Linux From Scratch oversatt til Norsk

BLFS sikkerhetsråd for BLFS 12.3 og gjeldende utviklingsbøker.

BLFS-12.3 ble utgitt den 05.03.2025

Denne siden er i alfabetisk rekkefølge etter pakker, og hvis en pakke har flere råd, kommer den nyeste først.

Lenkene på slutten av hvert element peker til flere detaljer som har lenker til utgitte bøker.

Generelt sett hentes alvorlighetsgraden fra oppstrøms, hvis oppgitt, eller fra NVD (https://nvd.nist.gov/vuln/detail/) hvis en analyse er tilgjengelig der, men individuelle alvorlighetsgrader ved NVD kan endres over tid. Hvis ingen annen informasjon er tilgjengelig, antas det vanligvis en «Høy» alvorlighetsgrad.

7zip

12.3 089 7zip Dato: 10.08.2025 Alvorlighetsgrad: Høy

I 7zip-25.01, et sikkerhetsproblem ble rettet som kunne tillate vilkårlig filskriving ved utpakking av en håndlaget fil. Rapportøren av sårbarheten har også bemerket at det, avhengig av plasseringen, er mulig at vilkårlig kode kan kjøres på grunn av dette, og de har publisert et konseptbevis som overskriver en brukers ~/.bashrc. Merk at dette sikkerhetsproblemet kan utnyttes ved å pakke ut alle typer filer som 7zip støtter, og det er ikke begrenset til bare *.7z-filer. Oppdater til 7zip-25.01. 12.3-089

12.3 078 7zip Dato: 22.07.2025 Alvorlighetsgrad: Medium

I 7zip-25.00, to sikkerhetsproblemer ble fikset som kunne føre til minnekorrupsjon og tjenestenekt. Disse sårbarhetene oppstår på grunn av heap-bufferoverløp og nullpeker-dereferanser. Dette kan oppstå når RAR filer behandles eller sammensatte dokumenter behandles. Oppdater til 7zip-25.00. 12.3-078

Apache HTTPD

12.3 082 Apache HTTPD Dato: 27.07.2025 Alvorlighetsgrad: Medium

I httpd-2.4.65, et sikkerhetsproblem ble løst som fører til at alle RewriteCond uttrykkstester evalueres som sanne. Dette sikkerhetsproblemet er forårsaket av en regresjon introdusert med sikkerhetsrettingene i httpd-2.4.64. Som et resultat bør alle brukere som oppdaterte til httpd-2.4.64 oppdatere til denne versjonen umiddelbart. Oppdater til httpd-2.4.65. 12.3-082

12.3 076 Apache HTTPD Dato: 17.07.2025 Alvorlighetsgrad: Kritisk

I httpd-2.4.64, syv sikkerhetsproblemer ble rettet som kunne tillate tjenestenekt (serverkrasj) ved bruk av HTTP/2, for et man-in-the-middle angrep for å kapre en HTTP økt via en TLS oppgradering ved bruk av mod_ssl modulen, for et eksternt utnyttbart krasj ved bruk av mod_proxy_http2 modulen, for omgåelser av tilgangskontroll ved bruk av mod_ssl modulen med flere virtuelle verter, for ekstern injeksjon av escape-tegn i feillogger ved bruk av mod_ssl modulen, for forfalskning av serversideforespørsler ved bruk av mod_headers modulen til å angi Content-Type-headeren, og for deling av HTTP svar. Oppdatering til httpd-2.4.64. 12.3-076

Bind

12.3 074 Bind Dato: 17.07.2025 Alvorlighetsgrad: Høy

I bind-9.20.11, et sikkerhetsproblem ble rettet som kunne tillate en ekstern angriper å krasje DNS serveren. Hvis serveren er konfigurert med server-stale-enable satt til yes og stale-answer-client-timeout konfigurert til 0, og resolveren støter på en CNAME kjede som involverer en spesifikk kombinasjon av hurtigbufrede eller autoritative poster, vil daemonen avbryte med en påstandsfeil. Standard BLFS konfigurasjon er IKKE påvirket, men hvis du kjører en bind server med server-stale-enable-set og stale-answer-client-timeout alternativene er angitt, bør du installere denne oppdateringen. Brukere av standard BLFS konfigurasjon eller som bare bruker verktøyene kan trygt ignorere denne oppdateringen. Oppdater til bind-9.20.11 hvis du bruker denne konfigurasjonen. 12.3-074

12.3 036 Bind Dato: 24.05.2025 Alvorlighetsgrad: Høy

Det er gjort en rettelse i ISC Bind serverprogramvaren som forhindrer at serveren stopper ved feilformede data i en TSIG transaksjon. Det anbefales å oppgradere til minst 9.20.9 så snart som mulig. 12.3-036

c-ares

12.3 016 c-ares Dato: 20.05.2025 Alvorlighetsgrad: Høy

I c-ares-1.34.5, et sikkerhetsproblem ble rettet som kunne tillate et krasj ved behandling av DNS spørringer der det oppstår en DNS informasjonskapselfeil, der en oppstrøms server ikke støtter EDNS ordentlig, eller muligens ved TCP spørringer hvis den eksterne serveren lukket forbindelsen umiddelbart etter et svar. Oppdater til c-ares-1.34.5. 12.3-016

cURL

12.3 048 cURL Dato: 04.06.2025 Alvorlighetsgrad: Lav

I cURL-8.14.1, et sikkerhetsproblem ble rettet som kunne tillate en uendelig løkke ved behandling av en skadelig WebSocket pakke. Oppstrøms har oppgitt at det ikke finnes noen måte å avslutte et berørt program på annet enn å avslutte prosessen. Oppdater til cURL-8.14.1. 12.3-048

Epiphany

12.3 024 Epiphany Dato: 20.05.2025 Alvorlighetsgrad: Høy

I Epiphany-48.1, et sikkerhetsproblem ble rettet som tillater nettsteder å utløse URL behandlere uten brukerinteraksjon eller advarsel. Hvis behandlerapplikasjonen som kalles er sårbar, er ekstern kodekjøring mulig under brukerens gjeldende kontekst. Oppdater til Epiphany-48.3. 12.3-024

Exempi

12.3 015 Exempi Dato: 20.05.2025 Alvorlighetsgrad: Medium

I Exempi-2.6.6, fem sikkerhetsproblemer ble rettet som kunne tillate tjenestenekt (programkrasj) eller informasjonsavsløring av sensitivt minne ved behandling av håndlagde XMP metadata. Problemene er alle forårsaket av lesninger utenfor grensene i Adobe XMP Toolkit SDK som følger med Exempi. Oppdater til Exempi-2.6.6. 12.3-015

Exim

12.3 009 Exim Dato: 20.05.2025 Alvorlighetsgrad: Høy

I Exim-4.98.2, et sikkerhetsproblem ble rettet som kunne tillate brukere med kommandolinjetilgang til serveren å forårsake rettighetseskalering. Problemet oppstår på grunn av en bruk-etter-frigjøring. Oppdater til Exim-4.98.2. 12.3-009

File::Find::Rule

12.3 050 File::Find::Rule Dato: 09.06.2025 Alvorlighetsgrad: Høy

I File::Find::Rule-0.35, et sikkerhetsproblem ble rettet som kunne tillate vilkårlig kodekjøring når 'grep()' støter på et skadelig laget filnavn. Oppdater til File::Find::Rule-0.35. 12.3-050

Firefox

12.3 095 Firefox Dato: 21.08.2025 Alvorlighetsgrad: Høy

I Firefox-140.2.0esr, syv sikkerhetsproblemer ble fikset som kunne tillate en sandkasse-escape ved avspilling av krypterte videoer, for en omgåelse av samme opprinnelsespolicy ved bruk av 2D grafikk, for uinitialisert minne som kunne forårsake et uventet krasj i JavaScript motoren, for en potensiell denial-of-service (programkrasj) på grunn av en uendelig løkke som forårsaker minneutilstrekkhet i WebRender komponenten, for forfalskningsangrep som kan forekomme via adressefeltet, og for ekstern kjøring av kode. Oppdater til Firefox-140.2.0esr, eller hvis du ønsker å beholde 128 ESR-serien, oppdater til Firefox-128.14.0esr. 12.3-095

12.3 080 Firefox Dato: 22.07.2025 Alvorlighetsgrad: Høy

I Firefox-140.1.0esr, fjorten sikkerhetsproblemer ble rettet som kunne tillate skriving av en delvis returverdi til stakken på 64-biters systemer, store forgreningstabeller som førte til avkortede instruksjoner, URL-er som kjøres på objekt og innebygde tagger via JavaScript, omgåelse av CORS via DNS rebinding, navnløse informasjonskapsler som skygger sikre informasjonskapsler, potensiell kode kjøring via kommandoen "Kopier som cURL", feil URL stripping i CSP rapporter, XSLT dokumenter som omgår CSP, CSP frame-src som ikke håndheves riktig for stier, søkeord som blir værende i URL linjen, feil håndtering av lukkede generatorer via JavaScript og diverse minnesikkerhetsfeil.

Oppdater til Firefox-140.1.0esr. Alternativt, hvis du ikke har installert ICU-76.1 eller nyere, kan du beholde 128 ESR serien og oppgradere til Firefox-128.13.0esr. 12.3-080

12.3 064 Firefox Dato: 26.06.2025 Alvorlighetsgrad: Høy

I Firefox-140.0esr, ti sikkerhetsproblemer ble fikset som kunne tillate bruk-etter-frigjøring angrep, eksponering av vedvarende UUID-er, begrensninger i innholdssikkerhetspolicyer som kan omgås, feil parsing som fører til innebygd YouTube, uvitenhet om Content-Disposition-headeren, DNS forespørselslekkasje utenfor en konfigurert SOCKS proxy, visning av en utfordring med et ugyldig TLS sertifikat, clickjacking via HTTPS-only unntaket, handlingen Lagre som i Devtools som ikke renser de nedlastede filtypene, og utnyttbare sikkerhetsfeil i minnet. To av sårbarhetene er vurdert som Høye.

Oppdater til Firefox-140.0esr. Alternativt, hvis du ikke har installert ICU-76.1 eller nyere, kan du fortsette med 128 ESR serien og oppgradere til Firefox-128.12.0esr. 12.3-064

ghostscript

12.3 025 ghostscript Updated: 2025-05-28 Alvorlighetsgrad: Kritisk

I ghostscript-10.05.0, ni sikkerhetsproblemer ble rettet som kunne føre til ekstern kodekjøring eller vilkårlig filtilgang. Sårbarheten for vilkårlig filkjøring oppstår på grunn av problemer med avkortede stier med ugyldige UTF-8 tegn. Resten av problemene oppstår på grunn av bufferoverløp i ulike sammenhenger, inkludert behandling av PDF filer, serialisering av fonter, bruk av BJ10V-, DOCXWRITE TXTWRITE og NPDL enheter, og ved konvertering av tegn til Unicode. Alle brukere som har Ghostscript installert oppfordres til å oppdatere så snart som mulig. På tidspunktet for denne veiledningen hadde boken ghostscript-10.05.1, men det var ikke kjent at et ekstra sikkerhetsproblem ble rettet i 10.05.1. Problemet tillater at passord lagres i ren tekst i krypterte PDF filer. Oppdater til ghostscript-10.05.1. 12.3-025

Oppdatert 28.05.2025 for å inkludere informasjon om CVE-2025-48708, som allerede var rettet i boken da denne meldingen ble sendt inn, men sårbarheten var ikke kjent på det tidspunktet.

giflib

12.3 023 giflib Dato: 20.05.2025 Alvorlighetsgrad: Høy

I giflib-5.2.2, flere sikkerhetsproblemer ble oppdaget. Bare én av dem har en fungerende oppdatering, og BLFS teamet har tatt i bruk en oppdatering fra OpenMandriva teamet for å løse problemet. Problemet er en heapbufferoverløp i gif2rgb verktøyet, som forårsaker et krasj og har en mulighet til å forårsake vilkårlig kodekjøring. Gjenoppbygg giflib med sikkerhetsoppdateringen. 12.3-023

Gimp

12.3 032 Gimp Dato: 20.05.2025 Alvorlighetsgrad: Høy

I Gimp-3.0.4, et sikkerhetsproblem ble rettet som kunne tillate ekstern kjøring av kode ved behandling av en håndlaget .ICO fil. Sårbarheten ser ut til å ha blitt introdusert i en tidlig versjonskandidat for gimp3, og er forårsaket av et heltallsoverløp. Oppdater til Gimp-3.0.4, men merk at du må oppdatere babl til 0.1.114 og gegl til 0.4.62 først. 12.3-032

git

12.3 069 git Dato: 10.07.2025 Alvorlighetsgrad: Kritisk

In git-2.50.1, fire sikkerhetsproblemer ble fikset som kunne tillate kjøring av vilkårlig kode, opprettelse av filer andre steder på filsystemet uten brukerens viten, utilsiktet kjøring av skript ved utsjekking av en modul, og protokollinjeksjon ved kloning av repositorier fra internett (når et CDN er konfigurert av den eksterne serveren). To av disse sårbarhetene påvirker Git som helhet, mens de to andre bare påvirker Gitk. ALLE brukere oppfordres til å oppgradere git hvis de har det installert. Oppdater til git-2.50.1. 12.3-069

glib

12.3 090 glib Dato: 11.08.2025 Alvorlighetsgrad: Medium

I glib-2.84.4, et sikkerhetsproblem ble rettet som kan tillate vilkårlig filskriving eller et programkrasj. Problemet oppstår på grunn av en bufferunderlesning når man bruker get_tmp_file() funksjonen, som finnes i glib/gfileutils.c. Oppdater til glib-2.84.4. 12.3-090

GnuTLS

12.3 070 GnuTLS Dato: 10.07.2025 Alvorlighetsgrad: Medium

I GnuTLS-3.8.10, fire sikkerhetsproblemer ble rettet som kunne tillate tjenestenekt ved behandling av maler, behandling av X.509 SCTS tidsstempler i sertifikater, ved eksport av otherName i SAN i et sertifikat, og når en andre klient Hello utelater PSK. Disse sårbarhetene oppstår på grunn av bufferoverløp, double-free, heap lesebufferoverløp og en NULL-peker dereferanse. Oppdater til GnuTLS-3.8.10. 12.3-070

gstreamer

12.3 066 gstreamer Dato: 02.07.2025 Alvorlighetsgrad: Høy

I gst-plugins-bad, et sikkerhetsproblem ble løst som kunne tillate ekstern kjøring av kode eller krasj ved behandling av en håndlaget videofil som bruker H.266-kodeken. Sårbarheten oppstår på grunn av en stakkbufferoverflyt i bitstrømsparseren. Oppdater gstreamer stakken til 1.26.3. 12.3-066

12.3 041 gstreamer Dato: 30.05.2025 Alvorlighetsgrad: Medium

I gst-plugins-base og gst-plugins-good 1.26.2, fem sikkerhetsproblemer ble løst som kunne tillate ekstern utnyttelse av tjenestenekt (programkrasj) eller informasjonsavsløring. Disse sårbarhetene oppstår ved behandling av undertekster i SubRip eller TMPlayer formatet, samt ved lesing av håndlagde MOV og MP4 filer. Oppdater gstreamer stakken til 1.26.2. 12.3-041

12.3 026 gstreamer Dato: 20.05.2025 Alvorlighetsgrad: Høy

I gst-plugins-bad-1.26.1, et sikkerhetsproblem ble rettet som kan tillate krasj eller ekstern kjøring av kode ved behandling av misdannede strømmer i en videofil ved bruk av H.265-kodeken. Problemet er forårsaket av en stakkbufferoverflyt som oppstår ved behandling av segmentoverskrifter. Oppdater til gstreamer-1.26.1. 12.3-026

ImageMagick

12.3 092 ImageMagick Dato: 16.08.2025 Alvorlighetsgrad: Høy

I ImageMagick-7.1.2-1, fem sikkerhetsproblemer ble rettet som kunne tillate kjøring av vilkårlig kode og krasj ved behandling av PNG og MNG bilder. Disse sårbarhetene oppstår på grunn av udefinert oppførsel, overløp av stakkbuffer, heltallsoverløp og heapbufferoverløp. Hvis du bruker ImageMagick til å utføre operasjoner på upålitelige MNG eller PNG filer, bør du oppdatere til denne versjonen umiddelbart. Oppdater til ImageMagick-7.1.2-1. 12.3-092

intel-microcode

12.3 094 intel-microcode Dato: 20.08.2025 Alvorlighetsgrad: Høy

I intel-microcode-20250812, ni sikkerhetsproblemer ble rettet som kunne tillate eskalering av rettigheter eller tjenestenektanelse (denial of service) (programkrasj). Det første sikkerhetsproblemet for eskalering av rettigheter påvirker alle Intel Core prosessorer fra 12. generasjon og utover, samt noen prosessorer fra Intel Pentium Gold og Celeron familiene. Core i9-1900HX er også oppført som berørt, og Intel Core 9-serien samt Core serie 1, 2 og U-serien er også berørt. Xeon E, Core Ultra, 4./5. generasjons Xeon Scalable, Platinum, Gold, Silver og Bronze CPU-serien, Xeon CPU Max-serien, og Xeon W-2400 og W-3400-prosessorene er også berørt. Resten av sikkerhetsproblemene for eskalering av rettigheter og tjenestenektanelse påvirker 4., 5. og 6. generasjon av Intel Xeon Scalable CPU-er og W-2400/W-3400 CPU-ene. Flere funksjonalitetsproblemer med 13. generasjons Intel-CPUer og senere ble også løst i denne oppdateringen. For mer informasjon, se Intels sikkerhetsråd:

For å sjekke om du er berørt og oppdatere systemet ditt, følg instruksjonene i meldingen. 12.3-094

12.3 029 intel-microcode Dato: 20.05.2025 Alvorlighetsgrad: Medium

I intel-microcode-20250512, åtte sikkerhetsproblemer på prosessornivå ble adressert. Seks av sikkerhetsproblemene tillater informasjonsavsløring, og to tillater tjenestenekt. Disse sårbarhetene påvirker 8., 9., 10., 11., 12., 13. og 14. generasjon av Intel Core CPUer, samt noen Intel Atom, Celeron og Pentium modeller. De påvirker også Xeon E og D serien av CPUer, Xeon Max serien av CPUer, Core Ultra serien og noen Intel Xeon Scalable CPUer. For mer informasjon, se Intels sikkerhetsveiledninger: INTEL-SA-01153 (CVE-2024-28956), INTEL-SA-01247 (CVE-2024-43420, CVE-2025-20623, og CVE-2024-45332), INTEL-SA-01322 (CVE-2025-24495 og CVE-2025-20012), og INTEL-SA-01244 (CVE-2025-20103 og CVE-2025-20054).

For å sjekke om du er berørt og oppdatere systemet ditt, følg instruksjonene i meldingen. 12.3-029

Kea DHCP server

12.3 098 Kea DHCP server Dato: 27.08.2025 Alvorlighetsgrad: Høy

Et sikkerhetsproblem har blitt offentliggjort av ISC. Det er løst ved å oppgradere til 3.0.1 eller nyere. For mer informasjon, se ISCs sikkerhetsråd:

CVE-2025-40779: Denial of service by sending a request directly to Kea

Hvis du har Kea installert, se detaljer på 12.3-098

12.3 040 Kea DHCP server Dato: 28.05.2025 Alvorlighetsgrad: Høy

Tre sikkerhetshull har blitt offentliggjort av ISC. To av dem er fikset ved å oppgradere til versjon 2.6.3 eller nyere, og én er fikset ved riktig konfigurasjon og oppsett. For mer informasjon, se ISCs sikkerhetsråd:

CVE-2025-32801: Loading a malicious hook library can lead to local privilege escalation
CVE-2025-32802: Insecure handling of file paths allows multiple local attacks
CVE-2025-32803: Insecure file permissions can result in confidential information leakage

Hvis du har Kea installert, se detaljer på 12.3-040

Konsole

12.3 054 Konsole Dato: 13.06.2025 Alvorlighetsgrad: Kritisk

I Konsole-25.04.2, et sikkerhetsproblem ble rettet som tillater angripere å lure brukere til å kjøre vilkårlig kode med en ondsinnet lenke. Sårbarheten oppstår fordi Konsole tillater lasting av URL-er fra forskjellige skjemabehandlere (som telnet://), men den sjekker ikke først for å se om programmet som skal håndtere skjemaet er til stede. Hvis det ikke er til stede, vil den kjøre 'bash' i stedet, noe som tillater kjøring av vilkårlig kode. Oppdater til Konsole-25.04.2, eller fjern telnet tjenesten for Konsole ved å fjerne $KF6_PREFIX/share/applications/ktelnetservice6.desktop filen fra systemet ditt.

libarchive

12.3 037 libarchive Dato: 28.05.2025 Alvorlighetsgrad: Høy

I libarchive-3.8.0, fem sikkerhetsproblemer ble rettet som kunne føre til krasj og minnekorrupsjon ved behandling av RAR arkiver, TAR arkiver og WARC arkiver. Problemene skyldes heap-bufferoverløp, signed integer overløp og double-frees. Oppdater til libarchive-3.8.0. 12.3-037

12.3 008 libarchive Dato: 20.05.2025 Alvorlighetsgrad: Medium

I libarchive-3.7.9, tre sikkerhetsproblemer ble rettet som kunne tillate tjenestenekt (programkrasj) eller potensiell minnekorrupsjon ved behandling av ZIP eller TAR arkiver. Oppdater til libarchive-3.7.9. 12.3-008

libblockdev

12.3 062 libblockdev Dato: 22.06.2026 Alvorlighetsgrad: Høy

I libblockdev-3.3.1, et sikkerhetsproblem ble rettet som kunne tillate lokal rettighetseskalering. Sårbarheten oppstår på grunn av en feil i udisks, og begge pakkene må justeres for å fikse sårbarheten. Sårbarheten er en del av en kjede med Linux-PAM og udisks som lar eksterne angripere oppnå lokal rettighetseskalering, og et detaljert konseptutprøvingsprosjekt og detaljer er nå offentlig tilgjengelig. Alle brukere som har libblockdev installert bør oppdatere til libblockdev-3.3.1 umiddelbart for å beskytte systemene sine. 12.3-062

LibreOffice

12.3 027 LibreOffice Dato: 2025-05-20 Alvorlighetsgrad: Kritisk

I LibreOffice-25.2.2.2, et sikkerhetsproblem ble rettet som tillater forfalskning av PDF signaturer når man bruker underfilteret adbe.pkcs7.sha1. Feilen fører til at ugyldige signaturer blir akseptert som gyldige, og sårbarheten har blitt vurdert som kritisk av NVD, da den oppfyller kriteriene for «Feil verifisering av kryptografisk signatur» og «PDF signaturforfalskning ved feil validering». Alle brukere som bruker LibreOffice til å åpne PDF filer, bør oppdatere til LibreOffice-25.2.2.2 eller nyere, da dette kan føre til phishing. Oppdater til Libreoffice-25.2.2.2. 12.3-027

libsoup2

12.3 022 libsoup2 Oppdatert: 28.05.2025 Alvorlighetsgrad: Kritisk

I libsoup-2.74.3, fjorten sikkerhetsproblemer ble oppdaget som kunne tillate eksternt utnyttbare krasj, ekstern kodekjøring, smugling av HTTP forespørsler og minnekorrupsjon. Disse er svært like sårbarhetene som ble fikset i den nylige libsoup3 oppdateringen, men den inkluderer rettelser for flere sårbarheter som er spesifikke for libsoup2. På grunn av sikkerhetsproblemene i libsoup2, og det faktum at de eneste pakkene i BLFS som krever det er forlatt, har BLFS teamet arkivert libsoup2 samt forbrukere som AbiWord og libgdata. BLFS teamet har imidlertid også utviklet en oppdatering for libsoup2 for å fikse disse kjente sårbarhetene for brukere som har libsoup2 installert. På dette tidspunktet vil vi imidlertid ikke produsere flere oppdateringer for denne pakken for å fikse ytterligere problemer etter at BLFS 12.4 er utgitt, og vi anbefaler at alle brukere som har libsoup2 installert slutter å bruke biblioteket, samt libgdata og AbiWord. Hvis du bruker libsoup2, bruk instruksjonene i meldingen for å installere oppdateringen og fikse sårbarhetene.

Oppdatert 28.05.2025 for å legge til ytterligere tekst om gjenoppbygging av gst-plugins-good with -Dsoup-version=3. Takk til Rainer Fiebig for informasjonen!

libsoup3

12.3 021 libsoup3 Dato: 20.05.2025 Alvorlighetsgrad: Kritisk

I libsoup-3.6.5, ti sikkerhetsproblemer ble fikset som kunne føre til eksternt utnyttbare krasj, ekstern kodekjøring og minnekorrupsjon. Alle brukere som har libsoup3 installert, bør oppdatere til libsoup-3.6.5 så snart som mulig, og følge med på sikkerhetsrådene for å overvåke nye oppdateringer, ettersom det fortsatt er mange CVE-er uløste oppstrøms. 12.3-021

libvpx

12.3 051 libvpx Dato: 09.06.2025 Alvorlighetsgrad: Medium

I libvpx-1.15.2, et sikkerhetsproblem ble rettet som kunne tillate kjøring av vilkårlig kode ved behandling av VP8 og VP9 filer, eller tjenestenektelse (programkrasj). Oppdater til libvpx-1.15.2, men gjenoppbygg også pakkene som er oppført i sikkerhetsveiledningen. 12.3-051

libxml2

12.3 073 libxml2 Dato: 17.07.2025 Alvorlighetsgrad: Kritisk

I libxml2-2.14.5, fire sikkerhetsproblemer ble fikset som kunne tillate tjenestenekt og kjøring av vilkårlig kode ved behandling av en laget XML fil. En av sårbarhetene påvirker xmllint verktøyet, og er en stakkbufferoverløp. De andre påvirker funksjonaliteten i Schematron komponenten, og er typeforvirring, nullpeker-dereferanse og heap-bruk etter frigjøring. Alle brukere anbefales å oppdatere til libxml2-2.14.5 eller installere oppdateringen nevnt i veiledningen umiddelbart. Brukere som er på BLFS 12.3 anbefales å bruke oppdateringen, da du må installere flere rettelser på forskjellige pakker, og du må gjenoppbygge alle pakker som bruker libxml2. 12.3-073

12.3 060 libxml2 Dato: 21.06.2025 Alvorlighetsgrad: Høy

I libxml2-2.14.4, et sikkerhetsproblem ble fikset som kunne tillate tjenestenektelse eller minnekorrupsjon når et program bruker xmlBuildQName() funksjonen. Bare én pakke i BLFS er kjent for å bruke denne funksjonaliteten, og det er PHP. Brukere som har Wine installert er også påvirket, da den bruker denne funksjonen mye. Hvis du bruker PHP eller Wine, oppdater til libxml2-2.14.4 eller installer oppdateringen som BLFS utviklerne har gjort tilgjengelig for libxml2-2.13.8. Oppdateringsmetoden anbefales for BLFS 12.3 brukere, siden oppdatering til libxml2-2.14 vil kreve flere rettelser og en gjenoppbygging av alle pakker som bruker libxml2. 12.3-060

12.3 014 libxml2 Dato: 20.05.2025 Alvorlighetsgrad: Høy

I libxml2-2.14.2 (og 2.13.8), to sikkerhetsproblemer ble fikset som kan føre til tjenestenekt (programkrasj) eller vilkårlig kodekjøring ved behandling av XML dokumenter. Oppdater til libxml2-2.13.8. BLFS teamet anbefaler *ikke* å oppdatere systemer til libxml2-2.14 serien fordi 2.14 serien er ABI inkompatibel med 2.13, og i tillegg til å gjenoppbygge alle pakker som bruker libxml2, må også libxkbcommon og localsearch pakkene oppdateres. 12.3-014

libxslt

12.3 004 libxslt Dato: 14.03.2025 Alvorlighetsgrad: Høy

I libxslt-1.1.43, to sikkerhetsproblemer ble fikset, noe som kunne tillate vilkårlig kodekjøring og krasj ved behandling av XSL dokumenter. Begge disse sårbarhetene er feil som krever bruk etter frigjøring. Oppdater til libxslt-1.1.43. 12.3-004

Linux-PAM

12.3 061 Linux-PAM Dato: 22.06.2026 Alvorlighetsgrad: Høy

I Linux-PAM-1.7.1, to sikkerhetsproblemer ble fikset som kunne tillate rettighetseskalering og uautorisert tilgang til systemer. Sårbarheten for rettighetseskalering ble avslørt av den franske regjeringen, og detaljert konseptutprøving og informasjon om utnyttelse er tilgjengelig for bruk av denne sårbarheten i en kjede med libblockdev og udisks for å oppnå rettighetseskalering. Alle brukere som har Linux-PAM installert bør oppdatere til Linux-PAM-1.7.1 umiddelbart for å beskytte systemene sine.. 12.3-061

lxml (Python Modul)

12.3 013 lxml (Python Modul) Dato: 20.05.2025 Alvorlighetsgrad: Høy

I lxml-5.4.0, de medfølgende kopiene av libxml2 og libxslt ble oppdatert for å fikse fem sikkerhetsproblemer. Disse sårbarhetene er kjent for å forårsake krasj og kjøring av vilkårlig kode ved behandling av XML og XSLT dokumenter. Oppdater til lxml-5.4.0. 12.3-013

MariaDB

12.3 045 MariaDB Dato: 02.06.2025 Alvorlighetsgrad: Medium

I MariaDB-11.4.7, fem sikkerhetsproblemer ble rettet som kunne tillate uautorisert tilgang til data i MySQL databaser, samt krasj som kunne utnyttes eksternt. Brukere som har MariaDB installert som mer enn en byggeavhengighet, bør oppdatere. Oppdater til MariaDB-11.4.7. 12.3-045

Mercurial

12.3 010 Mercurial Dato: 20.05.2025 Alvorlighetsgrad: Medium

I Mercurial-7.0.1, et sikkerhetsproblem ble rettet som kunne tillate skripting på tvers av nettsteder via webgrensesnittet (hgweb). En standard installasjon av Mercurial på BLFS er IKKE sårbar, da systemet må konfigureres til å bruke «hgweb» programmet, og BLFS konfigurasjonen aktiverer ikke denne funksjonaliteten. Hvis du bruker hgweb, må du imidlertid oppdatere til Mercurial-7.0.1 så snart som mulig. Ellers er det ikke nødvendig å installere denne oppdateringen. 12.3-010

MIT Kerberos V5

12.3 099 MIT Kerberos V5 Dato: 31.08.2025 Alvorlighetsgrad: Høy

I krb5-1.22.1, et sikkerhetsproblem ble rettet som forårsaker at GSS MIC verifisering bestås under alle omstendigheter, selv om dataene som oppgis er feil. Det finnes svært få detaljer tilgjengelig om dette sikkerhetsproblemet, men hvis du kjører en Kerberos server, anbefales det på det sterkeste at du oppdaterer til denne versjonen umiddelbart for å forhindre en autentiseringsomgåelse. Oppdater til krb5-1.22.1. 12.3-099

OpenJDK

12.3 084 OpenJDK Dato: 28.07.2025 Alvorlighetsgrad: Høy

I OpenJDK-24.0.2, fem sikkerhetsproblemer ble fikset som kunne tillate ekstern kjøring av kode, ekstern avsløring av informasjon og også eksternt utnyttbar tjenestenekt. En av sårbarhetene er triviell å utnytte, men de andre fire sårbarhetene har høy angrepskompleksitet. Sårbarhetene er i nettverks-, 2D-, JSSE- og kompilatorkomponentene. Ingen av angrepene krever brukerinteraksjon eller autentisering for å utnytte, og den mest alvorlige av sårbarhetene er lavkompleksiteten for ekstern kjøring av kode i nettverkskomponenten. Alle brukere som har OpenJDK installert, bør oppdatere til OpenJDK-24.0.2 umiddelbart. Oppdater til OpenJDK-24.0.2 eller de forhåndsbygde Java binærfilene. 12.3-084

12.3 031 OpenJDK Dato: 20.05.2025 Alvorlighetsgrad: Høy

I OpenJDK-24.0.1, tre sikkerhetsproblemer ble rettet som kunne tillate ekstern kjøring av kode, vilkårlig kjøring av kode og uautorisert dataendring. Ingen brukerinteraksjon eller rettigheter kreves for å utnytte disse sårbarhetene. Oppdater til OpenJDK-24.0.1. 12.3-031

PHP

12.3 068 PHP Dato: 10.07.2025 Alvorlighetsgrad: Høy

I PHP-8.4.10, tre sikkerhetsproblemer ble rettet som kunne tillate eksternt utnyttbar tjenestenekt, SQL injeksjon og forfalskning av serverforespørsler. Sårbarhetene finnes i standard, SOAP og PGSQL komponentene i PHP. Alle brukere som bruker PHP til webapplikasjoner oppfordres til å oppdatere til denne versjonen for å fikse disse sårbarhetene. Oppdater til PHP-8.4.10. 12.3-068

12.3 005 PHP Dato: 14.03.2025 Alvorlighetsgrad: Medium

I PHP-8.4.5, syv sikkerhetsproblemer ble rettet som kunne tillate krasj, kjøring av vilkårlig kode, uautoriserte HTTP omdirigeringer, autentiseringsomgåelser, eksterne systemkrasj og behandling av ugyldige HTTP overskrifter. Sårbarhetene finnes i Streams, libxml og kjernekomponentene i PHP. Alle brukere som bruker PHP til webapplikasjoner oppfordres til å oppdatere til denne versjonen for å fikse disse sårbarhetene. Oppdater til PHP-8.4.5. 12.3-005

poppler

12.3 071 poppler Dato: 16.07.2025 Alvorlighetsgrad: Medium

I poppler-25.06.0, et sikkerhetsproblem ble rettet som kunne tillate tjenestenekt (programkrasj) eller potensielt vilkårlig kodekjøring. Sårbarheten skyldes en use-after-free prosess, men sjansene for utnyttelse er lave på grunn av tiden det tar å utnytte på et system. Oppdater til poppler-25.06.0. 12.3-071

PostgreSQL

12.3 093 PostgreSQL Dato: 16.08.2025 Alvorlighetsgrad: Høy

I PostgreSQL-17.6, tre sikkerhetsproblemer ble fikset som kunne tillate optimaliseringsstatistikk å eksponere samplede data i en visning, partisjon eller en underordnet tabell; og for vilkårlig kodekjøring i psql klienten når pg_dump kommandoen brukes. Alle brukere som har PostgreSQL installert for noe annet enn å tilfredsstille en byggeavhengighet, anbefales å oppgradere til PostgreSQL-17.6. Alternativt kan brukere på eldre versjoner av PostgreSQL oppgradere til 16.10, 15.14, 14.19 eller 13.22. 12.3-093

12.3 028 PostgreSQL Dato: 20.05.2025 Alvorlighetsgrad: Medium

I PostgreSQL-17.5, et sikkerhetsproblem ble rettet som kan tillate en leverandør av databaseinndata å oppnå midlertidig tjenestenektelse på enhver plattform der en 1-byte overlesing kan utløse prosessavslutning. Både libpq og databaseserveren er påvirket, så det er mulig for klientapplikasjoner å krasje også. Oppdater til PostgreSQL-17.5. 12.3-028

Python

12.3 088 Python (LFS og BLFS) Dato: 10.08.2025 Alvorlighetsgrad: Høy

I Python-3.13.6, fire sikkerhetsproblemer ble rettet i HTML parserfunksjonaliteten som kan tillate skripting på tvers av nettsteder, tjenestenekt (ubegrenset ressursforbruk) og behandling av skjult HTML kode. Disse sikkerhetsproblemene oppstår hovedsakelig fordi tidligere versjoner av Python ikke fulgte HTML 5 standarden riktig. Oppdater til Python-3.13.6, eller følg instruksjonene i veiledningen hvis du bruker en eldre versjon av Python. 12.3-088

12.3 087 Python (LFS og BLFS) Dato: 05.08.2025 Alvorlighetsgrad: Høy

Et sikkerhetsproblem ble oppdaget i Python-3.13.5 som kan tillate tarfile modulen å behandle tar arkiver med negative offsets uten en feil, noe som ville resultere i en uendelig løkke og en vranglås ved behandling av skadelige tar arkiver. Oppstrøms har utarbeidet en oppdatering for sårbarheten som BLFS redaktørene har gjort om til en sed. Brukere som behandler tar filer ved hjelp av tarfile modulen i Python, bør gjenoppbygge Python med sed kommandoen for å løse denne sårbarheten. 12.3-087

12.3 047 Python (LFS og BLFS) Dato: 04.06.2025 Alvorlighetsgrad: Kritisk

I Python-3.13.4, fem sikkerhetsproblemer ble fikset som kunne tillate tjenestenekt ved behandling av lange IPv6 adresser, og for at tarfile utvinningsfiltre kunne omgås ved hjelp av håndlagde symbollenker og harde lenker. Omgangene med utvinningsfiltre lar angripere skrive vilkårlige filer til en brukers filsystem når de dekomprimerer en tar fil ved hjelp av python modulen 'tarfile'. Oppdater til Python-3.13.4. 12.3-047

12.3 018 Python (LFS og BLFS) Dato: 20.05.2025 Alvorlighetsgrad: Medium

I Python-3.13.3, to sikkerhetsproblemer ble rettet som kunne tillate forfalskning av e-posthoder og denial-of-service (ubegrenset minnebruk). I tillegg ble en annen sårbarhet løst etter denne utgivelsen av Python som kan forårsake krasj ved bruk av unicode_escape kodingen eller en feil behandler ved dekoding av bytes ved hjelp av bytes.decode() funksjonen. Oppdater til Python-3.13.3 og installer oppdateringen for bytes.decode() sårbarheten. 12.3-018

Qt6

12.3 083 Qt6 Dato: 27.07.2025 Alvorlighetsgrad: Lav

I Qt-6.9.1, ble det oppdaget et sikkerhetsproblem som kan tillate tjenestenektelse ved behandling av en spesiallaget ICC profil. Krasjet oppstår når en ICC profil forårsaker en verdi utenfor det forventede området for QColorTransferGenericFunction, og dette kan utnyttes av et program som bruker QColorSpace::fromICCProfile til å angi fargeprofiler. De eneste kjente konsekvensene for øyeblikket er programkrasj. Å oppdatere Qt6 til 6.9.1 kan være risikabelt og krever noen pakkeombygginger på grunn av bruken av et privat API som ble endret i Qt 6.9.1, men BLFS teamet har testet det, og hvis du vil ta risikoen, oppdater til Qt 6.9.0. En oppdatering er også tilgjengelig for Qt 6.8, men den har ikke blitt testet av BLFS teamet. 12.3-083

12.3 011 Qt6 Dato: 20.05.2025 Alvorlighetsgrad: Lav

I Qt-6.9.0, et sikkerhetsproblem er rettet som kan føre til heap-bufferoverløp når en feil formatert Markdown fil sendes til QTextMarkdownImporter. De eneste kjente konsekvensene for øyeblikket er programkrasj. Å oppdatere Qt6 til 6.9.0 kan være risikabelt og krever noen pakkeombygginger på grunn av bruken av et privat API som ble endret i Qt 6.9.0, men BLFS-teamet har testet det, og hvis du vil ta risikoen, oppdater til Qt 6.9.0. En oppdatering er også tilgjengelig for Qt 6.8, men den har ikke blitt testet av BLFS teamet. 12.3-011

QtWebEngine

12.3 101 QtWebEngine Dato: 31.08.2025 Alvorlighetsgrad: Kritisk

I QtWebEngine-6.9.2, 21 sikkerhetsproblemer ble fikset. Disse kan tillate sandkasse-escape, uautorisert avsløring av brukerinformasjon, krysslekkasje av informasjon fra opprinnelse, ekstern kjøring av kode, forfalskning av brukergrensesnitt, vilkårlig lesing/skriving av filer, vilkårlig kjøring av kode og omgåelse av innholdssikkerhetspolicyen (hvis en slik håndheves). Flere av disse sårbarhetene er ekstremt alvorlige, men to av dem er kjent for å bli aktivt utnyttet og er ofte lenket sammen. Dette er sårbarhetene for sandkasse-escape og vilkårlig lesing/skriving av filer, som angripere vil utnytte for å implantere eller lese filer i et beskyttet område av en brukers filsystem, siden sandkassen skal knytte QtWebEngine til bare å kunne operere i bestemte mapper på systemet. Sårbarheten for sandkasse-escape som aktivt utnyttes, forsterker alvorlighetsgraden av alle sårbarhetene som er fikset her betydelig. ALLE BRUKERE SOM HAR QWEBENGINE INSTALLERT MÅ OPPDATERE TIL 6.9.2 SÅ SNART SOM MULIG, SELV OM DE BARE BRUKER DET SOM EN BYGGAVHENGIGHET. Oppdater til QtWebEngine-6.9.2. 12.3-101

12.3 046 QtWebEngine Dato: 03.06.2025 Alvorlighetsgrad: Kritisk

I QtWebEngine-6.9.1, nitten sikkerhetsproblemer ble rettet som kunne tillate ekstern kjøring av kode, informasjonsinnhenting om eksterne enheter, installasjon av ondsinnede utvidelser, omgåelse av filbegrensninger, omgåelse av policyer med samme opprinnelse, ekstern utnyttbar rettighetseskalering, eksternt utnyttbar sandkasse-escape, informasjonslekkasje på tvers av opprinnelse og omgåelse av tilgangskontroll. Oppdater til QtWebEngine-6.9.1. 12.3-046

12.3 012 QtWebEngine Dato: 20.05.2025 Alvorlighetsgrad: Kritisk

I QtWebEngine-6.9.0, femten sikkerhetssårbarheter ble fikset som kunne tillate utvinning av sensitive systemdata, forfalskning av brukergrensesnitt, ekstern kjøring av kode, vilkårlig kjøring av kode og sandkasse-rømninger. Alle brukere som har QtWebEngine installert, bør oppdatere til QtWebEngine-6.9.0, ettersom en av sårbarhetene er kjent for å bli utnyttet. 12.3-012

Requests (Python Modul)

12.3 055 Requests (Python Modul) Dato: 13.06.2025 Alvorlighetsgrad: Medium

I Requests-2.32.4, et sikkerhetsproblem ble rettet der en laget URL og et klarert miljø kan hente påloggingsinformasjon fra feil vertsnavn fra en .netrc fil. Brukere som ikke har en ~/.netrc fil med påloggingsinformasjon påvirkes ikke av dette sikkerhetsproblemet, og det er ingen grunn til at de skal oppdatere til denne versjonen. Hvis du har en ~/.netrc fil, bør du imidlertid oppdatere til Requests-2.32.4 umiddelbart, da løsningen krever at du endrer hver forespørselsøkt for å spesifisere "trust_env=False". 12.3-055

Ruby

12.3 077 Ruby Dato: 17.07.2025 Alvorlighetsgrad: Høy

I Ruby-3.4.5, et sikkerhetsproblem ble rettet som kan tillate en tjenestenekt (programheng) ved behandling av skadelige DNS pakker som inneholder et svært komprimert domenenavn. Sårbarheten ligger i den medfølgende 'resolv' gemen, og er forårsaket av en utilstrekkelig kontroll av lengden på et dekomprimert domenenavn med en DNS pakke. Oppdater til Ruby-3.4.5. 12.3-077

Samba

12.3 052 Samba Dato: 09.06.2025 Alvorlighetsgrad: Medium

I Samba-4.22.2, et sikkerhetsproblem ble rettet som kunne tillate at fildelinger ble eksponert for klienter inntil klientdatamaskiner kobler seg fra en SMB server og kobler seg til igjen. Problemet oppstår fordi smbd tjenestedaemonen ikke plukket opp endringer i gruppemedlemskap da den tilbakestilte en utløpt SMB økt. Dette påvirker imidlertid bare Kerberos autentisering, som ikke er en del av standard BLFS konfigurasjon. Brukere som bruker standard BLFS konfigurasjon påvirkes ikke, og de påvirkes heller ikke hvis de bare bruker klientsidekomponentene i Samba. Oppdater til Samba-4.22.2 hvis du bruker Kerberos i serverkonfigurasjonen. 12.3-052

Screen

12.3 030 Screen Oppdatert: 28.05.2025 Alvorlighetsgrad: Høy

I Screen-5.0.1, fem sikkerhetsproblemer ble rettet som kunne muliggjøre pålitelig lokal privilegieeskalering til root, lekkasje av fileksistensinformasjon, TTY kapring under tilkobling til en flerbrukerøkt, kappløpsbetingelser ved sending av signaler, og for at PTY-er kunne opprettes verdensskrivbare. En alvorlig bufferoverløpsfeil forårsaket av en dårlig strncpy() ble også rettet i denne utgivelsen. Fordi standard konfigurasjonen av Screen i BLFS er setuid-root, er alle systemer med Screen installert påvirket av disse sårbarhetene, noen dateres tilbake til Screen utgivelser helt tilbake til 2025. Hvis du har Screen installert, må du oppdatere til Screen-5.0.1 umiddelbart. 12.3-030

Oppdatert 28.05.2025 for å inkludere riktig CVE nummer for den siste sårbarheten.

Seamonkey

12.3 091 Seamonkey Dato: 15.08.2025 Alvorlighetsgrad: Kritisk

I Seamonkey-2.53.21, seksten sikkerhetssårbarheter ble rettet som kunne tillate bruk-etter-frigjøring operasjoner i XSLT, Custom Highlight, WebTransportChild, XSLTProcessor, under samtidig delazifisering, og nettleserprosessen via AudioIPC StreamData, bufferoverløp, ufullstendige returer på x86_64 CPUer, sandkasse-rømminger via feil håndtak, rettighetseskalering i oppdateringsprogrammet, omgåelse av prosessisolasjon, potensiell lokal kode kjøring, tilgang utenfor grensene ved løsning av Promise objekter og optimalisering av lineære summer, og feilrettinger for minnesikkerhet. Dette oppdaterer Seamonkey med sikkerhetsproblemene som er rettet i Firefox 115.23.1. Oppdater til Seamonkey-2.53.21 snarest. 12.3-091

SpiderMonkey

12.3 097 SpiderMonkey Dato: 21.08.2025 Alvorlighetsgrad: Medium

I SpiderMonkey-140.2.0esr, et sikkerhetsproblem ble rettet som kunne tillate uinitialisert minnetilgang, noe som kan føre til tjenestenekt (programkrasj). For å kunne bruke SpiderMonkey-140 med versjonen av gjs som brukes i BLFS 12.3, må du oppdatere til gjs-1.84.2 med spidermonkey_140 oppdateringen som for øyeblikket er i utviklingsversjonen av BLFS. Alternativt kan du oppdatere til Spidermonkey-128.14.0esr. Oppdater til SpiderMonkey-140.2.0esr og oppdater gjs til gjs-1.84.2 med oppdateringen, eller oppdater til SpiderMonkey-128.14.0esr. 12.3-097

12.3 079 SpiderMonkey Dato: 22.07.2025 Alvorlighetsgrad: Høy

I SpiderMonkey-128.13.0, to sikkerhetsproblemer ble rettet som kunne tillate skriving av en delvis returverdi til stakken på 64-biters systemer og feil håndtering av lukkede generatorer. Oppdater til SpiderMonkey-128.13.0. 12.3-079

12.3 033 SpiderMonkey Dato: 20.05.2025 Alvorlighetsgrad: Kritisk

I SpiderMonkey-128.10.1, to kritiske sikkerhetsproblemer ble fikset som kunne tillate en angriper å lese og skrive til minne utenfor grensene ved å kjøre skadelig JavaScript. Disse sårbarhetene ble vist på Vancouver Pwn2Own for å oppnå ekstern kodekjøring og JavaScript manipulasjon. Alle brukere med SpiderMonkey installert må oppdatere til 128.10.1 umiddelbart. 12.3-033

12.3 001 SpiderMonkey Dato: 07.03.2025 Alvorlighetsgrad: Høy

I SpiderMonkey-128.8.0, to sikkerhetsproblemer ble rettet som kunne tillate vilkårlig kodekjøring (på grunn av typeforvirring), samt vilkårlig kodekjøring på grunn av uventet søppelinnsamling under behandling av redningsaksjoner for regulære uttrykk. Merk at sikkerhetsproblemet for typeforvirring bare påvirker 64-bits CPUer. Oppdater til SpiderMonkey-128.8.0. 12.3-001

sudo

12.3 065 sudo Dato: 02.07.2025 Alvorlighetsgrad: Kritisk

I sudo-1.9.17p1, to sikkerhetsproblemer ble fikset som kunne tillate lokal privilegieskalering. Det første problemet påvirker alternativet 'host', og krever at et vertsnavn er spesifisert i en sudoers regelen for å kunne utnyttes. Det andre problemet påvirker chroot funksjonaliteten. Standardkonfigurasjonen for BLFS sudoers påvirkes ikke, men hvis du har gjort endringer i /etc/sudoers for å bruke vertsnavn eller CHROOT, bør du oppdatere systemet til sudo-1.9.17p1 umiddelbart. 12.3-065

systemd

12.3 044 systemd (LFS og BLFS) Dato: 02.06.2025 Alvorlighetsgrad: Medium

I systemd-257.6, et sikkerhetsproblem ble rettet som tillater en angriper å tvinge SUID prosesser til å krasje og lar dem erstatte programmet med en ikke-SUID binærfil for å få tilgang til den opprinnelige privilegerte prosessens coredump. Dette lar angriperen lese ekstremt sensitive data, for eksempel /etc/shadow innhold. Oppdater til systemd-257.6. 12.3-044

Thunderbird

12.3 096 Thunderbird Dato: 21.08.2025 Alvorlighetsgrad: Høy

I Thunderbird-140.2.0esr, syv sikkerhetsproblemer ble fikset som kunne tillate en sandkasse-escape ved avspilling av krypterte videoer, for en omgåelse av samme opprinnelsespolicy ved bruk av 2D grafikk, for uinitialisert minne som kunne forårsake et uventet krasj i JavaScript motoren, for en potensiell denial-of-service (programkrasj) på grunn av en uendelig løkke som forårsaker minneutilstrekk i WebRender komponenten, for forfalskningsangrep som kan forekomme via adressefeltet, og for ekstern kjøring av kode. Oppdater til Thunderbird-140.2.0esr, eller alternativt Thunderbird-128.14.0esr hvis du ønsker å beholde 128 ESR-serien. 12.3-096

12.3 081 Thunderbird Dato: 22.07.2025 Alvorlighetsgrad: Høy

I Thunderbird-140.1.0esr, fjorten sikkerhetsproblemer ble fikset som kunne tillate skriving av en delvis returverdi til stakken på 64-biters systemer, store forgreningstabeller som førte til avkortede instruksjoner, URL-er som kjøres på objekt og innebygde tagger via JavaScript, omgåelse av CORS via DNS-rebinding, navnløse informasjonskapsler som skygger sikre informasjonskapsler, potensiell kode kjøring via kommandoen "Kopier som cURL", feil URL stripping i CSP rapporter, XSLT dokumenter som omgår CSP, CSP frame-src som ikke håndheves riktig for stier, søkeord som blir værende i URL linjen, feil håndtering av lukkede generatorer via JavaScript, og diverse sikkerhetsfeil i minnet.

Oppdater til Thunderbird-140.1.0esr. Alternativt, hvis du ikke har installert ICU-76.1 eller nyere, kan du fortsette med 128 ESR serien og oppgradere til Thunderbird-128.13.0esr. 12.3-081

12.3 067 Thunderbird Dato: 03.07.2025 Alvorlighetsgrad: Høy

I Thunderbird-140.0esr, ti sikkerhetsproblemer ble fikset som kunne tillate bruk-etter-frigjøring angrep, eksponering av vedvarende UUID-er, begrensninger i innholdssikkerhetspolicyer som kan omgås, feil parsing som fører til innebygd YouTube, uvitenhet om Content-Disposition-headeren, DNS forespørselslekkasje utenfor en konfigurert SOCKS proxy, visning av en utfordring med et ugyldig TLS sertifikat, clickjacking via HTTPS-only unntaket, handlingen Lagre som i Devtools ikke renser de nedlastede filtypene, og utnyttbare sikkerhetsfeil i minnet. To av sårbarhetene er vurdert som Høye. Oppdater til Thunderbird-140esr. 12.3-067

12.3 053 Thunderbird Dato: 11.06.2025 Alvorlighetsgrad: Høy

I Thunderbird-128.11.1esr, et sikkerhetsproblem ble rettet som kunne tillate kobling av påloggingsinformasjon, uttømming av diskplass og uønskede nedlastinger av filer ved hjelp av utformede HTML postbokslenker. Dette var det samme sårbarheten som hevdet å være rettet i Thunderbird-128.10.2esr. På grunn av ulik kodelanding ble sårbarheten aldri rettet før denne utgivelsen. Denne sårbarheten er vurdert som høy og var urettet i 22 dager. Oppdater umiddelbart til Thunderbird-128.11.1esr. 12.3-053

12.3 039 Thunderbird Dato: 28.05.2025 Alvorlighetsgrad: Kritisk

I Thunderbird-128.11.0esr, syv sikkerhetsproblemer ble rettet som kunne føre til eksternt utnyttbare krasj, minnekorrupsjon, ekstern kodekjøring, lekkasje av informasjon på tvers av opprinnelse, lokal kodekjøring gjennom kommandoen «Kopier som cURL» og clickjacking for å lure brukere til å lekke lagrede betalingskortdetaljer. En av sårbarhetene er vurdert som kritisk, og derfor bør alle brukere oppdatere umiddelbart. Oppdater til Thunderbird-128.11.0esr. 12.3-039

12.3 035 Thunderbird Dato: 20.05.2025 Alvorlighetsgrad: Kritisk

I Thunderbird-128.10.2esr (så vel som 128.9.1, 128.9.2, 128.10.0, og 128.10.1), ble atten sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring, forfalskning av URL felt, vilkårlig kodekjøring, lekkasjer av hashede Window legitimasjoner, avsløring av informasjon om mappelisten over /tmp, feilaktig fremstilling av vedleggs-URL-er i brukergrensesnittet, sandkasse-rømminger, krasj som kan utnyttes eksternt, usikre attributtilganger (som fører til minnekorrupsjon og minnetilgang utenfor grensene), avsenderforfalskning (som fører til ekstremt trivielle phishing angrep), uønskede filnedlastinger, diskplass uttømming, lekkasje av legitimasjon til eksterne angripere via kompromitterte e-poster og vedlegg, JavaScript kjøring via forfalskede PDF vedlegg, og sporingslenker i vedlegg som omgår ekstern innholdsblokkering. Alle brukere som har Thunderbird installert, må oppdatere til Thunderbird-128.10.2esr umiddelbart for å beskytte systemene sine. 12.3-035

12.3 003 Thunderbird Dato: 07.03.2025 Alvorlighetsgrad: Kritisk

I Thunderbird-128.8.0esr, ni sikkerhetsproblemer ble fikset som kunne tillate ekstern kjøring av kode, krasj som kunne utnyttes eksternt, kjøring av vilkårlig kode, clickjacking og at nettutvidelser ble kamuflert som forskjellige elementer på en nettside. Siden en av de eksterne sårbarhetene for kjøring av kode aktivt utnyttes, og fordi den ikke krever brukermedvirkning, anbefaler BLFS teamet at alle brukere som har Thunderbird installert, å oppdatere til 128.8.0esr så snart som mulig. 12.3-003

udisks

12.3 100 udisks Dato: 31.08.2025 Alvorlighetsgrad: Høy

I udisks-2.10.2, et sikkerhetsproblem ble rettet som kunne tillate en lokal angriper å forårsake at udisks-daemonen krasjer, eller å utføre en lokal rettighetseskalering ved å få tilgang til filer eid av privilegerte brukere. Problemet oppstår på grunn av en lesing utenfor grensene. Oppdater til udisks-2.10.2. 12.3-100

12.3 063 udisks Dato: 22.06.2025 Alvorlighetsgrad: Høy

I udisks-2.10.1, ble det oppdaget et sikkerhetsproblem som kan tillate lokale angrep med eskalering av rettigheter når de er kjedet sammen med libblockdev og Linux-PAM. Sårbarheten oppstår fordi udisks ikke alltid monterer filsystemer med parameterne 'nosuid,nodev', som kan tillate brukere å eskalere rettighetene sine på systemer med SUID kjørbare filer, og dette er ikke ment å være standardoppførselen for filsystemer montert via udisks. En detaljert konseptutprøving er tilgjengelig med omfattende dokumentasjon. BLFS utviklerne har implementert en sed for å omgå problemet. Hvis du har udisks installert på systemet ditt, bør du umiddelbart gjenoppbygge udisks med sed kommandoen i boken. 12.3-063

Unbound

12.3 075 Unbound Dato: 17.07.2025 Alvorlighetsgrad: Høy

I Unbound-1.23.1, et sikkerhetsproblem ble rettet som kunne tillate DNS-cache forgiftningsangrep i noen konfigurasjoner. Dette angrepet har blitt kalt Rebirthday angrepet. Standard BLFS konfigurasjon er ikke påvirket, ettersom vi ikke sender alternativet '--enable-subnet' til konfigurasjon når vi bygger Unbound. Brukere som har sendt dette alternativet til konfigurasjon, er imidlertid berørt. Oppdater til Unbound-1.23.1 hvis du sendte dette alternativet til configure. 12.3-075

vim

12.3 072 vim (LFS og BLFS) Dato: 16.07.2025 Alvorlighetsgrad: Medium

I vim-9.1.1552, to sikkerhetsproblemer ble fikset som kunne tillate stigjennomgang når tar.vim og zip.vim programtilleggene ble brukt til å vise en skadelig TAR eller ZIP fil. Det er mulig for vim å pakke ut vilkårlige filer til mapper på systemet hvis en relativ sti brukes i TAR/ZIP filen, som kan brukes til å plassere filer som er nødvendige for å utnytte andre sårbarheter på systemet. Oppdater til vim-9.1.1552. 12.3-071

WebKitGTK

12.3 086 WebKitGTK Dato: 05.08.2025 Alvorlighetsgrad: Høy

I WebKitGTK-2.48.5, ti sikkerhetsproblemer ble rettet som kunne tillate ekstern kjøring av kode, krasj, sandkasse-escape, UI forfalskning, intern tilstandsavsløring, avsløring av sensitiv brukerinformasjon og at nedlastingsopprinnelser ikke ble tilknyttet riktig. Oppdater til WebKitGTK-2.48.5. 12.3-086

12.3 007 WebKitGTK Dato: 20.05.2025 Alvorlighetsgrad: Kritisk

I WebKitGTK-2.48.2, seksten sikkerhetsproblemer ble rettet som kunne føre til uventede prosesskrasj, datautvinning på tvers av opprinnelser, minnekorrupsjon, skriptangrep på tvers av nettsteder, typeforvirring (på ARM arkitekturer) og sandkasse-escapes. Sandkasse-escape sårbarheten er kjent for å bli utnyttet i stor skala, og det anbefales derfor at brukere oppdaterer WebKitGTK umiddelbart. Oppdater til WebKitGTK-2.48.2. 12.3-007

Wireshark

12.3 049 Wireshark Dato: 09.06.2025 Alvorlighetsgrad: Høy

I Wireshark-4.4.7, et sikkerhetsproblem ble rettet som kunne føre til krasj på grunn av bufferoverløp under behandling av håndlagde pakker. Krasjet oppstår med mange dissektorer, da det påvirker den vanlige kolonnemodulen som er innebygd i Wireshark. Oppdater til Wireshark-4.4.7. 12.3-049

Xorg-Server

12.3 058 Xorg-Server Dato: 20.06.2025 Alvorlighetsgrad; Medium

I Xorg-Server-21.1.18, et sikkerhetsproblem ble rettet som kunne tillate heltallsoverløp. Dette er for å sikre at en CVE som angivelig ble rettet i forrige utgivelse, blir riktig rettet. Oppdater til Xorg-Server-21.1.18. 12.3-058

12.3 056 Xorg-Server Dato: 17.06.2025 Alvorlighetsgrad; Medium

I Xorg-Server-21.1.17, seks sikkerhetsproblemer ble fikset som kunne tillate lesninger utenfor grensene, heltallsoverløp, lesninger av gamle data og at en klient kan få en annen klient til å henge seg. Mange av disse kommer fra utvidelser, og mange av dem er svært gamle sårbarheter, noen så gamle som X11R6. Oppdater til Xorg-Server-21.1.17. 12.3-056

Xwayland

12.3 059 Xwayland Dato: 20.06.2025 Alvorlighetsgrad; Medium

I Xwayland-24.1.8, et sikkerhetsproblem ble rettet som kunne tillate heltallsoverløp. Dette er for å sikre at en CVE som angivelig ble rettet i forrige utgivelse, blir riktig rettet. Oppdater til Xwayland-24.1.8. 12.3-059

12.3 057 Xwayland Dato: 17.06.2025 Alvorlighetsgrad; Medium

I Xwayland-24.1.7, seks sikkerhetsproblemer ble fikset som kunne tillate lesninger utenfor grensene, heltallsoverløp, lesninger av gamle data og at en klient kan få en annen klient til å henge seg. Mange av disse kommer fra utvidelser, og mange av dem er svært gamle sårbarheter, noen så gamle som X11R6. Oppdater til Xwayland-24.1.7. 12.3-057

Yelp

12.3 020 Yelp Oppdatert: 22.06.2025 Alvorlighetsgrad: Høy

I Yelp-42.2, ble det funnet et sikkerhetsproblem som tillater hjelpedokumenter å kjøre vilkårlig JavaScript, og også lese vilkårlige filer på disken. Oppstrøms har ikke gitt ut en oppdatert versjon for å fikse dette problemet, men BLFS teamet har tatt i bruk oppdateringer fra oppstrøms for å løse dette problemet. Det finnes en offentlig utnyttelse og en oppdatering som demonstrerer muligheten til å lese en brukers SSH privatnøkkel via et utformet hjelpedokument, og dermed ALLE BLFS BRUKERE SOM HAR YELP INSTALLERT BØR BRUKE OPPDATERINGENE SÅ SNART SOM MULIG. Oppdater til yelp-42.3 og yelp-xsl-42.4. 12.3-020

Oppdatert 22.06.2025 for å inkludere detaljer om yelp-xsl-42.4 og yelp-42.3, som fikser dette sikkerhetsproblemet. Brukere bør bruke disse versjonene nå i stedet for å bruke oppdateringene.