BLFS sikkerhetsråd for BLFS 13.0 og gjeldende utviklingsbøker.
BLFS-13.0 ble utgitt den 05.03.2026
Denne siden er i alfabetisk rekkefølge etter pakker, og hvis en pakke har flere råd, kommer den nyeste først.
Lenkene på slutten av hvert element peker til flere detaljer som har lenker til utgitte bøker.
Generelt sett hentes alvorlighetsgraden fra oppstrøms, hvis oppgitt, eller fra NVD (https://nvd.nist.gov/vuln/detail/) hvis en analyse er tilgjengelig der, men individuelle alvorlighetsgrader ved NVD kan endres over tid. Hvis ingen annen informasjon er tilgjengelig, antas det vanligvis en «Høy» alvorlighetsgrad.
BIND
13.0 002 BIND Dato: 06.03.2026 Alvorlighetsgrad: Lav
I BIND-9.20.20 ble et sikkerhetsproblem rettet i delv verktøyet som kunne tillate et eksternt utnyttbart krasj i dns_client_resolve() funksjonen utløst av et DNAME svar. Problemet skyldes en bruk etter å ha installert et program, og er avhengig av at en bruker sender et svært sjeldent sett med alternativer for å utnytte det. Den eneste kjente effekten er et krasj, og problemet krever brukerinteraksjon for å utnytte det, så oppstrøms har vurdert sårbarheten som Lav. Dette verktøyet er kun installert i en full BIND installasjon, og påvirker IKKE BIND Verktøy pakken i BLFS. Hvis du ikke opplever krasj i 'delv' verktøyet, er det ikke nødvendig å oppgradere. Oppdater til BIND-9.20.20. 13.0-002
cURL
13.0 009 cURL Dato: 21.03.2026 Alvorlighetsgrad: Medium
I cURL-8.19.0 ble fire sikkerhetsproblemer rettet som kunne tillate upassende gjenbruk av HTTP forhandlingstilkoblinger, tokenlekkasjer, upassende gjenbruk av proxy tilkoblinger med påloggingsinformasjon og bruk-etter-frigjøring operasjoner via gjenbruk av SMB tilkoblinger. Oppdater til cURL-8.19.0. 13.0-009
Exiv2
13.0 004 Exiv2 Dato: 06.03.2026 Alvorlighetsgrad: Lav
I Exiv2-0.28.8 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenektelse (programkrasj) ved bruk av kommandolinjeverktøyet exiv2. Selve biblioteket er ikke berørt. Brukere som bruker forhåndsvisningskomponenten (f.eks. sender '-pp' til kommandolinjeverktøyet exiv2) eller behandler CRW videoer, bør oppdatere, ettersom problemene bare påvirker disse brukstilfellene. Det er ikke nødvendig å oppdatere ellers. Oppdater til Exiv2-0.28.8. 13.0-004
Firefox
13.0 027 Firefox Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Firefox-140.9.0esr ble 38 sikkerhetsproblemer fikset som kunne tillate vilkårlig kodekjøring, ekstern kodekjøring, sandkasserømming, tjenestenekt (programkrasj og ressursutmattelse), udefinert oppførsel, omgåelser av risikoreduksjoner og eskalering av rettigheter. Alle brukere som har Firefox installert oppfordres til å oppdatere umiddelbart, spesielt på grunn av sandkasserømming sårbarhetene som deretter forsterker virkningene av de andre sårbarhetene. Oppdater til Firefox-140.9.0esr. 13.0-027
FreeRDP
13.0 031 FreeRDP Dato: 01.04.2026 Alvorlighetsgrad: Høy
I FreeRDP-3.24.2 ble ni sikkerhetsproblemer rettet som kunne tillate ekstern kjøring av kode, udefinert oppførsel og tjenestenekt (programkrasj og minnekorrupsjon). Disse sårbarhetene oppstår i en rekke situasjoner, inkludert når en bruker kobler seg til et system eller samhandler med et system etter tilkobling. Dette kan inkludere når man mottar lyd fra det eksterne systemet. Brukere som bruker FreeRDP serveren eller kobler seg til uklarerte klienter, bør oppdatere til FreeRDP-3.24.2 umiddelbart. 13.0-031
13.0 012 FreeRDP-3.24.0 Dato: 21.03.2026 Alvorlighetsgrad: Kritisk
I FreeRDP-3.24.0 ble åtte sikkerhetsproblemer rettet som kunne føre til heap bufferoverløp, lese og skriveoperasjoner utenfor grensene, heltallsunderflyt, heap overskrivinger, gigantiske while-loop-iterasjoner og tjenestenektelse angrep via divisjon med null. Oppdater øyeblikkelig til FreeRDP-3.24.0. 13.0-012
13.0 001 FreeRDP Dato: 06.03.2026 Alvorlighetsgrad: Høy
I FreeRDP-3.23.0 ble tolv sikkerhetsproblemer rettet som kunne muliggjøre eksternt utnyttbare klient og serverkrasj, informasjonsavsløring og ekstern kjøring av kode. Dette kan forekomme i en rekke situasjoner, inkludert når du bruker omdirigeringsfunksjonen for utklippstavlen, kobler til en server og endrer størrelsen på vinduet. Brukere som har FreeRDP installert, bør vurdere å oppdatere umiddelbart hvis de kobler til upålitelige servere eller er vert for en offentlig tilgjengelig RDP server. Oppdater til FreeRDP-3.23.0. 13.0-001
FreeType
13.0 024 FreeType Date: 2026-04-01 Severity: High
I FreeType-2.14.3 ble flere potensielle minnesikkerhetsproblemer løst som kunne tillate vilkårlig kodekjøring (stakkoverløp) og tjenestenektelse (minnelekkasjer og grenseproblemer). Oppstrøms har vært ganske vage om detaljene rundt disse problemene, og BLFS teamet var bare i stand til å finne de eksakte problemene ved å gjennomgå commits for 2.14.3-utgivelsen. Oppstrøms anbefaler imidlertid at brukere oppgraderer umiddelbart for å løse disse problemene, så vi sender inn en veiledning selv om det ikke er mye detaljer. Oppdater til FreeType-2.14.3. 13.0-024
13.0 003 FreeType2 Dato: 06.03.2026 Alvorlighetsgrad: Medium
I FreeType-2.14.2 ble det rettet et sikkerhetsproblem som kunne tillate kjøring av vilkårlig kode, avsløring av informasjon eller tjenestenektelse (programkrasj) ved behandling av HVAR, VVAR eller MVAR tabellene i en OpenType variabel skrifttype. Dette problemet oppstår på grunn av en lesing utenfor grensene, forårsaket av et problem med heltallsoverløp. Denne oppdateringen har også flere andre rettelser for andre potensielle sikkerhetsproblemer, og oppstrøms anbefaler at alle brukere oppdaterer til denne versjonen av FreeType. Oppdater til FreeType-2.14.2. 13.0-003
Fuse
13.0 014 Fuse Dato: 21.03.2026 Alvorlighetsgrad: Høy
I Fuse-3.18.2 ble to sikkerhetsproblemer rettet som kunne tillate bruk-etter-frigjøring, dereferering av NULL-pekere, og minnelekkasjer. Oppdater til Fuse-3.18.2. 13.0-014
giflib
13.0 010 giflib Dato: 21.03.2026 Alvorlighetsgrad: Høy
I giflib-6.1.2 ble tre tildelte sikkerhetssårbarheter, blant mange ikke-tildelte AI reviderte sårbarheter, fikset som kunne tillate dobbeltfrie operasjoner, tjenestenektangrep via minne lekkasjer, utnyttelse av heap bufferoverløp, sti-traversering, skriveoperasjoner utenfor grensene og heltalls og bufferoverløp. Oppdater til giflib-6.1.2. 13.0-010
GIMP
13.0 050 GIMP Dato: 16.04.2026 Alvorlighetsgrad: Høy
I GIMP-3.2.2 ble tolv sikkerhetsproblemer rettet som kunne tillate vilkårlig kodekjøring, ekstern kodekjøring, informasjonsavsløring og tjenestenekt (programkrasj). Disse oppstår på grunn av heltallsoverløp og heapbufferoverløp. PCX, PSD, ICO, JP2, PSP, XPM, FITS, TIM, ICNS, PVR, Seattle Filmworks og GIF bildeparserne er berørt av disse sårbarhetene. Alle brukere som jobber med disse bildetypene bør oppdatere GIMP til 3.2.2 umiddelbart, spesielt hvis du jobber med upålitelige bildefiler. Oppdater til GIMP-3.2.2. 13.0-050
glib
13.0 033 glib Dato: 03.04.2026 Alvorlighetsgrad: Høy
I glib-2.86.5 ble fem sikkerhetsproblemer rettet som kunne tillate informasjonsavsløring eller tjenestenekt (programkrasj). Disse sårbarhetene oppstår alle på grunn av små lesninger utenfor grensene og bufferoverlesninger i en rekke viktige funksjoner. Oppdater til glib-2.86.5. 13.0-033
gstreamer
13.0 036 gstreamer Dato: 08.04.2026 Alvorlighetsgrad: Høy
I gst-plugins-base, gst-plugins-bad og gst-plugins-good 1.28.2, ble elleve sikkerhetsproblemer fikset som kunne tillate informasjonsavsløring, tjenestenekt (minneutmattelse og programkrasj), og vilkårlig kodekjøring. Disse forekommer i en rekke funksjoner, inkludert SRT/WebVTT analyseren, Matroska-demuxeren, WAV analyseren ved dekoding av CUE filer, FLV demuxeren, mDVDsub undertekstanalyseren, MOV/MP4 demuxeren, H.266/VVC analyseren, JPEG 2000 desimatoren, AV1 LEB128 analyseren og H.264 videoanalyseren. På grunn av variasjonen i omstendigheter der gstreamer brukes (inkludert nettlesere og medie spillere), anbefales alle brukere som har det installert å oppdatere stakken til 1.28.2 umiddelbart. 13.0-036
libarchive
13.0 046 libarchive Dato: 15.04.2026 Alvorlighetsgrad: Høy
I libarchive-3.8.7 ble sju sikkerhetsproblemer fikset som kunne tillate tjenestenekt (programkrasj og minneutmattelse) samt kjøring av vilkårlig kode. Disse sårbarhetene forekommer i CAB, CPIO og ISO9660 formatene, samt i 'untar' contrib skriptet (som ikke er installert som standard og er eksempelkode). Hvis du bruker libarchive til å behandle ISO9660 formater (f.eks. ISO-er), CAB filer eller for å behandle CPIO formaterte filer, bør du vurdere å oppdatere. Det er ikke mye grunn for brukere som ikke behandler disse formatene å oppdatere. Oppdater til libarchive-3.8.7. 13.0-046
libde265
13.0 011 libde265 Dato: 21.03.2026 Alvorlighetsgrad: Høy
I libde265-1.0.18 ble to sikkerhetsproblemer rettet som kunne tillate tjenestenektangrep og heap skriving utenfor grensene operasjoner. Oppdater til libde265-1.0.18. 13.0-011
libexif
13.0 044 libexif Dato: 15.04.2026 Alvorlighetsgrad: Høy
I libexif-0.6.26 ble tre sikkerhetsproblemer rettet som kunne tillate vilkårlig utførelse av kode, tjenestenekt (programkrasj) og informasjonsavsløring. Oppdater til libexif-0.6.26, spesielt hvis du behandler upålitelige bilder eller EXIF metadata regelmessig. 13.0-044
libinput
13.0 034 libinput Dato: 06.04.2026 Alvorlighetsgrad: Høy
I libinput-1.31.1 ble to sikkerhetsproblemer rettet som kunne tillate en sandkasse-rømming og avsløring av informasjon. Begge disse problemene oppstår i undersystemet til libinput sine programtillegg. Oppdater til libinput-1.31.1. 13.0-034
libpng
13.0 047 libpng Dato: 15.04.2026 Alvorlighetsgrad: Medium
I libpng-1.6.57 ble et sikkerhetsproblem rettet som kunne tillate tjenestenektelse (programkrasj) eller muligens heap informasjon avsløring. Dette kan forekomme med gyldige PNG filer som samsvarer med PNG spesifikasjonen, ettersom ethvert bilde som inneholder en berørt chunk kan utløse sikkerhetsproblemet. Det er imidlertid vurdert som Middels fordi bare programmer som bruker funksjonene png_set_PLTE, png_set_tRNS og png_set_hIST er berørt, og bare hvis de sender en peker på et identisk strukturpar. De fleste brukere bør fortsatt vurdere å oppgradere, fordi dette problemet oppstår med gyldige PNG filer. Oppdater til libpng-1.6.57. 13.0-047
13.0 016 libpng Dato: 26.03.2026 Alvorlighetsgrad: Høy
I libpng-1.6.56 ble to sikkerhetsproblemer rettet som kunne tillate ekstern kjøring av kode og avsløring av informasjon. Det første sårbarheten er i funksjonene png_set_PLTE og png_set_tRNS, der en 100 % gyldig PNG fil kan utløse en use-after-free feil som kan lekke sensitivt heap innhold, skrive angriperpåvirket informasjon til frigjort heap minne, og på systemer som bruker glibc (som LFS systemer), forårsake triviell ekstern kodekjøring når PNG filen lastes inn i kontekster som en nettleser. Den andre sårbarheten er en lesing/skriving utenfor grensene som bare forekommer på ARM/AArch64 systemer som bruker Neon optimaliseringene. Alle brukere som har libpng installert oppfordres til å oppdatere umiddelbart. 13.0-016
libraw
13.0 045 libraw Dato: 15.04.2026 Alvorlighetsgrad: Kritisk
I libraw-0.22.1 ble åtte sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring, vilkårlig kodekjøring og tjenestenekt (programkrasj og minneutmattelse). Disse sårbarhetene er for det meste klassifisert som heapbufferoverløp og heltallsoverløp, og de forekommer i en rekke forskjellige funksjoner og kontekster. Enhver bruker som behandler upålitelige RAW bilder bør oppdatere til denne versjonen umiddelbart for å beskytte systemet sitt. Oppdater til libraw-0.22.1. 13.0-045
libxml2
13.0 005 libxml2 Dato: 06.03.2026 Alvorlighetsgrad: Medium
I libxml2-2.15.2 ble fem sikkerhetsproblemer rettet som kunne tillate tjenestenekt (ressursutmattelse og programkrasj) ved bruk av xmllint verktøyet under noen sjeldne omstendigheter, når et program kaller xmlCatalogXMLResolveURI funksjonen når en XML mappe inneholder en URI oppføring som refererer til seg selv, ved behandling av XML mapper med gjentatte nextCatalog elementer som peker til den samme nedstrømsmappen, ved parsing av XSL noder, og ved bruk av RelaxNG parseren til å inkludere eksterne skjemaer. Oppdater til libxml2-2.15.2. 13.0-005
nfs-utils
13.0 007 nfs-utils Dato: 09.06.2026 Alvorlighetsgrad: Medium
I nfs-utils-2.8.6 ble det rettet et sikkerhetsproblem som kunne tillate en NFSv3 klient å eskalere privilegier som var tildelt den i /etc/exports filen ved montering. Dette lar en klient få tilgang til enhver undermappe eller undertre i en eksportert mappe uavhengig av filtillatelser eller andre attributter som normalt forventes å gjelde for klienten. Dette påvirker primært servere som kjører NFS, men alle brukere bør oppdatere på grunn av andre feilrettinger i denne pakken. Oppdater til nfs-utils-2.8.6. 13.0-007
nghttp2
13.0 013 nghttp2 Dato: 21.03.2026 Alvorlighetsgrad: Høy
I nghttp2-1.68.1 ble et sikkerhetsproblem rettet som kunne tillate tjenestenekt via en påstandsfeil. Oppdater til nghttp2-1.68.1. 13.0-013
Node.js
13.0 030 Node.js Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Node.js-24.14.1 ble 8 sikkerhetsproblemer fikset som kunne tillate omgåelse av tillatelser, eksternt utnyttbar tjenestenekt (ressursutmattelse og applikasjonskrasj) og potensiell MAC forfalskning. Disse kan oppstå i en rekke situasjoner, inkludert når man behandler HTTP forespørsler, analyserer URL-er, utfører kryptografioperasjoner og får tilgang til filer på systemet. Merk at den potensielle MAC forfalskningssårbarheten oppstår på grunn av et problem med timing sidekanalen. Oppdater til Node.js-24.14.1. 13.0-030.
OpenSSH
13.0 032 OpenSSH Dato: 03.04.2026 Alvorlighetsgrad: Høy
I OpenSSH-10.3p1 ble fem sikkerhetsproblemer rettet som kunne tillate upassende samsvar mellom authorized_keys filen under noen sjeldne omstendigheter, at nedlastinger fra SCP installeres med SUID/SGID i noen situasjoner, at uventet kommandoutførelse skjer via skall metategn i et brukernavn, at OpenSSH bruker utilsiktede ECSDA algoritmer, og at OpenSSH utelater bekreftelse av tilkoblingsmultipleksing for multipleksingsøkter i proxy modus. De fleste av disse sårbarhetene er avhengige av ikke-standard konfigurasjoner eller spesifikke handlinger. Hvis du har endret standard BLFS konfigurasjon for OpenSSH, bør du lese den konsoliderte veiledningen for å sikre at du ikke er berørt. Hvis du er berørt, oppdater til OpenSSH-10.3p1. Det er ingen grunn til å oppgradere hvis du ikke er berørt. 13.0-032
pytest
13.0 035 pytest Dato: 08.04.2026 Alvorlighetsgrad: Medium
I pytest-9.0.3 ble et sikkerhetsproblem rettet som kunne tillate tjenestenekt (programkrasj) eller muligens eskalering av rettigheter. Dette skyldes usikker bruk av midlertidige mapper, der tidligere versjoner tillot alle brukere å skrive til katalogen /tmp/pytest-of-${USER}. Merk at dette bare ville kunne utnyttes lokalt oppstrøms, og kan bare utnyttes mens en testpakke kjører. Oppdater til pytest-9.0.3. 13.0-035
Python
13.0 038 Python (LFS og BLFS) Dato: 15.04.2026 Alvorlighetsgrad: Kritisk
I Python-3.14.4 (og 3.13.13) ble fire sikkerhetsproblemer rettet. Etter utgivelsen ble imidlertid ytterligere fire løst. Disse sårbarhetene kan føre til en rekke påvirkninger, inkludert tjenestenektelse (programkrasj), slik at data kan aksepteres av base64 modulen som burde vært behandlet annerledes, forbigåelse av inndatavalidering når man arbeider med informasjonskapsler i http.Cookies.Morsel (som tillater injeksjon av kontrolltegn i informasjonskapsler), at eldre *.pyc filer håndteres feil (som fører til utilsiktet oppførsel under kjøring for ulike programmer), for vilkårlig kodeutførelse ved behandling av LZMA, BZ2 eller GZIP komprimerte filer i Python, at CR/LF byte ikke avvises av HTTP klientproxy tunneloverskrifter, at kommandoer injiseres i det underliggende skallet når et Python skript åpner en nettleser, og at minnekorrupsjon oppstår når man bruker fjernfeilsøkingsfunksjonen i Python 3.14 og senere. Oppdater til Python-3.14.4 med sikkerhetsrettelsene. BLFS 12.4 brukere kan trygt bruke 3.13.13 med oppdateringen, men må hoppe over en manglende fil under oppdateringsprosessen. 13.0-038
13.0 022 Python (LFS og BLFS) Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Python-3.14.3 ble det funnet tre sikkerhetsproblemer som kunne tillate tjenestenektelse (programkrasj), tillate kontrolltegn i HTTP informasjonskapsler, og tillate Python å ved et uhell sende uventede alternativer til nettlesere. Gjenoppbygg Python med sikkerhetsoppdateringen. BLFS 12.4 brukere kan trygt bruke oppdateringen mot Python 3.13 med merknaden om at en ny testfeil vil oppstå på grunn av at testen er avhengig av et nyere test API fra Python 3.14. 13.0-022
QtWebEngine
13.0 026 QtWebEngine Dato: 01.04.2026 Alvorlighetsgrad: Kritisk
I QtWebEngine-6.11.0 ble 47 sikkerhetsproblemer fikset. Disse kunne tillate ekstern kjøring av kode, objektkorrupsjon, avsløring av sensitiv informasjon, datautvinning på tvers av opprinnelse, sandkasserømming, at ondsinnede utvidelser injiserer skript eller HTML på privilegerte sider, at retningslinjeomgåelser med samme opprinnelse og at navigasjonsbegrensninger omgås. To av disse sårbarhetene er kjent for å bli aktivt utnyttet av en trusselaktør, og det anbefales derfor at du oppdaterer til Qt6 og QtWebEngine 6.11.0 umiddelbart. 13.0-026
requests
13.0 017 requests Dato: 26.03.2026 Alvorlighetsgrad: Medium
I requests-2.33.0 ble det rettet et sikkerhetsproblem som kunne tillate en lokal angriper med skrivetilgang til /tmp å forhåndsopprette en skadelig fil som ville bli lastet inn i stedet for en legitim fil. Dette påvirker bare requests.utils.extract_zipped_paths() verktøyfunksjonen, og ikke standardbruken av requests biblioteket. Bare applikasjoner som bruker denne funksjonen direkte påvirkes, og ingen i BLFS bruker den for øyeblikket. Men hvis du har tredjepartsmoduler installert som kan bruke forespørsler, bør du oppdatere til requests-2.33.0 når det passer deg. 13.0-017
Spidermonkey
13.0 028 Spidermonkey Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Spidermonkey fra Firefox-140.9.0esr ble fire sikkerhetsproblemer rettet som kunne føre til vilkårlig kodekjøring, tjenestenekt eller uventet oppførsel. Disse problemene er et resultat av JIT feilkompilering, bruk-etter-fri problemer, bruk av uinitialisert minne og feil grensebetingelser. Oppdater til Spidermonkey-140.9.0. 13.0-028
systemd
13.0 008 systemd (LFS og BLFS) Dato: 21.03.2026 Alvorlighetsgrad: Medium
I systemd-259.5 ble et sikkerhetsproblem rettet som kunne tillate lokal privilegieeskalering. Dette sikkerhetsproblemet ble funnet i systemd-machined, som kan utløses av en vanlig bruker som er logget inn i et grafisk miljø og som kan eskalere til rotbrukeren via et IPC kall. Oppdater til systemd-259.5. 13.0-008
Thunderbird
13.0 029 Thunderbird Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Thunderbird-140.9.0esr ble 40 sikkerhetsproblemer fikset som kunne tillate vilkårlig kodekjøring, ekstern kodekjøring, sandkasserømming, tjenestenektelse (programkrasj og ressursutmattelse), udefinert oppførsel, omgåelser av begrensninger, UI forfalskning, avsløring av sensitive data og eskalering av rettigheter. Alle brukere som har Thunderbird installert oppfordres til å oppdatere umiddelbart, spesielt på grunn av sandkasserømming sårbarhetene som deretter forsterker virkningene av de andre sårbarhetene. Merk at to problemer her også er Thunderbird spesifikke, særlig et UI forfalskningssårbarhet og avsløring av sensitive data ved tilkobling til en ondsinnet IMAP server. Oppdater til Thunderbird-140.9.0esr. 13.0-029
vim
13.0 037 vim (LFS og BLFS) Dato: 15.04.2026 Alvorlighetsgrad: Høy
I vim-9.2.0340 ble to sikkerhetsproblemer fikset som kunne tillate injeksjon av kommandoer i operativsystemet (som følge av en sandkasserømming i modeline funksjonaliteten), og for problemer med sti traversering når innholdet i Zip arkiver endres, slik at vim overskriver filer på det underliggende systemet i stedet for det tiltenkte innholdet i Zip arkivet. Alle brukere oppfordres til å oppdatere til vim-9.2.0340 umiddelbart på grunn av risikoen for vilkårlig kommandoutførelse. 13.0-037
13.0 025 vim (LFS og BLFS) Dato: 01.04.2026 Alvorlighetsgrad: Kritisk
I vim-9.2.0272 ble et sikkerhetsproblem rettet som kunne tillate vilkårlig OS kommandoinjeksjon ved lasting av en håndlaget fil. Merk at filen bare trenger å lastes inn av VIM, en bruker trenger ikke å redigere den eller utføre noen spesielle kommandoer for at sårbarheten skal utløses. Alle brukere bør oppdatere til vim-9.2.0272 umiddelbart, spesielt hvis de regelmessig ser kildekode eller andre filer fra upålitelige eller eksterne kilder. 13.0-025
WebKitGTK
13.0 015 WebKitGTK Dato: 26.03.2026 Alvorlighetsgrad: Kritisk
I WebKitGTK-2.52.0 ble åtte sikkerhetsproblemer rettet som kunne tillate operasjoner etter frigjøring, intern applikasjonstilstandsavsløring, eksterne og lokale tjenestenektangrep og brukersporing. Oppdater til WebKitGTK-2.52.0. 13.0-015
Wireshark
13.0 006 Wireshark Dato: 08.03.2026 Alvorlighetsgrad: Medium
I Wireshark-4.6.4 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenekt (minneutmattelse og eksternt utnyttbar krasj) ved disseksjon av USB HID pakker, RF4CE profilpakker eller NTS-KE pakker. Brukere som bruker Wireshark, men ikke driver et nettverk med NTS-KE eller RF4CE profilpakker, eller som ikke bruker USB HID dissektoren, trenger ikke å oppgradere. Men hvis du er på et nettverk der disse pakketypene er i bruk, eller bruker Wireshark til å dissekere USB HID trafikk, bør du oppdatere Wireshark hvis du opplever krasj. Oppdater til Wireshark-4.6.4. 13.0-006
xdg-dbus-proxy
13.0 042 xdg-dbus-proxy Dato: 15.04.2026 Alvorlighetsgrad: Høy
I xdg-dbus-proxy-0.1.7 ble et sikkerhetsproblem rettet som kunne tillate D-Bus klienter å fange opp meldinger de ikke skulle ha tilgang til. Dette ble rettet ved å justere policyparseren slik at den kunne håndtere innstillinger med anførselstegn og andre tilfeller. I BLFS er den eneste kjente pakken som bruker xdg-dbus-proxy WebKitGTK. Oppdater til xdg-dbus-proxy-0.1.7. 13.0-042
xdg-desktop-portal
13.0 043 xdg-desktop-portal Dato: 15.04.2026 Alvorlighetsgrad: Medium
I xdg-desktop-portal-1.20.4 ble det rettet et sikkerhetsproblem som kunne tillate at et program som bruker papirkurvportalen sletter enhver vilkårlig fil fra verten som det har tilgang til. Dette er identisk med det nylige Flatpak sikkerhetsproblemet knyttet til dette, men påvirker alle programmer som bruker papirkurvportalen – ikke bare i en Flatpak kontekst. I BLFS inkluderer dette primært filbehandlere og noen nettlesere, men kan også påvirke andre programmer avhengig av om de rutinemessig oppretter eller sletter filer. Oppdater til xdg-desktop-portal-1.20.4. 13.0-043
Xorg-Server
13.0 048 Xorg-Server Dato: 15.04.2026 Alvorlighetsgrad: Høy
I Xorg-Server-21.1.22 ble fem sikkerhetsproblemer rettet som kunne tillate vilkårlig kodekjøring eller tjenestenekt (Xorg krasjer). Disse sårbarhetene oppstår i XKB og XSYNC utvidelsene. Den første sårbarheten er et heltallsunderflow i XkbSetCompatMap() funksjonen i XKB utvidelsen, mens den andre er en utenfor grensene lesing i CheckSetGeom() funksjonen (også i XKB utvidelsen). Den neste sårbarheten oppstår i XSYNC utvidelsens miSyncTriggerFence() funksjon, og er klassifisert som en bruk-etter-fri. Det neste problemet er en utenfor grensene lesing i CheckModifierMap() funksjonen i XKB utvidelsen, og det siste problemet er et bufferoverløp i CheckKeyTypes() funksjonen i XKB utvidelsen. Oppdater til Xorg-Server-21.1.22, og gjenoppbygg TigerVNC mot 21.1.22 hvis den er installert. 13.0-048
Xwayland
13.0 049 Xwayland Dato: 15.04.2026 Alvorlighetsgrad: Høy
I Xwayland-24.1.10 ble fem sikkerhetsproblemer rettet som kunne tillate vilkårlig kodekjøring eller tjenestenekt (Xorg krasj). Disse sårbarhetene oppstår i XKB og XSYNC utvidelsene. Den første sårbarheten er et heltallsunderflow i XkbSetCompatMap() funksjonen i XKB utvidelsen, mens den andre er en utenfor grensene lesning i CheckSetGeom() funksjonen (også i XKB utvidelsen). Den neste sårbarheten oppstår i XSYNC utvidelsens miSyncTriggerFence() funksjon, og er klassifisert som en bruk-etter-fri. Det neste problemet er en utenfor grensene lesing i CheckModifierMap() funksjonen i XKB utvidelsen, og det siste problemet er et bufferoverløp i CheckKeyTypes() funksjonen i XKB utvidelsen. Oppdater til Xwayland-24.1.10. 13.0-049