BLFS sikkerhetsråd for BLFS 12.4 og gjeldende utviklingsbøker.
BLFS-12.4 ble utgitt den 01.09.2025
Denne siden er i alfabetisk rekkefølge etter pakker, og hvis en pakke har flere råd, kommer den nyeste først.
Lenkene på slutten av hvert element peker til flere detaljer som har lenker til utgitte bøker.
Generelt sett hentes alvorlighetsgraden fra oppstrøms, hvis oppgitt, eller fra NVD (https://nvd.nist.gov/vuln/detail/) hvis en analyse er tilgjengelig der, men individuelle alvorlighetsgrader ved NVD kan endres over tid. Hvis ingen annen informasjon er tilgjengelig, antas det vanligvis en «Høy» alvorlighetsgrad.
CUPS
12.4 006 CUPS Dato: 30.09.2025 Alvorlighetsgrad: Høy
I CUPS-2.4.14, ble to sikkerhetsproblemer rettet som kan tillate en eksternt utnyttbar autentiseringsomgåelse og tjenestenekt. Sårbarheten for autentiseringsomgåelse oppstår på systemer der AuthType er satt til noe annet enn Basic, og denial of service-sårbarheten oppstår på systemer som lytter etter IPP skrivere gjennom cups-browsed eller CUPS selv. Brukere som har cups-browsed installert, eller som har endret AuthType konfigurasjonselementene, anbefales å oppdatere så snart som mulig. Oppdater til CUPS-2.4.14. 12.4-006
cURL
12.4 008 cURL Dato: 30.09.2025 Alvorlighetsgrad: Lav
I cURL-8.16.0, ble to sikkerhetsproblemer fikset som kunne tillate at et forutsigbart maskemønster oppstår ved bruk av WebSockets (som kan tillate at en ondsinnet server induserer trafikk mellom maskiner som kan tolkes av en involvert proxy som legitim trafikk), og at nettsteder overskriver innholdet i en sikker informasjonskapsel. Oppdater til cURL-8.16.0. 12.4-008
Exiv2
12.4 010 Exiv2 Dato: 30.09.2025 Alvorlighetsgrad: Lav
I Exiv2-0.28.7 ble to sikkerhetsproblemer rettet som kunne tillate tjenestenekt (programkrasj og kvadratisk ressursforbruk) ved behandling av EPS filer og parsing av ICC profiler i JPEG bilder. Oppdater til Exiv2-0.28.7 hvis du arbeider med upålitelige EPS filer eller JPEG bilder. 12.4-010
fetchmail
12.4 017 fetchmail Dato: 10.10.2025 Alvorlighetsgrad: Medium
I fetchmail-6.5.6, ble et sikkerhetsproblem rettet som kunne forårsake tjenestenektelse (programkrasj) ved autentisering med SMTP klienten. Merk at for at dette sikkerhetsproblemet skal kunne utnyttes, må en bruker ha konfigurert alternativene esmtpname og esmtppassword, samt at plugout og mda alternativene er inaktive. Denne konfigurasjonen er ganske uvanlig, men hvis du har fetchmail installert med denne konfigurasjonen og opplever krasj, bør du oppdatere til fetchmail-6.5.6 eller nyere. 12.4-017
Firefox
12.4 022 Firefox Dato: 14.10.2025 Alvorlighetsgrad: Høy
I Firefox-140.4.0esr er 8 sikkerhetsproblemer rettet som kan tillate bruk-etter-frigjøring, lesing/skriving utenfor grensene, informasjonslekkasje, modifisering av ikke-skrivbare objektegenskaper, overstyring av nettleserens oppførsel, potensiell brukerassistert kodekjøring, og utnyttelse av minnesikkerhetsfeil. Disse sikkerhetsproblemene påvirker ikke JavaScript komponenten i Firefox (SpiderMonkey). Oppdater til Firefox-140.3.0esr. 12.4-022
12.4 001 Firefox Dato: 19.09.2025 Alvorlighetsgrad: Høy
I Firefox-140.3.0esr, 7 sikkerhetsproblemer er rettet som kan tillate sandkasse rømming, omgåelse av retningslinjer med samme opprinnelse, utnyttelse av feil grensebetingelser, heltallsoverløp, avsløring av nettverksinformasjon og sikkerhetsfeil i minnet. Oppdater til Firefox-140.3.0esr. 12.4-001
ffmpeg
12.4 014 ffmpeg Dato: 10.10.2025 Alvorlighetsgrad: Høy
I ffmpeg-7.1.2, ble fem sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring og tjenestenekt. En av disse sårbarhetene er kjent for å være utnyttet. Disse sårbarhetene oppstår ved koding av AAC filer, behandling av MPEG-DASH manifester og ved dekoding av OpenEXR filer. Disse problemene oppstår alle på grunn av heap-bufferoverløp. Merk at ffmpeg brukes i flere sammenhenger, inkludert i nettlesere og andre mediespillere. Oppdater til ffmpeg-7.1.2. 12.4-014
gegl
12.4 015 gegl Dato: 10.10.2025 Alvorlighetsgrad: Høy
I gegl-0.4.64, ble et sikkerhetsproblem rettet som kunne tillate ekstern kjøring av kode ved behandling av HDR filer. Merk at dette sikkerhetsproblemet kun kan utnyttes via GIMP, som også nylig har fått en sikkerhetsoppdatering. Du bør oppdatere gegl, og deretter oppdatere GIMP. Hvis du åpner upålitelige HDR filer, bør du oppdatere til gegl-0.4.64 umiddelbart. 12.4-015
gi_docgen
12.4 021 gi_docgen Dato: 14.10.2025 Alvorlighetsgrad: Medium
I gi_docgen-2025.5 ble et sikkerhetsproblem rettet som kunne tillate XSS (cross-site scripting) i dokumentasjon som genereres av gi_docgen. Sårbarheten ble demonstrert i libsoup API dokumentasjonen, men kan også påvirke annen dokumentasjon som genereres av gi_docgen. Sårbarheten ligger i søkefunksjonaliteten og lar angripere kjøre vilkårlig JavaScript kode i konteksten av det genererte nettstedet. Oppdater til gi_docgen-2025.5. 12.4-021
GIMP
12.4 016 GIMP Dato: 10.10.2025 Alvorlighetsgrad: Høy
I GIMP-3.0.6, ble seks sikkerhetsproblemer rettet som kunne tillate ekstern kjøring av kode ved behandling av DCM, WBMP, FF, XWD og ILBM filer. Hvis du jobber med DCM, WBMP, FF, XWD, ILBM eller HDR filer, bør du oppdatere til gegl-0.4.64 og GIMP-3.0.6 umiddelbart. 12.4-016
libaom
12.4 007 libaom Dato: 30.09.2025 Alvorlighetsgrad: Høy
I libaom-3.13.1 ble et sikkerhetsproblem rettet som kunne tillate ekstern kjøring av kode når en laget AV1 fil spilles av. Sårbarheten er hovedsakelig kjent for å bli utnyttet i en nettleserkontekst, for eksempel i QtWebEngine (med den innebygde kopien av Chromium). Oppdater til libaom-3.13.1. 12.4-007
libarchive
12.4 024 libarchive Dato: 17.10.2025 Alvorlighetsgrad: Medium
I libarchive-3.8.2 ble et sikkerhetsproblem rettet som kunne tillate at en skadelig TAR fil forårsaker en tjenestenekt (programkrasj) eller muligens andre konsekvenser når innholdet i TAR filen er oppført med en detaljert verdi på '2'. Et eksempel gitt av upstream er at en buffer på 100 byte kanskje ikke er tilstrekkelig for en tilpasset språkinnstilling. Oppdater til libarchive-3.8.2 hvis du bruker den til å behandle TAR-filer. 12.4-024
OpenJPEG
12.4 009 OpenJPEG Dato: 30.09.2025 Alvorlighetsgrad: Kritisk
I OpenJPEG-2.5.4 ble et sikkerhetsproblem rettet som kunne tillate ekstern kjøring av kode ved behandling av en laget JPEG2000 fil. Problemet oppstår på grunn av en ubegrenset skriving utenfor grensene. Oppdater til OpenJPEG-2.5.4. 12.4-009
OpenSSH
12.4 018 OpenSSH Dato: 10.10.2025 Alvorlighetsgrad: Lav
I OpenSSH-10.1p1, ble et sikkerhetsproblem rettet som kunne tillate ekstern kjøring av kode i noen konfigurasjoner. Bare brukere som har endret standardkonfigurasjonen i BLFS og angitt ProxyCommand er sårbare for problemet, og problemet oppstår fordi OpenSSH tillot kontrolltegn i brukernavn som stammer fra upålitelige kilder. Hvis du ikke har endret standard BLFS konfigurasjon, er det ikke nødvendig å oppgradere. Hvis du har endret konfigurasjonen og angitt ProxyCommand alternativet, oppdater til OpenSSH-10.1p1. 12.4-018
PCRE2
12.4 004 PCRE2 Dato: 29.09.2025 Alvorlighetsgrad: Medium
I PCRE2-10.46, et sikkerhetsproblem ble rettet som kan tillate informasjonsavsløring og tjenestenektelse (programkrasj) når et laget regulært uttrykk behandles. Dette skjer når mønsterfunksjonene *ACCEPT og *scs: brukes sammen, og oppstrøms har bemerket at problemet kan brukes til å eskalere alvorlighetsgraden av andre sikkerhetsproblemer i et system. Oppdater til PCRE2-10.46, med tanke på merknaden i veiledningen om bruk av BLFS instruksjonene siden denne pakken har blitt flyttet til LFS. 12.4-004
poppler
12.4 020 poppler Dato: 14.10.2025 Alvorlighetsgrad: Medium
I poppler-25.10.0 ble et sikkerhetsproblem rettet som kunne tillate tjenestenektelse (programkrasj) ved behandling av en laget PDF fil. Oppdater til poppler-25.10.0, men merk forbeholdene om pakker som må justeres i den konsoliderte veiledningen. 12.4-020
Ruby
12.4 019 Ruby Dato: 10.10.2025 Alvorlighetsgrad: Høy
I Ruby-3.4.7, ble det rettet et sikkerhetsproblem som kunne tillate lekkasje av legitimasjon når URI gem brukes. Dette skjer når +-operatoren brukes til å kombinere URI-er. Hvis du bruker Subversion med Ruby bindingene, eller bruker URI-gem, oppdater til Ruby-3.4.7. Det er ingen grunn til å oppgradere ellers. 12.4-019
QtWebEngine
12.4 013 QtWebEngine Dato: 02.10.2025 Alvorlighetsgrad: Kritisk
I QtWebEngine-6.9.3 ble femten sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring, informasjonslekkasje og omgåelse av innholdssikkerhetspolicyer. Minst tre av disse sårbarhetene er kjent for å være under aktiv utnyttelse, og brukere anbefales å oppdatere QtWebEngine øyeblikkelig, selv om den bare brukes som en byggeavhengighet. Oppdater til QtWebEngine-6.9.3. 12.4-013
SpiderMonkey
12.4 002 SpiderMonkey Dato: 19.09.2025 Alvorlighetsgrad: Medium
I SpiderMonkey fra Firefox-140.3.0esr, 1 sikkerhetssårbarhet har blitt rettet som kan tillate utnyttelse av feil grensebetingelser. Oppdater til SpiderMonkey fra Firefox-140.3.0esr. 12.4-002
Thunderbird
12.4 023 Thunderbird Dato: 16.10.2025 Alvorlighetsgrad: Høy
I Thunderbird-140.4.0esr er 8 sikkerhetsproblemer rettet som kan tillate bruk-etter-frigjøring, utenfor grensene lesing/skriving, informasjonslekkasje, modifisering av ikke-skrivbare objektegenskaper overstyring av nettleserens oppførsel, potensiell brukerassistert kodekjøring og utnyttelse av minnesikkerhetsfeil. Oppdater til Thunderbird-140.4.0esr. 12.4-003
12.4 003 Thunderbird Dato: 19.09.2025 Alvorlighetsgrad: Høy
I Thunderbird-140.3.0esr, 7 sikkerhetsproblemer er rettet som kan tillate sandkasse rømming, omgåelse av retningslinjer med samme opprinnelse, utnyttelse av feil grensebetingelser, heltallsoverløp, avsløring av nettverksinformasjon og sikkerhetsfeil i minnet. Oppdater til Thunderbird-140.3.0esr. 12.4-003
Wireshark
12.4 011 Wireshark 30.09.2025 Alvorlighetsgrad: Lav
I Wireshark-4.4.9 ble et sikkerhetsproblem rettet som kunne tillate tjenestenektelse (programkrasj) ved behandling av en håndlaget SSH pakke. Dette kan oppstå både under direkte pakkeopptak og ved lesing av en tidligere lagret PCAP fil. Hvis du bruker Wireshark til å dissekere SSH pakker, anbefales det å oppdatere Wireshark. Oppdater til Wireshark-4.4.9 hvis du bruker Wireshark til å dissekere SSH pakker. 12.4-011