvorlighetsgrad: Medium
I gnutls-3.8.4, to sikkerhetsproblemer ble fikset. Den ene fikset en feil der certtool krasjet ved verifisering av en sertifikatkjede med mer enn 16 sertifikater, og den andre fikset en sidekanal i den deterministiske ECDSA. Oppdater til gnutls-3.8.4. 12.1-012
gstreamer
12.1 039 gstreamer Dato: 22.05.2024 Alvorlighetsgrad: Høy
I gst-plugins-base-1.24.3, et sikkerhetsproblem ble rettet som kunne tillate en heap-basert bufferoverløp i EXIF bildetagparseren ved behandling av en bestemt feilformet fil. Dette ville tillate en ondsinnet tredjepart å utløse et krasj i applikasjonen, samt oppnå kodekjøring gjennom heap-manipulasjon. Oppdater gstreamer-stakken til 1.24.3. 12.1-039
GTK+-3
12.1 073 GTK+-3 Dato: 12.07.2024 Alvorlighetsgrad: Medium
I GTK+-3.24.43, et sikkerhetsproblem ble rettet som kunne tillate bibliotekinjeksjon fra gjeldende arbeidsmappe hvis visse miljøvariabler ble angitt. Oppdater til GTK+-3.24.43. 12.1-073
idna (Python Modul)
12.1 089 idna (Python Modul) Dato: 12.08.2024 Alvorlighetsgrad: Høy
I idna-3.7, et sikkerhetsproblem ble rettet som kunne tillate at spesiallaget, ugyldig inndata forårsaket et usedvanlig stort ressursforbruk, som øker kvadratisk avhengig av kompleksiteten til inndataen. Dette gjelder idna.encode() funksjonen. Oppdater til idna-3.7. 12.1-089
Intel Mikrokode
12.1 045 Intel Mikrokode Dato: 24.05.2024 Alvorlighetsgrad: Høy
I intel-microcode-20240514, fire maskinvaresårbarheter er rettet. En av dem kan tillate tjenestenekt ved bruk av Intel Core Ultra prosessorer som tilhører Meteor Lake plattformen på grunn av en ugyldig sekvens av prosessorinstruksjoner. En annen av disse sårbarhetene tillater informasjonsavsløring under visse omstendigheter på grunn av kappløpsforhold i maskinvarelogikk. Dette påvirker prosessorer som tilhører Meteor Lake (Intel Core Ultra familien) samt Alder Lake, Raptor Lake og Arizona Beach prosessorene. Dette inkluderer 12. generasjonsfamilie av Intel CPU-er samt 13. generasjon, Intel Core Processor N-familien, Pentium Gold prosessorfamilien og Atom C-serien av prosessorer. De andre sikkerhetssårbarhetene påvirker Intel Xeon Scalable servere med støtte for Trust Domain Extensions. I dette tilfellet kan det forekomme rettighetsutvidelse. Oppdater til intel-microcode-20240514 hvis prosessoren din er berørt. 12.1-045
12.1 017 Intel Mikrokode Dato: 20.03.2024 Alvorlighetsgrad: Medium
Intel mikrokoden for noen prosessorer er oppdatert for å fikse to maskinvaresårbarheter som kan tillate tjenestenekt via ekstern tilgang, eller avsløring av informasjon via lokal tilgang. Les 12.1-017 for listen over berørte prosessorer og hvordan du oppdaterer mikrokoden og kjernen for å redusere sårbarheten.
12.1 009 Intel Mikrokode Dato: 20.03.2024 Alvorlighetsgrad: Medium
Intel mikrokoden for noen prosessorer er oppdatert for å tilby en løsning for et maskinvareproblem kjent som RFDS, eller Register File Data Sampling, som kan tillate utlevering av informasjon hvis angriperen kan kjøre kode lokalt. Les 12.1-009 for listen over berørte prosessorer og hvordan du oppdaterer mikrokoden og kjernen for å redusere sårbarheten.
libaom
12.1 061 libaom Dato: 12.06.2024 Alvorlighetsgrad: Høy
I libaom-3.9.1, et sikkerhetsproblem ble rettet som kunne tillate kjøring av vilkårlig kode ved avspilling av en håndlaget videofil. Dette kan primært utnyttes eksternt via nettlesere. Oppdater til libaom-3.9.1. 12.1-061
libarchive
12.1 036 libarchive Dato: 30.04.2024 Alvorlighetsgrad: Høy
I libarchive-3.7.4, et sikkerhetsproblem ble rettet som kunne tillate ekstern kjøring av kode ved behandling av et laget RAR arkiv på grunn av en Out-Of-Bounds lesing. Dette skjer i RAR e8 filteret, og oppstår når arkivet dekomprimeres eller vises. Oppdater til libarchive-3.7.4. 12.1-036
12.1 025 libarchive Dato: 10.04.2024 Alvorlighetsgrad: Medium
I libarchive-3.7.3, en mulig sikkerhetsfeil ble rettet som kunne tillate kommandoinjeksjon via terminal-escape sekvenser når man dekomprimerer eller viser et arkiv. Oppdater til libarchive-3.7.3. 12.1-025
Libreoffice
12.1 059 Libreoffice Dato: 07.06.2024 Alvorlighetsgrad: Høy
I Libreoffice-24.2.4.2, et sikkerhetsproblem ble rettet som kunne tillate ukontrollert skriptkjøring i grafikkbindingen ved klikk. Dette lar en angriper opprette et dokument som, uten forespørsel, vil kjøre skript innebygd i dokumentet når man klikker på grafikk. To ytterligere feil ble rettet som kunne forårsake krasj. Oppdater til Libreoffice-24.2.4.2. 12.1-059
libvpx
12.1 056 libvpx Dato: 04.06.2024 Alvorlighetsgrad: Medium
I libvpx-1.14.1, et sikkerhetsproblem ble rettet som kunne tillate heltallsoverløp i beregninger av bufferstørrelser og forskyvninger når vpx_img_alloc() ble kalt med en stor verdi av d_w-, d_h eller align parameterne. Dette kan føre til at ugyldige felt returneres i vpx_image_t strukturen, og kan forårsake tjenestenektelse eller ekstern kodeutførelse. Oppdater til libvpx-1.14.1. 12.1-056
libxml2
12.1 083 libxml2 Dato: 25.07.2024 Alvorlighetsgrad: Kritisk
I libxml2-2.13.3, et sikkerhetsproblem ble rettet som kunne tillate XML External Entity injeksjonsangrep. Dette ble observert i minst ett nedstrømsprosjekt, men ytterligere detaljer er ikke tilgjengelige for offentligheten på tidspunktet for denne veiledningen. Oppdater til libxml2-2.13.3. 12.1-083
12.1 040 libxml2 Dato: 22.05.2024 Alvorlighetsgrad: Low
I libxml2-2.12.7, et sikkerhetsproblem som kunne tillate overlesing av bufferen ved formatering av feilmeldinger med 'xmllint --htmlout' ble rettet. Oppdater til libxml2-2.12.7. 12.1-040
MariaDB
12.1 054 MariaDB Dato: 31.05.2024 Alvorlighetsgrad: Medium
I MariaDB-10.11.8, et sikkerhetsproblem ble rettet som kunne tillate uautorisert oppretting, endring eller sletting av data lagret i en MySQL-instans. Oppdater til MariaDB-10.11.8. 12.1-054
MIT Kerberos V5
12.1 072 MIT Kerberos V5 Dato: 10.07.2024 Alvorlighetsgrad: Høy
I MIT Kerberos V5 1.21.3, to sikkerhetsproblemer ble fikset som kunne gjøre det mulig for en angriper å endre feltet Extra Count i klartekst i et konfidensielt GSS-token, og for en angriper å forårsake ugyldige minnelesinger under håndtering av GSS-meldingstoken (ved å sende meldinger med felt med ugyldig lengde). Oppdatering anbefales hvis du bruker serverkomponenten. Oppdater til MIT Kerberos V5 1.21.3. 12.1-072
nghttp2
12.1 022 nghttp2 Dato: 08.04.2024 Alvorlighetsgrad: Medium
I nghttp2-1.61.0, et sikkerhetsproblem ble rettet som kunne tillate en tjenestenekt (overdreven CPU-bruk og OOM-krasj) fordi nghttp2 fortsetter å lese et ubegrenset antall HTTP/2 CONTINUATION rammer selv etter at en strøm er tilbakestilt for å holde HPACK-kontekst synkronisert. Oppdater til nghttp2-1.61.0 eller nyere, spesielt hvis du er vert for en server. 12.1-022
Node.js
12.1 019 Node.js Dato: 07.04.2024 Alvorlighetsgrad: Høy
I Node.js-20.12.1, to sikkerhetsproblemer ble fikset som kunne føre til serverkrasj eller ugyldige http forespørsler gjennom obfuskasjon av innholdslengde. Oppdater til Node.js-20.12.1 eller nyere. 12.1-019
12.1 034 Node.js Dato: 20.04.2024 Alvorlighetsgrad: Lav
I Node.js-20.12.2, en sårbarhet der kommandoinjeksjon kunne utføres ble rettet. Så langt er dette bare kjent for å påvirke Windows verter. Uansett anbefales oppdatering. 12.1-034
12.1 075 Node.js Dato: 14.07.2024 Alvorlighetsgrad: Medium
I Node.js-20.15.1, tre sikkerhetsproblemer ble fikset som kunne tillate endring av filtillatelser, lesing av filer brukere ikke har lov til å lese, eller omgåelse av sikkerheten til søkeparameterne i URL linjen. Oppdater til Node.js-20.15.1 eller nyere. 12.1-075
OpenJDK
12.1 082 OpenJDK Dato: 25.07.2024 Alvorlighetsgrad: Høy
I OpenJDK-22.0.2, fem sikkerhetsproblemer ble rettet som kunne tillate uautorisert endring, avsløring og sletting av data som er tilgjengelige av OpenJDK. Fire av disse sårbarhetene finnes i Hotspot komponenten, og den andre sårbarheten finnes i 2D komponenten. Alle disse kan utnyttes eksternt og uten autentisering. Oppdater til OpenJDK-22.0.2. 12.1-082
12.1 049 OpenJDK Dato: 29.05.2024 Alvorlighetsgrad: Høy
I OpenJDK-22.0.1, fire sikkerhetsproblemer ble rettet som kunne tillate tjenestenekt (programkrasj) eller uautorisert lesing, endring og sletting av data. Disse sårbarhetene kan alle utnyttes via nettverket uten at det kreves autentisering eller brukerinteraksjon, og de finnes i Hotspot og Networking komponentene. Oppdater til OpenJDK-22.0.1. 12.1-049
OpenJPEG
12.1 003 OpenJPEG Dato: 02.03.2024 Alvorlighetsgrad: Høy
I OpenJPEG-2.5.2, et sikkerhetsproblem ble rettet som kunne tillate kjøring av vilkårlig kode med tillatelsene til programmet som bruker OpenJPEG. Oppdater til OpenJPEG-2.5.2. 12.1-003
OpenSSH
12.1 066 OpenSSH Dato: 02.07.2024 Alvorlighetsgrad: Kritisk
I OpenSSH-9.8p1, et sikkerhetsproblem ble rettet som kunne tillate vilkårlig kodekjøring med root rettigheter som omgår autentisering. Oppdater til OpenSSH-9.8p1 eller sett LoginGraceTime til 0 i /etc/ssh/sshd_config. 12.1-066
p7zip
12.1 094 p7zip Dato: 20.08.2024 Alvorlighetsgrad: Høy
I p7zip-17.04, to sikkerhetsproblemer ble oppdaget som kunne tillate ekstern kodekjøring via bufferoverløp og lesninger utenfor grensene ved behandling av NTFS volumer. Installer oppdateringen på p7zip så snart som mulig hvis du behandler NTFS volumer med p7zip. 12.1-094
PHP
12.1 057 PHP Dato: 07.06.2024 Alvorlighetsgrad: Kritisk
I PHP-8.3.8, fire sikkerhetsproblemer ble fikset som kunne tillate argumentinjeksjon ved bruk av CGI, for en filteromgåelse i filter_var FILTER_VALIDATE_URL, for et OpenSSL Marvin angrep og for operativsystemets kommandoinjeksjon. Sårbarhetene for operativsystemets kommandoinjeksjon og argumentinjeksjon er kjent for å bli aktivt utnyttet, og konseptutnyttelser er tilgjengelige for offentligheten. Det anbefales at du oppdaterer PHP umiddelbart hvis du kjører det på en offentlig webserver. Oppdater til PHP-8.3.8. 12.1-057
12.1 030 PHP Dato: 17.04.2024 Alvorlighetsgrad: Høy
I PHP-8.3.6, tre sikkerhetsproblemer ble fikset som kunne tillate at usikre informasjonskapsler ble satt og dermed omgått __Host/__Secure informasjonskapsler, samt at en angriper trivielt kunne kompromittere et offers konto hvis et passord startes med en nullbyte, og for en uendelig løkke når mb_encode_mimeheader funksjonen brukes med visse håndlagde inndata. Hvis du bruker PHP til å kjøre et nettsted som godtar passord, bør du oppdatere umiddelbart. Oppdater til PHP-8.3.6. 12.1-030
plasma-workspace
12.1 055 plasma-workspace Dato: 31.05.2024 Alvorlighetsgrad: Høy
I plasma-workspace-6.0.5.1 (og 5.27.11.1), et sikkerhetsproblem ble rettet som kunne tillate uautoriserte tilkoblinger på grunn av feilaktig tillate tilkoblinger via ICE på samme vert som Plasma kjører på. Dette lar en annen bruker på samme maskin få tilgang til økt manageren, og kan utnyttes til å utføre vilkårlig kodekjøring i konteksten til den nåværende brukeren ved neste pålogging til maskinen. Oppdater til plasma-workspace-6.0.5.1 (eller 5.27.11.1). 12.1-055
PostgreSQL
12.1 088 PostgreSQL Dato: 09.08.2024 Alvorlighetsgrad: Høy
I PostgreSQL-16.4, et sikkerhetsproblem ble rettet som kunne tillate relasjonserstatning under pg_dump, som vil utføre vilkårlige SQL kommandoer. Oppdater til PostgreSQL-16.4 (eller 15.8, 14.13, 13.16 eller 12.20). 12.1-088
12.1 048 PostgreSQL Dato: 29.05.2024 Alvorlighetsgrad: Medium
I PostgreSQL-16.3 (samt 15.7 og 14.12) ble et sikkerhetsproblem rettet som kunne tillate en ikke-privilegert databasebruker å lese de fleste vanlige verdier og annen statistikk fra CREATE STATISTICS kommandoer utført av andre brukere. De vanligste verdiene vil avsløre kolonneverdier som de avlyttede ellers ikke kunne lese, eller resultater av funksjoner som de ikke kan utføre. Ytterligere modifikasjoner er nødvendig i eksisterende databaser. Se meldingen for mer informasjon. Oppdater til PostgreSQL-16.3 (eller 15.7 eller 14.12) og kjør kommandoene på slutten av meldingen. 12.1-048
Python3
12.1 069 Python3 (LFS og BLFS) Dato: 10.07.2024 Alvorlighetsgrad: Medium
I Python-3.12.4, et sikkerhetsproblem ble rettet som kunne tillate at feil informasjon ble returnert om hvorvidt visse IPv4 og IPv6 adresser var angitt som «globalt tilgjengelige» eller «private». Dette skjedde på grunn av unøyaktig informasjon fra IANAs spesialadresseregistre. Oppdater til Python-3.12.4, eller tilbakefør oppdateringen hvis du bruker en eldre versjon av Python. 12.1-069
Qt6
12.1 046 Qt6 Dato: 24.05.24.2024 Alvorlighetsgrad: Høy
I Qt6-6.7.1, to sikkerhetsproblemer ble løst som kunne tillate modifisering av stakk samt forutsigbar kryptering ved bruk av nettverksautentisering i Qt. Oppdater til Qt-6.7.1. 12.1-046.
QtWebEngine
12.1 070 QtWebEngine Dato: 10.07.2024 Alvorlighetsgrad: Høy
I QtWebEngine-6.7.2, syv sikkerhetsproblemer ble fikset som kunne tillate ekstern kjøring av kode. Alle disse problemene oppstår i den medfølgende versjonen av Chromium, og skjer i WebRTC, Dawn, Media Session, Streams API og V8 komponentene i Chromium. Flere av disse problemene er kjent for å bli aktivt utnyttet, så det anbefales at du oppdaterer så snart som mulig. Oppdater til QtWebEngine-6.7.2. 12.1-070
12.1 047 QtWebEngine Dato: 24.05.2024 Alvorlighetsgrad: Kritisk
I QtWebEngine-6.7.1, sytten sikkerhetsproblemer ble fikset som kunne tillate ekstern kjøring av kode gjennom håndlagde HTML sider, for en eksternt utnyttbar sandkasse-escape, for vilkårlig lesing/skriving av filer via ondsinnede HTML sider, for eksternt utnyttbare krasj, omgåelse av innholds sikkerhetspolicyer og for avsløring av sensitiv informasjon. Flere av disse sårbarhetene har blitt utnyttet i det siste, og det anbefales at du oppdaterer til denne versjonen av QtWebEngine umiddelbart. Hvis du fortsatt bruker en Qt5 basert versjon av QtWebEngine, anbefaler BLFS teamet at du migrerer til Qt6, Qt6 versjonen av QtWebEngine og den nyeste versjonen av Falkon så snart som mulig. Oppdater til QtWebEngine-6.7.1. 12.1-047
12.1 024 QtWebEngine-5.15-20240403 Dato: 09.04.2024 Alvorlighetsgrad: Kritisk
I QtWebEngine-5.15-20240403 snapshot 16 sårbarheter, hvorav 2 ble vurdert som kritiske av NVD, er fikset. Utviklingsbøkene har flyttet videre til Qt6, og byggeinstruksjonene har endret seg litt. Enten oppdater til nåværende Qt6, eller følg instruksjonene på 12.1-024
12.1 026 QtWebEngine-6.6.3 Dato: 11.04.2024 Alvorlighetsgrad: Kritisk
QtWebengine-6 utgivelsene gir ikke noe sammendrag av feilrettinger. Utgivelsene 6.6.3 og 6.7.0 inneholder begge et lignende sett med rettelser til sikkerhetsfeil, hvorav noen er vurdert som kritiske. Oppdater til den nyeste versjonen når den er i BLFS. 12.1-026
Ruby
12.1 035 Ruby Dato: 24.04.2024 Alvorlighetsgrad: Høy
I Ruby-3.3.1, tre sikkerhetsproblemer ble fikset som kunne tillate lesing av vilkårlig minneadresse og ekstern kjøring av kode. De vilkårlige minnelesingsproblemene forekommer i StringIO og også i Regex søkefunksjonaliteten. RCE sårbarheten forekommer i RDoc. Oppdater til Ruby-3.3.1. 12.1-035
Samba
12.1 018 Samba Dato: 07.04.2024 Alvorlighetsgrad: Høy
I Samba-4.20.0 et sikkerhetsproblem ble rettet som kunne tillate eskalering av rettigheter gjennom endring av sertifikater. Oppdater til Samba-4.20.0. 12.1-018
Seamonkey
12.1 027 Seamonkey Dato: 15.04.2024 Alvorlighetsgrad: Høy
I Seamonkey-2.53.18.2, flere sikkerhetsproblemer ble fikset som kunne føre til eksternt utnyttbare krasj, forfalskning av innhold, injeksjon av informasjonskapsler, kjøring av vilkårlig kode, tidsangrep og omgåelse av sikkerhetspolicyer for innhold. Dette er de samme sårbarhetene som ble fikset i Firefox og Thunderbird 115.8.0 og 115.9.0. Oppdater til Seamonkey-2.53.18.2. 12.1-027
12.1 005 Seamonkey Dato:07.03. 2024 Alvorlighetsgrad: Høy
I Seamonkey-2.53.18.1, flere sikkerhetsproblemer ble fikset som kunne tillate ekstern kjøring av kode, utnyttbare krasj, sandkasse-rømninger, S/MIME signaturer som aksepteres under omstendigheter der de ikke er gyldige, udefinert oppførsel, forfalskede meldinger som aksepteres ved behandling av PGP/MIME nyttelaster, omgåelser av HSTS-policyer, privilegieeskalering, phishing, omgåelse av tillatelsesforespørsler og krasj ved oppføring av skrivere på et system. Disse sårbarhetene er alle identiske med de som ble fikset i Firefox/Thunderbird 115.6 og 115.7.0esr. Oppdater til Seamonkey-2.53.18.1. 12.1-005
SpiderMonkey
12.1 085 SpiderMonkey Dato: 07.08.2024 Alvorlighetsgrad: Høy
I SpiderMonkey-115.14.0, et sikkerhetsproblem ble rettet som kunne tillate et eksternt utnyttbart krasj forårsaket av en bruk-etter-frigjøring når det oppstår uventet markeringsarbeid ved starten av feiing under søppelsamling. Oppdater til SpiderMonkey-115.14.0. 12.1-085
12.1 064 SpiderMonkey Dato: 12.06.2024 Alvorlighetsgrad: Høy
I SpiderMonkey-115.12.0, et sikkerhetsproblem ble rettet som kunne føre til et potensielt utnyttbart krasj hvis søppelinnsamling ble utløst til rett tid. Sårbarheten oppstår på grunn av en bruk-etter-frigjøring under objektoverføring. Oppdater til SpiderMonkey-115.12.0. 12.1-064
12.1 051 SpiderMonkey Dato: 31.05.2024 Alvorlighetsgrad: Høy
I SpiderMonkey-115.11.0, et sikkerhetsproblem ble rettet som kunne tillate vilkårlig kodekjøring ved kall av IsDiamondPattern funksjonen. Oppdater til SpiderMonkey-115.11.0. 12.1-051
12.1 031 SpiderMonkey Dato: 07.04.2024 Alvorlighetsgrad: Høy
I SpiderMonkey/mozjs-115.10.0, tre sikkerhetsproblemer ble rettet i JIT kompilatoren som kunne føre til at GetBoundName returnerte feil objekt, for krasj etter en feiloptimalisert switch setning, og for feil JITting av argumenter til lead for krasj under søppelinnsamling. Dette kunne føre til uventede krasj i noen applikasjoner. Oppdater til SpiderMonkey/mozjs-115.10.0. 12.1-031
Thunderbird
12.1 087 Thunderbird Dato: 07.08.2024 Alvorlighetsgrad: Høy
I Thunderbird-128.1.0esr, ti sikkerhetsproblemer ble rettet som kunne tillate at varslingsdialoger i fullskjerm ble skjult, ekstern kodekjøring, informasjonsavsløring, sandkasse-rømninger, eksternt utnyttbare krasj, skripting på tvers av nettsteder, omgåelse av tillatelser, og, og for å skjule sikkerhetsspørsmålet. Oppdater til Thunderbird-128.1.0esr. 12.1-087
12.1 076 Thunderbird Dato: 16.07.2024 Alvorlighetsgrad: Høy
I Thunderbird-128.0esr (og 115.13.0esr), flere sikkerhetsproblemer ble rettet som kunne tillate ekstern kjøring av kode, brukerforvirring som tillot uautoriserte tillatelser, flytting av markøren utenfor Thunderbird vinduet, krasj, blokkering av avslutting fra fullskjermmodus, omgåelse av innholdssikkerhetspolicyer og utilsiktet sending av informasjonskapsler. Merk at de fleste av disse sårbarhetene bare påvirker HTML e-post. Oppdater til Thunderbird-128.0esr (eller 115.13.0esr). 12.1-076
12.1 053 Thunderbird Dato: 31.05.2024 Alvorlighetsgrad: Høy
I Thunderbird-115.11.0, seks sikkerhetsproblemer ble rettet som kunne tillate vilkårlig kodekjøring, vilkårlig JavaScript kjøring, potensielle omgåelser av tillatelser, lekkasje av respons på tvers av opprinnelse og krasj når sider lagres i PDF filer. Oppdater til Thunderbird-115.11.0. 12.1-053
12.1 033 Thunderbird Dato: 17.04.2024 Alvorlighetsgrad: Høy
I Thunderbird-115.10.0, åtte sikkerhetsproblemer ble rettet som kunne tillate vilkårlig kodekjøring, eksternt utnyttbare tjenestenektanfall (ved bruk av HTTP/2 CONTINUATION rammer), eksternt utnyttbare krasj og clickjacking. Noen av disse sårbarhetene oppstår når JIT kompilatoren brukes, men én av sårbarhetene er 32-bitsspesifikk og tillater et heltallsoverflyt når en håndlaget OpenType skrift behandles. Det anbefales å oppdatere Thunderbird på grunn av HTTP/2 CONTINUATION angrepet, siden noen HTML e-poster kan bruke denne protokollen. Oppdater til Thunderbird-115.10.0. 12.1-032
12.1 011 Thunderbird Dato: 30.03.2024 Alvorlighetsgrad: Høy
I Thunderbird-115.9.0, ni sikkerhetsproblemer ble rettet som kunne tillate ekstern kjøring av kode, krasj som kunne utnyttes eksternt, clickjacking (som lar en bruker gi tillatelser ved et uhell), RSA dekrypteringstidsangrep, omgåelser av innholdssikkerhet og vilkårlig kodekjøring. Oppdater til Thunderbird-115.9.0. 12.1-011
12.1 004 Thunderbird Dato: 06.03.2024 Alvorlighetsgrad: Høy
I Thunderbird-115.8.1, et sikkerhetsproblem ble rettet som kunne tillate lekkasje av et kryptert e-postemne til en annen samtale. Når dette problemet oppstår, kan en bruker ved et uhell lekke det konfidensielle emnet til en tredjepart. Ytterligere trinn er nødvendige hvis dette emneblandingsproblemet har oppstått. Oppdater til Thunderbird-115.8.1 eller nyere, og følg instruksjonene i sikkerhetsveiledningen. 12.1-004
Unbound
12.1 092 Unbound Dato: 18.08.2024 Alvorlighetsgrad: Lav
I Unbound-1.21.0, tre sikkerhetsproblemer ble fikset som kunne tillate DNS Cache Poisoning angrep og krasj som kunne utnyttes eksternt. DNS Cache Poisoning angrepet er kjent som CacheFlush, mens CAMP angrepet tillater krasj som kan utnyttes eksternt på de fleste DNS serverimplementeringer. Oppdater til Unbound-1.21.0. 12.1-092
12.1 007 Unbound Dato: 15.03.2024 Alvorlighetsgrad: Høy
I Unbound-1.19.3, et sikkerhetsproblem ble rettet som kunne tillate et angrep å forårsake et tjenestenektangrep (DoS) som utnytter en kodebane som kan føre til en uendelig løkke på grunn av feilkode i funksjonen som fjerner EDE-poster. Oppdater til Unbound-1.19.3. 12.1-007
urllib3 (Python Modul)
12.1 090 urllib3 (Python Modul) Dato: 12.08.2024 Alvorlighetsgrad: Medium
I urllib3-2.2.2, to sikkerhetsproblemer ble fikset som kunne tillate utilsiktet informasjonsavsløring via HTTP-headeren «Cookie», og at innholdet i HTTP forespørselstekster utilsiktet ble lekket etter omdirigeringer. Oppdater til urllib3-2.2.2. 12.1-090
VLC
12.1 058 VLC Dato: 07.06.2024 Alvorlighetsgrad: Høy
I VLC-3.0.21, et sikkerhetsproblem ble rettet i implementeringen av MMS protokollen som tillater heltallsoverløp. Når en håndlaget strøm spilles av, kan dette føre til tjenestenektelse eller andre påvirkninger som kjøring av vilkårlig kode. Oppdater til VLC-3.0.21. 12.1-058
vorbis-tools
12.1 079 vorbis-tools Dato: 22.07.2024 Alvorlighetsgrad: Høy
I vorbis-tools-1.4.2, ble det oppdaget et sikkerhetsproblem som kan tillate vilkårlig kodekjøring eller tjenestenekt når en laget WAV fil behandles og konverteres til en OGG ved hjelp av kommandoen 'oggenc'. Gjenoppbygg vorbis-tools-1.4.2 med sed kommandoen i boken. 12.1-79
VTE
12.1 060 VTE Dato: 12.06.2024 Alvorlighetsgrad: Medium
I VTE-0.76.3, et sikkerhetsproblem ble rettet som tillater en angriper å forårsake et tjenestenektelsesproblem (minneforbruk) via en escape-sekvens for endring av vindusstørrelse. Dette problemet ligner på CVE-2000-0476. Oppdater til VTE-0.76.3. 12.1-060
WebKitGTK
12.1 095 WebKitGTK Dato: 04.09.2024 Alvorlighetsgrad: Kritisk
I WebKitGTK-2.44.3, seks sikkerhetsproblemer ble rettet som kunne føre til uventede prosesskrasj som kan utnyttes eksternt. Disse problemene skyldes hovedsakelig lesninger utenfor grensene og problemer med bruk etter frigjøring. Ett problem lar imidlertid en ekstern angriper potensielt utnytte heap-korrupsjon via en laget HTML side på grunn av en bruk etter frigjøring i ANGLE. Oppdater til WebKitGTK-2.44.3. 12.1-095
12.1 050 WebKitGTK Dato: 29.05.2024 Alvorlighetsgrad: Høy
I WebKitGTK-2.42.2, et sikkerhetsproblem ble rettet som kunne tillate en angriper med vilkårlige lese- og skrivemuligheter å omgå pekerautentisering. Sårbarheten ble adressert med forbedrede kontroller, og er kjent for å bli utnyttet i stor skala. Oppdater til WebKitGTK-2.42.2. 12.1-050
Wireshark
12.1 077 Wireshark Dato: 16.07.2024 Alvorlighetsgrad: Lav
I Wireshark-4.2.6, et sikkerhetsproblem ble rettet som kunne føre til at applikasjonen krasjet under behandling av en misformet SPRT pakke. Dette kan skje under opptak av pakker på the wire, eller når en pcap fil vises. Oppdater til Wireshark-4.2.6. 12.1-077
12.1 041 Wireshark Dato: 22.05.2024 Alvorlighetsgrad: Medium
I Wireshark-4.2.5, tre sikkerhetsproblemer ble fikset som kunne tillate uendelige løkker ved behandling av MONGO og ZigBee TLV pakker, samt krasj ved redigering av håndlagde pakker ved hjelp av verktøyet 'editcap'. Oppdater til Wireshark-4.2.5. 12.1-041
12.1 016 Wireshark Dato: 30.03.2024 Alvorlighetsgrad: Medium
I Wireshark 4.2.0 til 4.2.3 og 4.0.0 til 4.0.13 en T.38 dissektorkrasj tillater tjenestenektelse via pakketinjeksjon eller en håndlaget opptaksfil. Oppdater til Wireshark-4.2.3. 12.1-016
Xorg-Server
12.1 020 Xorg-Server Oppdatert: 12.04.2024 Alvorlighetsgrad: Høy
I Xorg-Server-21.1.12, fire sikkerhetsproblemer ble fikset som kunne føre til minnelekkasje, utnyttbare krasj (segmenteringsfeil) og kjøring av vilkårlig kode. På systemer der SSH X Videresending er aktivert, kan dette føre til ekstern kodekjøring. Oppdater til xorg-server-21.1.13. Hvis du har TigerVNC installert, må du også bygge den opp igjen mot xorg-server-21.1.13. 12.1-020
Xwayland
12.1 021 Xwayland Oppdatert: 12.04.2024 Alvorlighetsgrad: Høy
I Xwayland-23.2.5, tre sikkerhetsproblemer ble rettet som kunne føre til minnelekkasje, utnyttbare krasj (segmenteringsfeil) og vilkårlig kodekjøring. Oppdater til Xwayland-23.2.6. 12.1-021