BLFS sikkerhetsråd for BLFS 13.0 og gjeldende utviklingsbøker.
BLFS-13.0 ble utgitt den 05.03.2026
Denne siden er i alfabetisk rekkefølge etter pakker, og hvis en pakke har flere råd, kommer den nyeste først.
Lenkene på slutten av hvert element peker til flere detaljer som har lenker til utgitte bøker.
Generelt sett hentes alvorlighetsgraden fra oppstrøms, hvis oppgitt, eller fra NVD (https://nvd.nist.gov/vuln/detail/) hvis en analyse er tilgjengelig der, men individuelle alvorlighetsgrader ved NVD kan endres over tid. Hvis ingen annen informasjon er tilgjengelig, antas det vanligvis en «Høy» alvorlighetsgrad.
BIND
13.0 002 BIND Dato: 06.03.2026 Alvorlighetsgrad: Lav
I BIND-9.20.20 ble et sikkerhetsproblem rettet i delv verktøyet som kunne tillate et eksternt utnyttbart krasj i dns_client_resolve() funksjonen utløst av et DNAME svar. Problemet skyldes en bruk etter å ha installert et program, og er avhengig av at en bruker sender et svært sjeldent sett med alternativer for å utnytte det. Den eneste kjente effekten er et krasj, og problemet krever brukerinteraksjon for å utnytte det, så oppstrøms har vurdert sårbarheten som Lav. Dette verktøyet er kun installert i en full BIND installasjon, og påvirker IKKE BIND Verktøy pakken i BLFS. Hvis du ikke opplever krasj i 'delv' verktøyet, er det ikke nødvendig å oppgradere. Oppdater til BIND-9.20.20. 13.0-002
Exiv2
13.0 004 Exiv2 Dato: 06.03.2026 Alvorlighetsgrad: Lav
I Exiv2-0.28.8 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenektelse (programkrasj) ved bruk av kommandolinjeverktøyet exiv2. Selve biblioteket er ikke berørt. Brukere som bruker forhåndsvisningskomponenten (f.eks. sender '-pp' til kommandolinjeverktøyet exiv2) eller behandler CRW videoer, bør oppdatere, ettersom problemene bare påvirker disse brukstilfellene. Det er ikke nødvendig å oppdatere ellers. Oppdater til Exiv2-0.28.8. 13.0-004
FreeRDP
13.0 001 FreeRDP Dato: 06.03.2026 Alvorlighetsgrad: Høy
I FreeRDP-3.23.0 ble tolv sikkerhetsproblemer rettet som kunne muliggjøre eksternt utnyttbare klient og serverkrasj, informasjonsavsløring og ekstern kjøring av kode. Dette kan forekomme i en rekke situasjoner, inkludert når du bruker omdirigeringsfunksjonen for utklippstavlen, kobler til en server og endrer størrelsen på vinduet. Brukere som har FreeRDP installert, bør vurdere å oppdatere umiddelbart hvis de kobler til upålitelige servere eller er vert for en offentlig tilgjengelig RDP server. Oppdater til FreeRDP-3.23.0. 13.0-001
FreeType
13.0 003 FreeType2 Dato: 06.03.2026 Alvorlighetsgrad: Medium
I FreeType-2.14.2 ble det rettet et sikkerhetsproblem som kunne tillate kjøring av vilkårlig kode, avsløring av informasjon eller tjenestenektelse (programkrasj) ved behandling av HVAR, VVAR eller MVAR tabellene i en OpenType variabel skrifttype. Dette problemet oppstår på grunn av en lesing utenfor grensene, forårsaket av et problem med heltallsoverløp. Denne oppdateringen har også flere andre rettelser for andre potensielle sikkerhetsproblemer, og oppstrøms anbefaler at alle brukere oppdaterer til denne versjonen av FreeType. Oppdater til FreeType-2.14.2. 13.0-003
libxml2
13.0 005 libxml2 Dato: 06.03.2026 Alvorlighetsgrad: Medium
I libxml2-2.15.2 ble fem sikkerhetsproblemer rettet som kunne tillate tjenestenekt (ressursutmattelse og programkrasj) ved bruk av xmllint verktøyet under noen sjeldne omstendigheter, når et program kaller xmlCatalogXMLResolveURI funksjonen når en XML mappe inneholder en URI oppføring som refererer til seg selv, ved behandling av XML mapper med gjentatte nextCatalog elementer som peker til den samme nedstrømsmappen, ved parsing av XSL noder, og ved bruk av RelaxNG parseren til å inkludere eksterne skjemaer. Oppdater til libxml2-2.15.2. 13.0-005
nfs-utils
13.0 007 nfs-utils Dato: 09.06.2026 Alvorlighetsgrad: Medium
I nfs-utils-2.8.6 ble det rettet et sikkerhetsproblem som kunne tillate en NFSv3 klient å eskalere privilegier som var tildelt den i /etc/exports filen ved montering. Dette lar en klient få tilgang til enhver undermappe eller undertre i en eksportert mappe uavhengig av filtillatelser eller andre attributter som normalt forventes å gjelde for klienten. Dette påvirker primært servere som kjører NFS, men alle brukere bør oppdatere på grunn av andre feilrettinger i denne pakken. Oppdater til nfs-utils-2.8.6. 13.0-007
Wireshark
13.0 006 Wireshark Dato: 08.03.2026 Alvorlighetsgrad: Medium
I Wireshark-4.6.4 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenekt (minneutmattelse og eksternt utnyttbar krasj) ved disseksjon av USB HID pakker, RF4CE profilpakker eller NTS-KE pakker. Brukere som bruker Wireshark, men ikke driver et nettverk med NTS-KE eller RF4CE profilpakker, eller som ikke bruker USB HID dissektoren, trenger ikke å oppgradere. Men hvis du er på et nettverk der disse pakketypene er i bruk, eller bruker Wireshark til å dissekere USB HID trafikk, bør du oppdatere Wireshark hvis du opplever krasj. Oppdater til Wireshark-4.6.4. 13.0-006