LFS og BLFS sikkerhetsråd fra mars 2022 og fremover

Denne siden er en konsolidert liste for både LFS og BLFS.

Denne listen inneholder sammendragsdetaljer og lenker til oppstrøms eller CVEer hvor tilgjengelig. Denne siden inneholder sårbarheter for 11.1 bøkene og senere.

Denne siden er ordnet som endringsloggen til bøkene, med de nyeste elementene først.

Alvorlighetsgradene er beste estimater med mindre enten oppstrøms eller NVD har tildelt en vurdering. Hvis ingen annen analyse er tilgjengelig, Høy vil vanligvis antas og tilsvarende hvis en krasj kan utløses vil LFS og BLFS normalt rangere det som høyt. Hvis du er i tvil, les linkene.

Elementer mellom utgivelsene av 12.3 og 12.4 bøkene

I SpiderMonkey-140.2.0esr, et sikkerhetsproblem ble rettet som kunne tillate uinitialisert minnetilgang, noe som kan føre til tjenestenekt (programkrasj). For å kunne bruke SpiderMonkey-140 med versjonen av gjs som brukes i BLFS 12.3, må du oppdatere til gjs-1.84.2 med spidermonkey_140 oppdateringen som for øyeblikket er i utviklingsversjonen av BLFS. Alternativt kan du oppdatere til SpiderMonkey-128.14.0esr. Dette sikkerhetsproblemet er tildelt CVE-2025-9181.

For å fikse dette sikkerhetsproblemet, oppdater til SpiderMonkey-140.2.0esr eller nyere ved å følge instruksjonene fra SpiderMonkey (sysv) eller SpiderMonkey (systemd).

Etter at du har installert SpiderMonkey-140.2.0esr, må du også oppdatere gjs med oppdateringen for å tillate gjs å bruke SpiderMonkey-140-serien ved å bruke instruksjonene fra gjs (sysv) eller gjs (systemd).

Alternativt kan du oppdatere til SpiderMonkey-128.14.0esr uten å endre instruksjonene.

I Thunderbird-140.2.0esr, syv sikkerhetsproblemer ble fikset som kunne tillate en sandkasse-escape ved avspilling av krypterte videoer, for en omgåelse av samme opprinnelsespolicy ved bruk av 2D-grafikk, for uinitialisert minne som kunne forårsake et uventet krasj i JavaScriptmotoren, for en potensiell denial-of-service (programkrasj) på grunn av en uendelig løkke som forårsaker minneutilstrekkhet i WebRender komponenten, for forfalskningsangrep som kan forekomme via adresselinjen, og for ekstern kjøring av kode. Disse sårbarhetene har blitt tildelt CVE-2025-9179, CVE-2025-9180, CVE-2025-9181, CVE-2025-9182, CVE-2025-9183, CVE-2025-9184, og CVE-2025-9185.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-140.2.0esr eller nyere ved å følge instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

Alternativt, hvis du ønsker å fortsette med 128 ESR serien, bør du oppdatere til Thunderbird-128.14.0esr ved å følge de samme instruksjonene.

I Firefox-140.2.0esr, syv sikkerhetsproblemer ble fikset som kunne tillate en sandkasse-escape ved avspilling av krypterte videoer, for en omgåelse av samme opprinnelsespolicy ved bruk av 2D-grafikk, for uinitialisert minne som kunne forårsake et uventet krasj i JavaScriptmotoren, for en potensiell denial-of-service (programkrasj) på grunn av en uendelig løkke som forårsaker minneutilstrekkhet i WebRender komponenten, for forfalskningsangrep som kan forekomme via adresselinjen, og for ekstern kjøring av kode. Disse sårbarhetene har blitt tildelt CVE-2025-9179, CVE-2025-9180, CVE-2025-9181, CVE-2025-9182, CVE-2025-9183, CVE-2025-9184, og CVE-2025-9185.

For å fikse disse sårbarhetene, oppdater til Firefox-140.2.0esr eller nyere ved å følge instruksjonene fra Firefox (sysv) eller Firefox (systemd).

Alternativt, hvis du ønsker å fortsette med 128 ESR serien, bør du oppdatere til Firefox-128.14.0esr ved å følge de samme instruksjonene.

I intel-microcode-20250812, ni sikkerhetsproblemer ble rettet som kunne tillate eskalering av rettigheter eller tjenestenektanelse (denial of service) (programkrasj). Det første sikkerhetsproblemet for eskalering av rettigheter påvirker alle Intel Core prosessorer fra 12. generasjon og utover, samt noen prosessorer fra Intel Pentium Gold og Celeron familiene. Core i9-1900HX er også oppført som berørt, og Intel Core 9 serien samt Core serie 1, 2 og U serien er også berørt. Xeon E, Core Ultra, 4./5. generasjons Xeon Scalable, Platinum, Gold, Silver og Bronze CPU serien, Xeon CPU Max serien, og Xeon W-2400 og W-3400 prosessorene er også berørt. Resten av sikkerhetsproblemene for eskalering av rettigheter og tjenestenektanelse påvirker 4., 5. og 6. generasjon av Intel Xeon Scalable CPUer og W-2400/W-3400 CPUene. Flere funksjonalitetsproblemer med 13. generasjons Intel CPUer og senere ble også løst i denne oppdateringen. Disse sårbarhetene er blitt tildelt CVE-2025-20109, CVE-2025-22840, CVE-2025-22839, CVE-2025-22889, CVE-2025-20053, CVE-2025-24305, CVE-2025-21090, CVE-2025-26403, og CVE-2025-32086.

Du finner mer informasjon om disse sårbarhetene i Intels sikkerhetsveiledninger:

• INTEL-SA-01249 (CVE-2025-20109)
• INTEL-SA-01308 (CVE-2025-22840)
• INTEL-SA-01310 (CVE-2025-22839)
• INTEL-SA-01311 (CVE-2025-22889)
• INTEL-SA-01313 (CVE-2025-20053, CVE-2025-24305, og CVE-2025-21090)
• INTEL-SA-01367 (CVE-2025-26403 og CVE-2025-32086).

Sjekk om CPUen din påvirkes ved å kjøre lscpu og sammenligne utdataen som familie-, modell- og trinnverdiene med verdiene som er oppgitt ovenfor og i INTEL-SA-01249, INTEL-SA-01308, INTEL-SA-01310, INTEL-SA-01311, INTEL-SA-01313 og INTEL-SA-01244. Hvis systemet ditt er sårbart, oppdater til intel-microcode-20250812 eller nyere ved å bruke instruksjonene fra Om Fastvare (sysv) eller Om Fastvare (systemd).

I PostgreSQL-17.6, tre sikkerhetsproblemer ble rettet som kunne tillate optimaliseringsstatistikk å eksponere samplede data i en visning, partisjon eller en underordnet tabell; og for kjøring av vilkårlig kode i psql klienten når pg_dump-kommandoen brukes. En av pg_dump-sårbarhetene tillater superbrukeren av den opprinnelige serveren å kjøre vilkårlig kode på klientdatamaskiner, mens den andre sårbarheten tillater linjeskift i objektnavn å kjøre vilkårlig kode i psql-klienten, så vel som i målserveren for gjenoppretting av databasen fra pg_dump. Brukere som bruker PostgreSQL-klienten eller -serveren til noe annet enn en byggeavhengighet anbefales å oppgradere så snart som mulig. Disse sårbarhetene har blitt tildelt CVE-2025-8713, CVE-2025-8714, og CVE-2025-8715.

For å fikse disse sårbarhetene, oppdater til PostgreSQL-17.6 eller nyere ved å bruke instruksjonene fra PostgreSQL (sysv) eller PostgreSQL (systemd).

Alternativt, hvis du bruker en eldre versjon av PostgreSQL, kan du oppgradere til 16.10, 15.14, 14.19, eller 13.22.

I ImageMagick-7.1.2-1, fem sikkerhetsproblemer ble rettet som kunne tillate vilkårlig kodekjøring og krasj ved behandling av PNG- og MNG-bilder. Disse sårbarhetene oppstår på grunn av udefinert oppførsel, overløp av stakkbuffer, overløp av heltall og overløp av heapbuffer. Hvis du bruker ImageMagick til å utføre operasjoner på upålitelige MNG- eller PNG-filer, bør du oppdatere til denne versjonen umiddelbart. Disse sårbarhetene er tildelt CVE-2025-53101, CVE-2025-55160, CVE-2025-55154, CVE-2025-55005, og CVE-2025-55004.

For å fikse disse sikkerhetsproblemene, oppdater til ImageMagick-7.1.2-1 eller nyere ved å følge instruksjonene fra ImageMagick (sysv) eller ImageMagick (systemd).

I Seamonkey-2.53.21, seksten sikkerhetsproblemer ble fikset som kunne tillate bruk-etter-frigjøring-operasjoner i XSLT, Custom Highlight, WebTransportChild, XSLTProcessor, under samtidig delazifisering, og nettleserprosessen via AudioIPC StreamData, bufferoverløp, ufullstendige returer på x86_64 CPUer, sandkasse-rømminger via feil håndtak, rettighets- eskalering i oppdateringsprogrammet, omgåelse av prosessisolasjon, potensiell lokal kode kjøring, tilgang utenfor grensene ved løsning av Promise-objekter og optimalisering av lineære summer, og feilrettinger for minnesikkerhet. Dette oppdaterer Seamonkey med sikkerhetsproblemene som er fikset i Firefox 115.23.1. Hvis du bruker Seamonkey, bør du oppdatere til denne versjonen umiddelbart. Disse sårbarhetene ble tildelt CVE-2025-1009, CVE-2025-1010, CVE-2025-1012, CVE-2025-1016, CVE-2024-43097, CVE-2025-1930, CVE-2025-1931, CVE-2025-1933, CVE-2025-1937, CVE-2025-2857, CVE-2025-3028, CVE-2025-2817, CVE-2025-4083, CVE-2025-4084, CVE-2025-4918, og CVE-2025-4919.

For å fikse disse sårbarhetene, oppdater til Seamonkey-2.53.21 eller nyere ved å følge instruksjonene fra Seamonkey (sysv) eller Seamonkey (systemd).

I glib-2.84.4, et sikkerhetsproblem ble rettet som kan tillate en vilkårlig filskriving eller et programkrasj. Problemet oppstår på grunn av en bufferunderlesing når man bruker get_tmp_file() funksjonen, som finnes i glib/gfileutils.c. Et konseptutnyttelsesprogram har blitt publisert i oppstrøms feilrapporten, som nå er tilgjengelig for offentligheten. Dette sårbarheten har blitt tildelt CVE-2025-7039, og mer informasjon finner du på the upstream bug report.

For å fikse dette sikkerhetsproblemet, oppdater til glib-2.84.4 eller nyere ved å bruke instruksjonene fra glib (sysv) eller glib (systemd).

I 7zip-25.01, et sikkerhetsproblem ble rettet som kunne tillate vilkårlige filskrivinger ved utpakking av en håndlaget fil. Rapportøren av sårbarheten har også bemerket at det, avhengig av plasseringen, er mulig at vilkårlig kode kjøres på grunn av dette, og de har publisert et konseptbevis som overskriver en brukers ~/.bashrc. Merk at dette sikkerhetsproblemet kan utnyttes ved å pakke ut alle typer filer som 7zip støtter, og det er ikke begrenset til bare *.7z filer. En annen viktig merknad er at sårbarheten er vurdert til Lav av MITRE, men MITRE tok ikke hensyn til informasjonen om vilkårlige filskrivinger. Dette sikkerhetsproblemet har blitt tildelt CVE-2025-55188.

For å fikse dette sikkerhetsproblemet, oppdater til 7zip-25.01 eller nyere ved å følge instruksjonene fra 7zip (sysv) eller 7zip (systemd).

For å fikse disse sårbarhetene, oppdater til Python-3.13.6 eller nyere ved å følge instruksjonene fra Python (sysv) eller Python (systemd).

Hvis du bruker en eldre versjon av Python, må du installere følgende oppdateringer fra oppstrømsmodus til din versjon av Python, og deretter bygge den opp igjen:

• Python PR#136268
• Python PR#136919
• Python PR#136273
• Python PR#135483
• Python PR#136986
• Python PR#137171

Vær oppmerksom på at oppdateringene ovenfor er utviklet for å fungere med Python 3.12, og at sikkerhetsrettingen for tarfilen som er dekket i SA-12.3-087 er inkludert i listen. Ytterligere oppdateringer kan være tilgjengelige for Python versjoner tilbake til Python-3.9, men disse har ikke blitt testet av BLFS teamet.

Et sikkerhetsproblem ble oppdaget i Python-3.13.5 som kan tillate tarfilmodulen å behandle tararkiver med negative offsets uten en feil, noe som ville resultere i en uendelig løkke og en vranglås ved behandling av skadelige tararkiver. Oppstrøms har utarbeidet en oppdatering for sårbarheten som BLFS editorene har gjort om til en sed. Brukere som behandler tarfiler ved hjelp av tarfilmodulen i Python, bør gjenoppbygge Python med sed kommandoen for å løse dette sikkerhetsproblemet. Dette sikkerhetsproblemet har blitt tildelt CVE-2025-8194.

For å fikse dette sikkerhetsproblemet, gjenoppbygg Python med sed kommandoen og instruksjonene fra Python (sysv) eller Python (systemd).

I WebKitGTK-2.48.5, ti sikkerhetsproblemer ble fikset som kunne tillate ekstern kjøring av kode, krasj, sandkasse-rømninger, UI-forfalskning, intern tilstandsavsløring, avsløring av sensitiv brukerinformasjon og at nedlastingsopprinnelser ikke tilknyttes riktig. Forsiktighet må utvises hvis du er på et 32-biters system eller en 64-biters maskin med mindre enn 16 GB RAM. Hvis du er på et slikt system, er det svært sannsynlig at du går tom for minne under kompilering. Hvis det skjer, legg til CMake alternativene beskrevet i Viktig delen for å forhindre at systemet går tom for minne. Ytelsen vil bli påvirket noe, men ikke til et nivå der det er merkbart under normale nettleseraktiviteter. Disse sårbarhetene er tildelt CVE-2025-31273, CVE-2025-31278, CVE-2025-43211, CVE-2025-43212, CVE-2025-43216, CVE-2025-43227, CVE-2025-43228, CVE-2025-43240, CVE-2025-43265, og CVE-2025-6558.

For å fikse disse sikkerhetsproblemene, oppdater til WebKitGTK-2.48.5 eller nyere ved å følge instruksjonene fra WebKitGTK (sysv) eller WebKitGTK (systemd).

I glibc-2.42, et sikkerhetsproblem ble rettet som kan tillate en dobbel frigjøring når regcomp() funksjonen brukes. Den doble frigjøringen kan oppnås ved en malloc feil eller ved å bruke en mellomliggende malloc som injiserer tilfeldige malloc feil, og den doble frigjøringen er kjent for å forårsake buffermanipulasjon avhengig av hvordan regexen som sendes til regcomp er konstruert. Alle versjoner fra glibc-2.4 til 2.41 er kjent for å være berørt. Sårbarheten kan forårsake tjenestenekt eller vilkårlig kjøring av kode. Dette sikkerhetsproblemet er tildelt CVE-2025-8058.

For å fikse dette sikkerhetsproblemet finnes det to alternativer. Det ene er å oppdatere til glibc-2.42 ved å bruke instruksjonene fra LFS boken på Glibc (sysv) eller Glibc (systemd).

HVIS DU OPPDATERER GLIBC, MÅ DU FØLGE INSTRUKSJONENE PÅ DEN SIDEN OM OPPDATERING AV GLIBC SVÆRT NØYE.

Alternativt ble en commit sendt til release/2.41 grenen oppstrøms som er kjent for å løse problemet. Hvis du installerer oppdateringen nedenfor, ignorer konflikten som oppstår på grunn av NEWS filen. Den har blitt rapportert å fungere av andre distribusjoner og bekreftet av en editor. Oppdateringen finner du på glibc-2.41 regcomp patch.

HVIS DU BRUKER OPPDATERINGEN OG BYGGER PÅ NYTT, MÅ DU OGSÅ FØLGE OPPDATERINGSINSTRUKSJONENE NØYE FOR Å UNNGÅ ET ØDELAGT SYSTEM.

I OpenJDK-24.0.2, fem sikkerhetsproblemer ble fikset som kunne tillate ekstern kjøring av kode, ekstern avsløring av informasjon og også eksternt utnyttbar tjenestenekt. En av sårbarhetene er triviell å utnytte, men de andre fire sårbarhetene har høy angrepskompleksitet. Sårbarhetene er i nettverks-, 2D-, JSSE- og kompilatorkomponentene. Ingen av angrepene krever brukerinteraksjon eller autentisering for å utnyttes, og den mest alvorlige av sårbarhetene er lavkompleksiteten for ekstern kjøring av kode i nettverkskomponenten. Alle brukere som har OpenJDK installert, bør oppdatere til OpenJDK-24.0.2 umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2025-50059, CVE-2025-30749, CVE-2025-50106, CVE-2025-30754, CVE-2025-30752.

For å fikse disse sikkerhetsproblemene, oppdater til OpenJDK-24.0.2 eller nyere ved å følge instruksjonene fra OpenJDK (sysv) eller OpenJDK (systemd).

Hvis du vil bruke de forhåndsbygde binærfilene, oppdater til Java-24.0.2 ved å følge instruksjonene fra Java (sysv) eller Java (systemd).

Informasjonen nedenfor gjelder kun for brukere som ikke oppdaterte til OpenJDK-24.0.1.

Hvis du installerer LibreOffice eller Fop etter denne oppdateringen, må du oppdatere til LibreOffice-25.2.3.2 og Fop-2.11 for å løse problemer med fjerning av Java 24 av Java Security Manager API. Lenker til begge sidene finner du her: LibreOffice (sysv) eller LibreOffice (systemd), og Fop (sysv) eller Fop (systemd).

Oppdateringene ovenfor er testet mot et BLFS 12.3 system..

I Qt-6.9.1, det ble oppdaget et sikkerhetsproblem som kan tillate tjenestenekt ved behandling av en spesiallaget ICC profil. Krasjet oppstår når en ICC profil forårsaker en verdi utenfor det forventede området for QColorTransferGenericFunction, og dette kan utnyttes av et program som bruker QColorSpace::fromICCProfile til å angi fargeprofiler. Dette sikkerhetsproblemet er tilordnet CVE-2025-5992.

For å fikse dette sikkerhetsproblemet, oppdater til Qt-6.9.1 og installer oppdateringen i boken ved å følge instruksjonene fra Qt6 (sysv) eller Qt6 (systemd).

Alternativt kan du installere oppdateringen fra Qt, som du finner på Qt CVE-2025-5992 Patch for 6.8 og deretter gjenoppbygge Qt, men dette har ikke blitt testet av BLFS teamet.

Hvis du bestemmer deg for å oppdatere til Qt-6.9.1, må du bygge følgende pakker på nytt hvis du har dem installert:

• Qca (sysv) eller Qca (systemd)
• qcoro (sysv) eller qcoro (systemd)
• libportal (sysv) eller libportal (systemd)
• Plasma (sysv) eller Plasma (systemd)
• For minimale LXQt installasjoner: layer-shell-qt for LXQt (sysv) eller layer-shell-qt for LXQt (systemd).

I httpd-2.4.65, et sikkerhetsproblem ble løst som forårsaker at alle RewriteCond uttrykkstester evalueres som sanne. Dette sikkerhetsproblemet er forårsaket av en regresjon introdusert med sikkerhetsrettingene i httpd-2.4.64. Som et resultat bør alle brukere som oppdaterte til httpd-2.4.64 oppdatere til denne versjonen umiddelbart. Dette sikkerhetsproblemet er tildelt CVE-2025-54090.

For å fikse disse sikkerhetsproblemene, oppdater til httpd-2.4.65 eller nyere ved å bruke instruksjonene fra Apache HTTPD (sysv) eller Apache HTTPD (systemd).

I Thunderbird-140.1.0esr, fjorten sikkerhetsproblemer ble fikset som kunne tillate skriving av en delvis returverdi til stakken på 64-biters systemer, store forgreningstabeller som førte til avkortede instruksjoner, URL-er som kjøres på objekt og innebygde tagger via JavaScript, omgåelse av CORS via DNS-ombinding, navnløse informasjonskapsler som skygger sikre informasjonskapsler, potensiell kodekjøring via kommandoen "Kopier som cURL", feil URL-stripping i CSP rapporter, XSLT dokumenter som omgår CSP, CSP frame-src som ikke håndheves riktig for stier, søkeord som blir værende i URL-linjen, feil håndtering av lukkede generatorer via JavaScript, og diverse minnesikkerhetsfeil. Disse sårbarhetene har blitt tildelt CVE-2025-8027, CVE-2025-8028, CVE-2025-8029, CVE-2025-8030, CVE-2025-8031, CVE-2025-8032, CVE-2025-8033, CVE-2025-8034, CVE-2025-8035, CVE-2025-8036, CVE-2025-8037, CVE-2025-8038, CVE-2025-8039, og CVE-2025-8040.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-140.1.0esr eller nyere ved å følge instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Firefox-140.1.0esr, fjorten sikkerhetsproblemer fikset som kunne tillate skriving av en delvis returverdi til stakken på 64-biters systemer, store forgreningstabeller som fører til avkortede instruksjoner, URL-er som kjøres på objekt og innebygde tagger via JavaScript, omgåelse av CORS via DNS-ombinding, navnløse informasjonskapsler som skygger over sikre informasjonskapsler, potensiell kodekjøring via kommandoen "Kopier som cURL", feil URL-stripping i CSP rapporter, XSLT dokumenter som omgår CSP, CSP frame-src som ikke håndheves riktig for stier, søkeord som blir værende i URL-linjen, feil håndtering av lukkede generatorer via JavaScript, og diverse minnesikkerhetsfeil. Disse sårbarhetene har blitt tildelt CVE-2025-8027, CVE-2025-8028, CVE-2025-8029, CVE-2025-8030, CVE-2025-8031, CVE-2025-8032, CVE-2025-8033, CVE-2025-8034, CVE-2025-8035, CVE-2025-8036, CVE-2025-8037, CVE-2025-8038, CVE-2025-8039, og CVE-2025-8040.

For å fikse disse sårbarhetene, oppdater til Firefox-140.1.0esr eller nyere ved å følge instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I SpiderMonkey-128.13.0, to sikkerhetsproblemer ble rettet som kunne tillate skriving av en delvis returverdi til stakken på 64-biters systemer og feil håndtering av lukkede generatorer. Disse sårbarhetene har blitt tildelt CVE-2025-8027 og CVE-2025-8033.

For å fikse disse sikkerhetsproblemene, oppdater til SpiderMonkey-128.13.0 eller nyere ved å følge instruksjonene fra SpiderMonkey (sysv) eller SpiderMonkey (systemd).

I 7zip-25.00, to sikkerhetsproblemer ble fikset som kunne tillate minnekorrupsjon og tjenestenekt. Disse sårbarhetene oppstår på grunn av heap-bufferoverløp og nullpeker-dereferanser. Dette kan oppstå når RAR filer behandles eller sammensatte dokumenter behandles. Heap-bufferoverløpsproblemet kan ikke tillate vilkårlig kodekjøring fordi bytene etter heap-bufferen alltid overskrives av nuller, men det er fortsatt en risiko for minnekorrupsjon. Disse sårbarhetene har blitt tildelt CVE-2025-53816 og CVE-2025-53817.

For å fikse disse sikkerhetsproblemene, oppdater til 7zip-25.00 eller nyere ved å følge instruksjonene fra 7zip (sysv) eller 7zip (systemd).

I Ruby-3.4.5, et sikkerhetsproblem ble rettet som kan tillate en tjenestenekt (programheng) ved behandling av skadelige DNS pakker som inneholder et svært komprimert domenenavn. Sårbarheten er i den medfølgende 'resolv' gemen, og er forårsaket av en utilstrekkelig kontroll av lengden på et dekomprimert domenenavn med en DNS-pakke. Dette sikkerhetsproblemet er tildelt CVE-2025-24294.

For å fikse dette sikkerhetsproblemet, oppdater til Ruby-3.4.5 eller nyere ved å bruke instruksjonene fra Ruby (sysv) eller Ruby (systemd).

I httpd-2.4.64, syv sikkerhetsproblemer ble rettet som kunne tillate tjenestenekt (serverkrasj) ved bruk av HTTP/2, for et man-in-the-middle angrep for å kapre en HTTP økt via en TLS oppgradering ved bruk av mod_ssl modulen, for et eksternt utnyttbart krasj ved bruk av mod_proxy_http2 modulen, for omgåelser av tilgangskontroll ved bruk av mod_ssl modulen med flere virtuelle verter, for ekstern injeksjon av escape tegn i feillogger ved bruk av mod_ssl-modulen, for forfalskning av serversideforespørsler ved bruk av mod_headers modulen til å angi Content-Type deklarasjonen, og for HTTP responsdeling. Sårbarheten ved HTTP responsdeling er en gjentakelse av CVE-2023-38709 fordi oppdateringen som er inkludert i httpd-2.4.59 faktisk ikke løste sårbarheten. Flere av disse sårbarhetene krever uvanlige konfigurasjoner, men hvis du bruker mod_ssl, mod_proxy_http2, eller mod_headers modulen, eller HTTP/2 støtte, bør du oppdatere til denne versjonen umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2025-53020, CVE-2025-49812, CVE-2025-49630, CVE-2025-23048, CVE-2024-47252, CVE-2024-43204, og CVE-2024-42516.

For å fikse disse sikkerhetsproblemene, oppdater til httpd-2.4.64 eller nyere ved å bruke instruksjonene fra Apache HTTPD (sysv) eller Apache HTTPD (systemd).

I Unbound-1.23.1, et sikkerhetsproblem ble rettet som kunne tillate DNS-cache forgiftningsangrep i noen konfigurasjoner. Dette angrepet har blitt kalt Rebirthday Attack. Standard BLFS konfigurasjonen er ikke påvirket, ettersom vi ikke sender alternativet '--enable-subnet' til konfigurasjon når vi bygger Unbound. Brukere som har sendt dette alternativet til konfigurasjon, er imidlertid berørt. Hvis du ikke aktiverte ECS støtte ved å sende --enable-subnet alternativet til konfigurasjon, kan du trygt hoppe over denne oppdateringen. Dette sikkerhetsproblemet er tilordnet CVE-2025-5994.

Ytterligere informasjon om denne sårbarheten finner du på Unbound security advisories webpage.

For å fikse dette sikkerhetsproblemet, oppdater til Unbound-1.23.1 eller nyere ved å bruke instruksjonene fra Unbound (sysv) eller Unbound (systemd).

I bind-9.20.11, et sikkerhetsproblem ble rettet som kunne tillate en ekstern angriper å krasje DNS serveren. Hvis serveren er konfigurert med server-stale-enable satt til yes og stale-answer-client-timeout konfigurert til 0, og resolveren støter på en CNAME kjede som involverer en spesifikk kombinasjon av hurtigbufrede eller autoritative poster, vil daemonen avbryte med en påstandsfeil. Standard BLFS konfigurasjon er IKKE påvirket, men hvis du kjører en bind server med server-stale-enable-set og stale-answer-client-timeout alternativene satt, bør du installere denne oppdateringen. Brukere av standard BLFS konfigurasjon eller som bare bruker verktøyene kan trygt ignorere denne oppdateringen. Denne sårbarheten er tildelt CVE-2025-40777.

For å fikse dette sikkerhetsproblemet, oppdater til bind-9.20.11 eller nyere ved å bruke instruksjonene fra bind (sysv) eller bind (systemd).

I libxml2-2.14.5, fire sikkerhetsproblemer ble fikset som kunne tillate tjenestenekt og kjøring av vilkårlig kode ved behandling av en laget XML fil. En av sårbarhetene påvirker xmllint verktøyet, og er en stakkbufferoverløp. De andre påvirker funksjonaliteten i Schematron komponenten, og er typeforvirring, nullpeker-dereferanse og heap-bruk etter frigjøring. Red Hat har markert to av problemene i Schematron som kritiske. En ny utgivelse ble ikke kuttet fra libxml2-2.13 grenen oppstrøms, så BLFS teamet har laget en oppdatering for libxml2-2.13.8 som retter disse sårbarhetene ved å tilbakeføre oppdateringer fra oppstrøms. Alle brukere anbefales å oppdatere libxml2 umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2025-6170, CVE-2025-49796, CVE-2025-49795, og CVE-2025-49794.

For å fikse disse sårbarhetene, oppdater til libxml2-2.14.5 eller nyere ved å følge instruksjonene fra libxml2 (sysv) eller libxml2 (systemd).

Alternativt, hvis du fortsatt bruker libxml2-2.13.x, kan du bygge libxml2-2.13.8 på nytt med sikkerhetsoppdateringen, som kan lastes ned her. Dette er den anbefalte metoden for brukere på BLFS 12.3 eller tidligere versjoner, ettersom oppdatering til libxml2-2.14.x-serien krever flere modifikasjoner og en fullstendig gjenoppbygging av alle applikasjoner som bruker libxml2, ettersom den ikke er ABI kompatibel med 2.13.x-serien..

I vim-9.1.1552, to sikkerhetsproblemer ble fikset som kunne tillate stigjennomgang når man bruker tar.vim og zip.vim programtilleggene for å vise en skadelig TAR eller ZIP fil. Det er mulig for vim å pakke ut vilkårlige filer til mapper på systemet hvis en relativ sti brukes i TAR/ZIP filen, som kan brukes til å plassere filer som er nødvendige for å utnytte andre sårbarheter på systemet. Det finnes konseptutnyttelser for begge disse sårbarhetene. Hvis du bruker vim til å vise TAR eller ZIP filer, anbefaler BLFS teamet at du oppdaterer vim så snart som mulig, spesielt hvis du åpner filer fra eksterne eller upålitelige kilder. Disse sårbarhetene har blitt tildelt CVE-2025-53905 og CVE-2025-53906.

For å fikse disse sårbarhetene, oppdater til vim-9.1.1552 eller nyere ved å bruke instruksjonene fra vim (sysv) eller vim (systemd).

I poppler-25.06.0, et sikkerhetsproblem ble rettet som kunne tillate tjenestenekt (programkrasj), eller potensielt vilkårlig kodekjøring. Problemet oppstår på grunn av bruken av 'std::atomic_int' for referansetelling, og det er mulig å overstrømme referansetellingen fordi den bare er 32 bits. Denne feilen er klassifisert som en "use-after-free" feil. Upstream og personen som oppdaget sårbarheten har bemerket at selv om det er en sjanse for vilkårlig kodekjøring, er risikoen svært lav, da det tok så lang tid som 12 timer før de ble utløst. Dette sikkerhetsproblemet er tildelt CVE-2025-52886.

Ytterligere informasjon om denne sårbarheten finner du på the GitHub Security Lab advisory.

For å fikse dette sikkerhetsproblemet, oppdater til poppler-25.06.0 eller nyere ved å bruke instruksjonene fra poppler (sysv) eller poppler (systemd).

I GnuTLS-3.8.10, fire sikkerhetsproblemer ble rettet som kunne tillate tjenestenekt ved behandling av maler, behandling av X.509 SCTS tidsstempler i sertifikater, ved eksport av otherName i SAN i et sertifikat, og når en andre klient Hello utelater PSK. Disse sårbarhetene oppstår på grunn av bufferoverløp, double-free, heap lesebufferoverløp og en NULL-peker dereferanse. Disse sårbarhetene har blitt tildelt CVE-2025-32990, CVE-2025-32988, CVE-2025-32989, og CVE-2025-6395.

For å fikse disse sikkerhetsproblemene, oppdater til GnuTLS-3.8.10 eller nyere ved å bruke instruksjonene fra GnuTLS (sysv) eller GnuTLS (systemd).

I git-2.50.1, fire sikkerhetsproblemer ble fikset som kunne tillate kjøring av vilkårlig kode, opprettelse av filer andre steder på filsystemet uten brukerens viten, utilsiktet kjøring av skript ved utsjekking av en modul, og protokollinjeksjon ved kloning av repositorier fra internett (når et CDN konfigureres av den eksterne serveren). To av disse sårbarhetene påvirker Git som helhet, mens de to andre bare påvirker Gitk.. ALLE brukere oppfordres til å oppgradere git hvis de har det installert. Disse sårbarhetene har blitt tildelt CVE-2025-27613, CVE-2025-27614, CVE-2025-48384, og CVE-2025-48385.

Ytterligere informasjon om disse sårbarhetene finner du på Git Release Announcement, Microsoft blog post on one of the Gitk vulnerabilities, og Github blog post.

For å fikse disse sårbarhetene, oppdater til git-2.50.1 eller nyere ved å følge instruksjonene fra git (sysv) eller git (systemd)

I PHP-8.4.10, tre sikkerhetsproblemer ble rettet som kunne tillate en eksternt utnyttbar denial of service, SQL-injeksjon og forfalskning av serverforespørsler. Problemet med SQL-injeksjon påvirker servere som bruker PGSQL utvidelsen, og det oppstår fordi utvidelsen ikke sjekker for feil under escape. Dette er identisk med sikkerhetsproblemet i PostgreSQL fra februar 2025, og PHP komponenten ble rettet i denne utgivelsen. Server Side Request Forgery oppstår i standardbiblioteket når vertsnavn behandles, ettersom fsockopen() ikke tar hensyn til NULL-byte i vertsnavn. Problemet med eksternt utnyttbar denial of service oppstår i SOAP modulen, og det oppstår på grunn av en NULL-peker dereferanse som oppstår i store XML navneromsprefikser (større enn 2 GB). Disse sårbarhetene har blitt tildelt CVE-2025-1735, CVE-2025-6491, og CVE-2025-1220.

For å fikse disse sårbarhetene, oppdater til PHP-8.4.10 eller nyere ved å bruke instruksjonene fra PHP (sysv) eller PHP (systemd).

I Thunderbird-140.0esr, ti sikkerhetsproblemer ble fikset som kunne tillate bruk-etter-frigjøring angrep, eksponering av vedvarende UUID-er, begrensninger i innholdssikkerhetspolicyer som kan omgås, feil parsing som fører til at innebygde YouTube filer er tillatt, uvitenhet om Content-Disposition deklarasjonen, lekkasje av DNS forespørsler utenfor en konfigurert SOCKS proxy, identifisering av en utfordring med et ugyldig TLS sertifikat, clickjacking via HTTPS-only unntaket, handlingen Lagre som i Devtools som ikke sjekker de nedlastede filtypene, og utnyttbare sikkerhetsfeil i minnet. To av sårbarhetene er vurdert som Høye. Disse sårbarhetene påvirker nettleser og nettleserlignende kontekster. Thunderbird har imidlertid nettleserfunksjoner, så oppdatering bør vurderes. Disse sårbarhetene har blitt tildelt CVE-2025-6424, CVE-2025-6425, CVE-2025-6427, CVE-2025-6429, CVE-2025-6430, CVE-2025-6432, CVE-2025-6433, CVE-2025-6434, CVE-2025-6435, og CVE-2025-6436.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-140.0esr eller nyere ved å følge instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I gst-plugins-bad, ble et sikkerhetsproblem løst som kunne tillate ekstern kjøring av kode eller krasj ved behandling av en håndlaget videofil som bruker H.266-kodeken. Sårbarheten oppstår på grunn av en stakkbufferoverflyt i bitstrømsparseren. Dette sikkerhetsproblemet er tilordnet CVE-2025-6663.

For å fikse disse sårbarhetene, oppdater gstreamer-stakken til 1.26.3 ved å følge instruksjonene som starter på gstreamer (sysv) eller gstreamer (systemd).

I sudo-1.9.17p1, ble to sikkerhetsproblemer fikset som kunne tillate lokal rettighetseskalering. Det første sikkerhetsproblemet påvirker alternativet 'host', og krever at et vertsnavn er spesifisert i en sudoers regel for å kunne utnyttes. Alternativet '--host' var kun ment å brukes med '--list', slik at brukere kan liste opp rettighetene sine på en annen vert enn den gjeldende maskinen. På grunn av en feil var det imidlertid ikke begrenset til å liste opp rettigheter, og kan brukes til å utføre lokal rettighetseskalering avhengig av regler som finnes i /etc/sudoers. Det andre sikkerhetsproblemet lar en angriper utnytte sudos -R/--chroot alternativet for å kjøre vilkårlige kommandoer hvis sudoers filen tillater at chroot alternativet støttes. Det er mulig å lure sudo til å laste inn et vilkårlig delt bibliotek ved å opprette en /etc/nsswitch.conf fil under den brukerspesifiserte rotmappen - merk imidlertid at dette igjen krever at ikke-standard konfigurasjonen (chroot støtte) er aktivert. Standard installasjoner av sudo på BLFS påvirkes ikke, men hvis du har tilpasset sudoere for å legge til chroot støtte eller bruke vertsnavn, bør du oppdatere til sudo-1.9.17p1 umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2025-32462 og CVE-2025-32463.

Ytterligere informasjon om disse sårbarhetene finner du på the --host security advisory og chroot security advisory.

For å fikse disse sikkerhetsproblemene, oppdater til sudo-1.9.17p1 eller nyere ved å bruke instruksjonene fra sudo (sysv) eller sudo (systemd).

I Firefox-140.0esr, ble ti sikkerhetsproblemer fikset som kunne tillate bruk-etter-frigjøring angrep, eksponering av vedvarende UUID-er, begrensninger i innholdssikkerhetsretningslinjer som kan omgås, feil analysering som fører til at innebygde YouTube filer er tillatt, uvitenhet om Content-Disposition-headeren, lekkasje av DNS forespørsler utenfor en konfigurert SOCKS proxy, identifisering av en utfordring med et ugyldig TLS sertifikat, clickjacking via HTTPS-only unntaket, handlingen "Lagre som" i Devtools som ikke renser de nedlastede filtypene, og utnyttbare sikkerhetsfeil i minnet. To av sårbarhetene er vurdert som Høy. Disse sårbarhetene har blitt tildelt CVE-2025-6424, CVE-2025-6425, CVE-2025-6427, CVE-2025-6429, CVE-2025-6430, CVE-2025-6432, CVE-2025-6433, CVE-2025-6434, CVE-2025-6435, og CVE-2025-6436.

For å fikse disse sårbarhetene, oppdater til Firefox-140.0esr eller nyere ved å følge instruksjonene fra Firefox (sysv) eller Firefox (systemd).

Alternativt, hvis du ikke har kompilert ICU-76.1 eller nyere, kan du fortsette med 128 ESR serien og oppgradere til Firefox-128.12.0esr.

I udisks-2.10.1, ble det oppdaget et sikkerhetsproblem som kan tillate lokale angrep med eskalering av rettigheter når de er kjedet sammen med libblockdev og Linux-PAM. Sårbarheten oppstår fordi udisks ikke alltid monterer filsystemer med parameterne 'nosuid,nodev', som kan tillate brukere å eskalere rettighetene sine på systemer med SUID-kjørbare filer, og dette er ikke ment å være standardoppførselen for filsystemer montert via udisks. En detaljert konseptutprøving er tilgjengelig med omfattende dokumentasjon. BLFS utviklerne har implementert en sed for å omgå problemet. Hvis du har udisk installert på systemet ditt, bør du umiddelbart gjenoppbygge udisk med sed kommandoen i boken. Dette er en del av CVE-2025-6019.

For å fikse dette sikkerhetsproblemet, gjenoppbygg udisks-2.10.1 med sed ved å bruke instruksjonene fra udisks (sysv) eller udisks (systemd).

I libblockdev-3.3.1, ble et sikkerhetsproblem rettet som kunne tillate lokal privilegieeskalering. Sårbarheten oppstår på grunn av en feil i udisks, og begge pakkene må justeres for å fikse sårbarheten. Innstillingen "allow_active" i Polkit tillater en fysisk tilstedeværende bruker å utføre visse handlinger basert på økttypen. Dette kan omgås av en angriper som misbruker en feil i Linux-PAM (som ble rettet i Linux-PAM-1.7.1) for å overbevise udisks om å kalle libblockdev og ikke montere et filsystem med 'nosuid,nodev' alternativene - som tillater kjøring av SUID-programmer, noe som gir en ekstern angriper (i tilfellet med utnyttelseskjeden som kombinerer dette med sårbarheter i udisks og Linux-PAM) root tilgang til systemet ditt. Hvis du har libblockdev på systemet ditt, bør du oppdatere til libblockdev-3.3.1 umiddelbart. Denne sårbarheten har blitt tildelt CVE-2025-6019.

For å fikse dette sikkerhetsproblemet, oppdater til libblockdev-3.3.1 ved å bruke instruksjonene fra libblockdev (sysv) eller libblockdev (systemd).

I Linux-PAM-1.7.1, ble to sikkerhetsproblemer fikset som kunne tillate rettighetseskalering og uautorisert tilgang til systemer. Sårbarheten for uautorisert tilgang til systemer oppstår i pam_access-modulen, der visse regler i konfigurasjonsfilen feilaktig behandles som vertsnavn. Angripere kan utnytte denne sårbarheten til å lure systemet ved å late som de er et klarert vertsnavn, og dermed få tilgang til systemer der de ikke skal ha tilgang. Dette utgjør spesielt en risiko for systemer som er avhengige av pam_access for å kontrollere hvem som kan få tilgang til visse tjenester eller terminaler i et flerbrukersystem. Sårbarheten for rettighetseskalering er mye mer alvorlig og er knyttet til sårbarheter i udisks og libblockdev for å oppnå rettighetseskalering til root. Det finnes detaljerte konseptutnyttelser samt grundig dokumentasjon om utnyttelse av denne kjeden av sårbarheter, og denne sårbarheten ble avslørt av den franske regjeringen. Alle brukere som har Linux-PAM installert på systemene sine, bør oppdatere umiddelbart. Denne sårbarheten har blitt tildelt CVE-2024-10963 og CVE-2025-6020.

For å fikse disse sårbarhetene, oppdater til Linux-PAM-1.7.1 eller nyere ved å følge instruksjonene fra Linux-PAM (sysv) eller Linux-PAM (systemd).

I libxml2-2.14.4, ble et sikkerhetsproblem rettet som kunne tillate tjenestenektelse eller minnekorrupsjon når et program bruker xmlBuildQName() funksjonen. Bare én pakke i BLFS er kjent for å bruke denne funksjonaliteten, og det er PHP. Brukere som har Wine installert er også berørt da den bruker denne funksjonen mye. Problemet oppstår på grunn av et heltallsoverløp i bufferstørrelsesberegninger, som deretter fører til et stakkbasert bufferoverløp. Krasjet skjer når man behandler laget inndata. Det har ikke blitt utgitt en ny versjon av libxml2-2.13.x for dette sikkerhetsproblemet, så BLFS teamet har utarbeidet en oppdatering for brukere av BLFS 12.3 for å løse dette problemet på berørte systemer. Dette sikkerhetsproblemet er tildelt CVE-2025-6021.

For å fikse dette sikkerhetsproblemet, oppdater til libxml2-2.14.4 eller nyere ved å bruke instruksjonene fra libxml2 (sysv) eller libxml2 (systemd).

Alternativt, hvis du fortsatt bruker libxml2-2.13.x, kan du bygge libxml2-2.13.8 på nytt med sikkerhetsoppdateringen, som kan lastes ned fra her. Dette er den anbefalte metoden for brukere på BLFS 12.3 eller tidligere versjoner, ettersom oppdatering til libxml2-2.14.x serien krever flere modifikasjoner og en fullstendig gjenoppbygging av alle applikasjoner som bruker libxml2, ettersom den ikke er ABI kompatibel med 2.13.x-serien.

I Xwayland-24.1.8, ble et sikkerhetsproblem rettet som kunne tillate heltallsoverløp. Dette er for å sikre at en CVE som angivelig ble rettet i forrige utgivelse, blir riktig rettet. Dette sikkerhetsproblemet ble vurdert som medium. Det har blitt tildelt CVE-2025-49176.

For å fikse dette sikkerhetsproblemet, oppdater til Xwayland-24.1.8 eller nyere ved å følge instruksjonene fra Xwayland (sysv) eller Xwayland (systemd).

In Xorg-Server-21.1.18, ble et sikkerhetsproblem rettet som kunne tillate heltallsoverløp. Dette er for å sikre at en CVE som angivelig ble rettet i forrige utgivelse, blir riktig rettet. Dette sikkerhetsproblemet ble vurdert som medium. Det har blitt tildelt CVE-2025-49176.

For å fikse dette sikkerhetsproblemet, oppdater til Xorg-Server-21.1.18 eller nyere ved å følge instruksjonene fra Xorg-Server (sysv) eller Xorg-Server (systemd).

I Xwayland-24.1.7, ble seks sikkerhetsproblemer fikset som kunne tillate lesninger utenfor grensene, heltallsoverløp, lesninger av gamle data og at en klient kan få en annen klient til å fryse. Mange av disse kommer fra utvidelser, og mange av dem er svært gamle sårbarheter, noen så gamle som X11R6. Disse sårbarhetene er alle vurdert som middels. Nevnte sårbarheter har blitt tildelt CVE-2025-49175, CVE-2025-49176, CVE-2025-49177, CVE-2025-49178, CVE-2025-49179, og CVE-2025-49180.

For å fikse disse sikkerhetsproblemene, oppdater til Xwayland-24.1.7 eller nyere ved å følge instruksjonene fra Xwayland (sysv) eller Xwayland (systemd).

I Xorg-Server-21.1.17, ble seks sikkerhetsproblemer fikset som kunne tillate lesninger utenfor grensene, heltallsoverløp, lesninger av gamle data og at en klient kan få en annen klient til å fryse. Mange av disse kommer fra utvidelser, og mange av dem er svært gamle sårbarheter, noen så gamle som X11R6. Disse sårbarhetene er alle vurdert som middels. Nevnte sårbarheter har blitt tildelt CVE-2025-49175, CVE-2025-49176, CVE-2025-49177, CVE-2025-49178, CVE-2025-49179, og CVE-2025-49180.

For å fikse disse sårbarhetene, oppdater til Xorg-Server-21.1.17 eller nyere ved å følge instruksjonene fra Xorg-Server (sysv) eller Xorg-Server (systemd).

I Requests-2.32.4, ble et sikkerhetsproblem rettet der en laget URL og et klarert miljø kan hente påloggingsinformasjon fra feil vertsnavn fra en .netrc-fil. Brukere som ikke har en ~/.netrc-fil med påloggingsinformasjon påvirkes ikke av dette sikkerhetsproblemet, og det er ingen grunn for dem å oppdatere til denne versjonen. Hvis du har en ~/.netrc-fil, bør du oppdatere til Requests-2.32.4 umiddelbart, da løsningen krever at hver forespørselsøkt endres for å spesifisere "trust_env=False". Dette sikkerhetsproblemet er tilordnet CVE-2024-47081.

For å fikse dette sikkerhetsproblemet, oppdater til Requests-2.32.4 eller nyere ved å bruke instruksjonene fra Requests (sysv) eller Requests (systemd).

I Konsole-25.04.2, ble et sikkerhetsproblem rettet som tillater angripere å lure brukere til å kjøre vilkårlig kode med en ondsinnet lenke. Sårbarheten oppstår fordi Konsole tillater lasting av URLer fra forskjellige skjemabehandlere (som telnet://), men den sjekker ikke først for å se om programmet som skal håndtere skjemaet er til stede. Hvis det ikke er til stede, vil den kjøre 'bash' i stedet, noe som tillater kjøring av vilkårlig kode. Et av BLFS teammedlemmene utviklet et konseptbevis som fungerer på BLFS ettersom rlogin verktøyet ikke lenger er installert på LFS systemer, men er deaktivert fra inetutils (men fortsatt støttet av Konsole). Det er to måter å fikse dette på: oppdatere til Konsole-25.04.2, eller fjerne $KF6_PREFIX/share/applications/ktelnetservice6.desktop-filen. BLFS teamet anbefaler å oppdatere pakken, og den har blitt testet og bekreftet å fungere på BLFS 12.3-systemer. Bakgrunnsprogrammene telnet://, rlogin:// og ssh:// er påvirket, og du er sårbar hvis et av disse tre programmene ikke er tilstede på systemet ditt. Denne sårbarheten er tildelt CVE-2025-49091.

Mer informasjon finner du i artikkelen på oss-security.

For å fikse dette sikkerhetsproblemet, oppdater til Konsole-25.04.2 eller nyere ved å følge instruksjonene fra Konsole (sysv) eller Konsole (systemd).

Alternativt kan du fjerne telnet tjenesten ved å fjerne $KF6_PREFIX/share/applications/ktenletservice6.desktop filen fra systemet ditt.

I Thunderbird-128.11.1esr, ble et sikkerhetsproblem rettet som kunne tillate kobling av påloggingsinformasjon, overanstrenge diskbruk og laste ned filer uoppfordret ved hjelp av utformede HTML postbokslenker. Dette var den samme sårbarheten som ble hevdet å være rettet i Thunderbird-128.10.2esr. På grunn av ulik kodelanding ble sårbarheten aldri rettet før denne utgivelsen. Denne sårbarheten er vurdert som høy og var urettet i 22 dager. Oppdater umiddelbart. CVEen som ble hevdet å være rettet, ble tildelt CVE-2025-3877 men har blitt avvist. Den nye tildelingen er CVE-2025-5986.

For å fikse dette sikkerhetsproblemet, oppdater til Thunderbird-128.11.1esr eller nyere ved å følge instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Samba-4.22.2, ble et sikkerhetsproblem rettet som kunne tillate at fildelinger ble eksponert for klienter inntil klientdatamaskiner kobler seg fra en SMB server og kobler seg til igjen. Problemet oppstår fordi smbd tjenestenissen ikke plukket opp endringer i gruppemedlemskap da den tilbakestilte en utløpt SMB økt. Dette påvirker imidlertid bare Kerberos-autentisering, som ikke er en del av standard BLFS konfigurasjon. Brukere som bruker standard BLFS konfigurasjon påvirkes ikke, og de påvirkes heller ikke hvis de bare bruker klientsidekomponentene i Samba. Dette sikkerhetsproblemet er tildelt CVE-2025-0620.

For å fikse dette sikkerhetsproblemet, oppdater til Samba-4.22.2 eller nyere ved å bruke instruksjonene fra Samba (sysv) eller Samba (systemd).

I libvpx-1.15.2, ble et sikkerhetsproblem rettet som kunne tillate kjøring av vilkårlig kode ved behandling av VP8 og VP9 filer, eller for en tjenestenekt (programkrasj). Dette sikkerhetsproblemet kan utnyttes i en rekke sammenhenger, inkludert mediespillere og nettlesere. Sårbarheten ble oppdaget i Google Chrome, men kan påvirke andre nettlesere når nettsider vises. Problemet skyldes en bruk-etter-frigjøring. Merk at denne oppdateringen kan være utfordrende å gjøre på et BLFS 12.3-system, ettersom flere pakker må bygges på nytt, siden den ikke er ABI kompatibel med 1.15.0. Dette sikkerhetsproblemet er tildelt CVE-2025-5283.

For å fikse dette sikkerhetsproblemet, oppdater til libvpx-1.15.2 eller nyere ved å bruke instruksjonene fra libvpx (sysv) eller libvpx (systemd).

Etter oppgradering av libvpx må brukerne installere følgende pakker på nytt på systemet sitt:

• ffmpeg
• VLC
• gst-plugins-good
• xine-lib
• Thunderbird
• Firefox

I File::Find::Rule-0.35, ble et sikkerhetsproblem ble rettet som kunne tillate vilkårlig kodekjøring når 'grep()' støter på et skadelig filnavn. En filbehandleråpnes med 2 argumentformen av 'open()', som lar en angripers gitte filnavn oppgi MODE parameteren til open(), og dermed gjøre filnavnet om til en kommando som skal utføres. Det finnes et konseptbevis tilgjengelig for å demonstrere hvordan sårbarheten kan utnyttes. Brukere som har File::Find;:Rule installert, bør oppdatere til 0.35. Dette sikkerhetsproblemet er tilordnet CVE-2011-10007.

Mer informasjon om sårbarheten finner du på oss-security post.

For å fikse dette sikkerhetsproblemet, oppdater til File::Find::Rule-0.35 eller nyere ved å følge instruksjonene fra File::Find::Rule (sysv) eller File::Find::Rule (systemd).

Alternativt kan brukere bruke 'cpan' til å oppdatere modulen ved hjelp av: cpan -i File::Find::Rule som root bruker.

I Wireshark-4.4.7, et sikkerhetsproblem ble rettet som kunne tillate et krasj på grunn av bufferoverløp under behandling av håndlagde pakker. Krasjet oppstår med mange dissektorer da det påvirker den vanlige kolonnemodulen som er innebygd i Wireshark. Krasjet kan oppstå under behandling av en misdannet pakkesporingsfil, eller når pakker fanges opp på et nettverk hvis en angriper injiserer en misdannet pakke i sendingen. Dette sikkerhetsproblemet er tildelt CVE-2025-5601.

For å fikse dette sikkerhetsproblemet, oppdater til Wireshark-4.4.7 eller nyere ved å følge instruksjonene fra Wireshark (sysv) eller Wireshark (systemd).

I cURL-8.14.1, et sikkerhetsproblem ble rettet som kunne tillate en uendelig løkke når en skadelig WebSocket pakke behandles. Oppstrøms har oppgitt at det ikke finnes noen måte å avslutte et berørt program på annet enn å avslutte prosessen. Dette sikkerhetsproblemet er tildelt CVE-2025-5399.

For å fikse dette sikkerhetsproblemet, oppdater til cURL-8.14.1 eller nyere ved å bruke instruksjonene fra cURL (sysv) eller cURL (systemd).

I Python-3.13.4, fem sikkerhetsproblemer ble fikset som kunne tillate tjenestenekt ved behandling av lange IPv6 adresser, og for at tarfilers uttrekksfiltre kunne omgås ved hjelp av håndlagde symbolske lenker og harde lenker. Omgangene med uttrekksfiltre lar angripere skrive vilkårlige filer til en brukers filsystem når de dekomprimerer en tar-fil ved hjelp av 'tarfile' python modulen. Dette fikser også offisielt unicode-escape sårbarheten som ble fikset i sikkerhetsoppdateringen vi tidligere hadde for Python 3.13.3. Disse sårbarhetene har blitt tildelt CVE-2025-4517, CVE-2025-4330, CVE-2025-4138, og CVE-2024-12718.

Ytterligere informasjon om IPv6 sårbarheten finner du på feilrapporten for sårbarheten.

For å fikse disse sårbarhetene, oppdater til Python-3.13.4 eller nyere ved å bruke instruksjonene fra Python (sysv) eller Python (systemd).

Hvis du fortsatt bruker Python 3.12, oppdater til Python-3.12.11 ved å bruke de samme instruksjonene..

I QtWebEngine-6.9.1, nitten sikkerhetsråd ble fikset som kunne tillate ekstern kjøring av kode, informasjonsinnhenting om eksterne enheter, installasjon av ondsinnede utvidelser, omgåelse av filbegrensninger, omgåelse av policyer med samme opprinnelse, eksternt utnyttbar rettighetseskalering, eksternt utnyttbar sandkasse-rømning, informasjonslekkasje på tvers av opprinnelse og omgåelse av tilgangskontroll. Disse sårbarhetene finnes alle i den medfølgende kopien av Chromium, og er i delene Media, Media Stream, PDFium, Profiler, DevTools, Inspector, V8, libxslt, Navigations, Extensions, Mojo, Codecs, HTML, SQLite, og Loader av pakken. De fleste sårbarhetene som ble fikset av denne oppdateringen ble vurdert som Høye, med to vurdert som Kritiske og fem vurdert som Middels. Disse sårbarhetene har blitt tildelt CVE-2025-1921, CVE-2025-1919, CVE-2025-1918, CVE-2025-1916, CVE-2025-1915, CVE-2025-2136, CVE-2025-1920, CVE-2025-24855, CVE-2024-55549, CVE-2025-3071, CVE-2025-3069, CVE-2025-2783, CVE-2025-3619, CVE-2025-4052, CVE-2025-4051, CVE-2025-4096, CVE-2025-3277, CVE-2025-4609, og CVE-2025-4664.

For å fikse disse sikkerhetsproblemene, oppdater til QtWebEngine-6.9.1 eller nyere ved å følge instruksjonene fra QtWebEngine (sysv) eller QtWebEngine (systemd).

I MariaDB-11.4.7, fem sikkerhetsproblemer ble fikset som kunne tillate uautorisert tilgang til data i MySQL databaser, samt krasj som kunne utnyttes eksternt. Brukere som har MariaDB installert som mer enn en byggeavhengighet, bør oppdatere. Disse sårbarhetene har blitt tildelt CVE-2025-30722, CVE-2025-30693, CVE-2023-52790, CVE-2023-52969, CVE-2023-52971.

For å fikse disse sikkerhetsproblemene, oppdater til MariaDB-11.4.7 eller nyere ved å bruke instruksjonene fra MariaDB (sysv) eller MariaDB (systemd).

I systemd-257.6, et sikkerhetsproblem ble rettet som tillater en angriper å tvinge SUID prosesser til å krasje og lar dem erstatte programmet med en ikke-SUID binærfil for å få tilgang til den opprinnelige privilegerte prosessens coredump. Dette lar angriperen lese ekstremt sensitive data, for eksempel som /etc/shadow innhold. Dette kan kjøres av ikke-privilegerte brukere på systemet. Et konseptbevis er offentlig publisert av Qualys, som tillater lesing av minneinnholdet i 'sshd' prosessen på noen distribusjoner. Dette sikkerhetsproblemet har blitt tildelt CVE-2025-4598.

Mer informasjon om denne sårbarheten finner du i Qualys Security Advisory.

For å fikse disse sikkerhetsproblemene, oppdater til systemd-257.6 eller nyere ved å bruke instruksjonene fra systemd.

Brukere kan alternativt oppgradere eldre systemer til systemd-256.16 eller nyere. Samtidig bør brukere også oppgradere Linux kjernen på disse systemene til 6.12.31 eller nyere, fordi løsningen på sårbarheten avhenger av endringer som gjøres i kjernen.

I coreutils-9.6, ble det oppdaget et sikkerhetsproblem som kunne tillate tjenestenekt (programkrasj) eller lekkasje av sensitive data når «sort» verktøyet brukes. Sårbarheten er sårbar for en underlesning av heapbufferen. LFS 12.3 ble levert med coreutils-9.6, men den ble senere oppgradert til 9.7 i utviklingsversjonen av boken. Begge versjonene er berørt av dette sikkerhetsproblemet. Dette sikkerhetsproblemet har blitt tildelt CVE-2025-5278.

For å fikse dette sikkerhetsproblemet, oppdater til coreutils-9.7 med oppdateringen ved å følge instruksjonene fra LFS boken for coreutils (sysv) eller coreutils (systemd).

I Perl-5.40.2, ble det oppdaget et sikkerhetsproblem som kunne føre til en kappløpstilstand der filoperasjoner kan målrette seg mot utilsiktede stier. Hvis en mappereferanse åpnes ved trådoppretting, endres den prosessomfattende gjeldende arbeidsmappen midlertidig for å klone den referansen for den nye tråden, som er synlig fra alle tråder som kjører. Dette fører til utilsiktede operasjoner, inkludert lasting av kode og tilgang til filer fra uventede steder, og det finnes et konseptbevis for vilkårlig kodeutførelse forårsaket av utnyttelse av dette sikkerhetsproblemet. Dette sikkerhetsproblemet har blitt tildelt CVE-2025-40909.

For å fikse dette sikkerhetsproblemet, gjenoppbygg Perl-5.40.2 med oppdateringen ved å bruke instruksjonene fra LFS boken for Perl (sysv) eller Perl (systemd).

I gst-plugins-base og gst-plugins-good 1.26.2, Fem sikkerhetsproblemer ble løst som kunne tillate ekstern utnyttelse av tjenestenektelse (programkrasj) eller informasjonsavsløring. Disse sårbarhetene oppstår ved behandling av undertekster i SubRip- eller TMPlayer-format, samt ved lesing av håndlagde MOV- og MP4-filer. Problemene er forårsaket av overløp av stakkbuffer, lesninger utenfor grensene og dereferanser for NULL-pekere. MOV- og MP4-sårbarhetene kan utnyttes eksternt i kontekster som f.eks nettlesere. Disse sårbarhetene har blitt tildelt CVE-2025-47807, CVE-2025-47808, CVE-2025-47219, CVE-2025-47183, og CVE-2025-47806.

For å fikse dette sikkerhetsproblemet, oppdater gstreamer-stakken til 1.26.2 ved å følge instruksjonene som starter på gstreamer (sysv) eller gstreamer (systemd).

• CVE-2025-32801
  Lasting av et skadelig hook-bibliotek kan føre til eskalering av lokale rettigheter
• CVE-2025-32802
  Usikker håndtering av filstier tillater flere lokale angrep
• CVE-2025-32803
  Usikre filtillatelser kan føre til lekkasje av konfidensiell informasjon

For å fikse disse sårbarhetene, oppdater til kea-2.6.3 eller nyere ved å bruke instruksjonene fra Kea (sysv) eller Kea (systemd) og sjekk eksempelkonfigurasjonene som er oppgitt der.

I Thunderbird-128.11.0esr, syv sikkerhetsproblemer ble fikset som kunne tillate eksternt utnyttbare krasj, minnekorrupsjon, ekstern kodekjøring kjøring, informasjonslekkasje på tvers av opprinnelse, lokal kodekjøring gjennom kommandoen «Kopier som cURL», og clickjacking for å lure brukere til å lekke lagrede betalingskortdetaljer. En av sårbarhetene er vurdert som kritisk, og derfor bør alle brukere oppdatere umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2025-5262, CVE-2025-5263, CVE-2025-5264, CVE-2025-5266, CVE-2025-5267, CVE-2025-5268, og CVE-2025-5269.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.11.0esr eller nyere ved å følge instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

12.3 038 Firefox Dato: 28.05.2025 Alvorlighetsgrad: Kritisk

I Firefox-128.11.0esr, syv sikkerhetsproblemer ble fikset som kunne muliggjøre eksternt utnyttbare krasj, minnekorrupsjon, ekstern kodekjøring, informasjonslekkasje på tvers av opprinnelse, lokal kodekjøring gjennom kommandoen «Kopier som cURL», og clickjacking for å lure brukere til å lekke lagrede betalingskortdetaljer. En av sårbarhetene er vurdert som kritisk, og derfor bør alle brukere oppdatere umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2025-5262, CVE-2025-5263, CVE-2025-5264, CVE-2025-5266, CVE-2025-5267, CVE-2025-5268, og CVE-2025-5269.

For å fikse disse sårbarhetene, oppdater til Firefox-128.11.0esr eller nyere ved å følge instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I libarchive-3.8.0, fem sikkerhetsproblemer ble rettet som kunne føre til krasj og minnekorrupsjon ved behandling av RAR-arkiver, TAR-arkiver og WARC-arkiver. Problemene skyldes heap-bufferoverløp, signed integer-overløp og double-frees. Ingen CVE-er er tildelt, men mer informasjon finner du i Github feilrapportene på: rar: Do not skip past EOF while reading (#2854), rar: Fix double free with over 4 billion nodes (#2598), rar: Fix heap-buffer-overflow, warc: Prevent signed integer overflow, og tar: fix overflow in build_ustar_entry.

For å fikse disse sårbarhetene, oppdater til libarchive-3.8.0 eller nyere ved å følge instruksjonene fra libarchive (sysv) eller libarchive (systemd).

Når en innkommende DNS-protokollmelding inneholder en transaksjonssignatur (TSIG), sjekker BIND den alltid. Hvis TSIG inneholder en ugyldig verdi i algoritmefeltet, avbrytes BIND umiddelbart med en bekreftelsesfeil. Dette problemet påvirker BIND 9 versjon 9.20.0 til 9.20.8 og 9.21.0 til 9.21.7. CVE-2025-40775

For å fikse disse sikkerhetsproblemene, oppdater til bind-9.20.9 senere ved å bruke instruksjonene fra Bind (sysv) eller Bind (systemd).

I Thunderbird-128.10.2esr (så vel som 128.9.1, 128.9.2, 128.10.0,og 128.10.1), atten sikkerhetssårbarheter ble fikset som kunne tillate ekstern kodekjøring, forfalskning av URL-felt, vilkårlig kodekjøring, lekkasjer av hashede Window legitimasjonsopplysninger, avsløring av informasjon om mappe liste over /tmp, feilaktig fremstilling av vedleggs URL-er i brukergrensesnittet, sandkasse-rømminger, krasj som kan utnyttes eksternt, usikre attributtilganger (som fører til minnekorrupsjon og minnetilgang utenfor grensene), forfalskning av avsendere (som fører til ekstremt trivielle phishing angrep), uønskede filnedlastinger, uttømming av diskplass, lekkasje av legitimasjon til eksterne angripere via kompromitterte e-poster og vedlegg, JavaScript kjøring via forfalskede PDF vedlegg, og sporingslenker i vedlegg som omgår ekstern innholdsblokkering. I tillegg er to av sårbarhetene for ekstern kodekjøring de samme som det som ble fikset i Spidermonkey og Firefox, demonstrert på Vancouver Pwn2Own. Omfanget av sikkerhetssårbarheter i dette settet med Thunderbird oppdateringer bør tas på alvor, og i likhet med Firefox og Spidermonkey må alle brukere som har Thunderbird installert, raskt oppdatere til Thunderbird 128.10.1esr eller nyere. Disse sårbarhetene har blitt tildelt CVE-2025-3028, CVE-2025-3029, CVE-2025-3030, CVE-2025-3522, CVE-2025-2830, CVE-2025-3523, CVE-2025-4083, CVE-2025-4087, CVE-2025-4091, CVE-2025-4093, CVE-2025-3875, CVE-2025-3877, CVE-2025-3909, CVE-2025-3932, CVE-2025-4918, og CVE-2025-4919.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.10.2esr eller nyere ved å følge instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Firefox-128.10.1esr (og 128.9.0/128.10.0), ni sikkerhetsproblemer ble fikset som kunne tillate ekstern kodekjøring, forfalskning av URL-felt, sandkasse escapes og usikker attributtilgang (som fører til minnetilgang utenfor grensene og minnekorrupsjon). De fleste av disse sårbarhetene kan utnyttes via standard nettlesing, og to av sårbarhetene for ekstern kodekjøring er kjent for å bli utnyttet. De to sårbarhetene for ekstern kodekjøring som er nevnt, ble demonstrert på Vancouver Pwn2Own konferansen. Alle brukere som har Firefox installert, må raskt oppdatere til Firefox-128.10.1esr for å beskytte systemet sitt. Disse sårbarhetene har blitt tildelt CVE-2025-3028, CVE-2025-3029, CVE-2025-3030, CVE-2025-4083, CVE-2025-4087, CVE-2025-4091, CVE-2025-4093, CVE-2025-4918, og CVE-2025-4919.

For å fikse disse sårbarhetene, oppdater til Firefox-128.10.1esr eller nyere ved å følge instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I Spidermonkey-128.10.1, to kritiske sikkerhetsproblemer ble fikset som kunne tillate en angriper å lese og skrive til minne utenfor grensene ved å kjøre skadelig JavaScript. Den første av disse sårbarhetene oppstår når man bruker «promise» objekter, mens den andre sårbarheten oppstår på grunn av forvirrende arrayindekser på et JavaScript objekt. Disse angrepene har blitt demonstrert ved å oppnå ekstern kodekjøring og JavaScript manipulasjon på Vancouver Pwn2Own konferansen. Alle brukere som har Spidermonkey installert, må raskt oppdatere det på systemene sine. Disse sårbarhetene har blitt tildelt CVE-2025-4918 og CVE-2025-4919.

For å fikse disse sikkerhetsproblemene, oppdater til Spidermonkey-128.10.1 eller nyere ved å følge instruksjonene fra Spidermonkey (sysv) eller Spidermonkey (systemd).

I Gimp-3.0.4, et sikkerhetsproblem ble rettet som kunne tillate ekstern kjøring av kode ved behandling av en håndlaget .ICO fil. Sårbarheten ser ut til å ha blitt introdusert i en tidlig utgivelseskandidat for gimp3, og er forårsaket av et heltallsoverløp. Ingen CVE er tildelt ennå, men en Zero Day Initiative ID er tildelt sårbarheten. Brukere som oppdaterer til Gimp-3.0.4 må også oppdatere babl og gegl til sine nyeste versjoner før de oppdaterer til Gimp-3.0.4. Dette sikkerhetsproblemet er tildelt ZDI-CAN-26752.

Når CVE ID-en er tildelt av Trend Micros Zero Day Initiative, vil sikkerhetsmeldingen bli oppdatert for å inkludere den. På grunn av Alvorlighetsgraden (gitt at det er en RCE), har BLFS teamet valgt å sende inn meldingen før den delen av CVE prosessen er fullført, siden alle dataene allerede er offentlige.

For å fikse dette sikkerhetsproblemet, må du først oppdatere til babl-0.1.114 eller nyere ved å bruke instruksjonene fra babl (sysv) eller babl (systemd).

Deretter oppdaterer du til gegl-0.4.62 eller nyere ved å følge instruksjonene fra gegl (sysv) eller gegl (systemd).

Til slutt, oppdater til Gimp-3.0.4 eller nyere ved å følge instruksjonene fra Gimp (sysv) eller Gimp (systemd).

I OpenJDK-24.0.1, tre sikkerhetsproblemer ble fikset som kunne tillate ekstern kjøring av kode, vilkårlig kjøring av kode og uautorisert dataendring. Ingen brukerinteraksjon eller rettigheter kreves for å utnytte disse sårbarhetene. Sårbarhetene er i JSSE, 2D og Compiler komponentene. JSSE og 2D sårbarhetene påvirker alle versjoner av Java etter JDK 8, mens Compiler bare påvirker JDK 21 og 23. Brukere som har Java installert for enhver kontekst oppfordres til å oppgradere. Disse sårbarhetene har blitt tildelt CVE-2025-21587, CVE-2025-30698, og CVE-2025-30691.

For å fikse disse sikkerhetsproblemene, oppdater til OpenJDK-24.0.1 eller nyere ved å følge instruksjonene fra OpenJDK (sysv) eller OpenJDK (systemd).

Hvis du vil bruke de forhåndsbygde binærfilene, oppdater til Java-24.0.1 ved å følge instruksjonene fra Java (sysv) eller Java (systemd).

Hvis du installerer LibreOffice eller Fop etter denne oppdateringen, må du oppdatere til LibreOffice-25.2.3.2 og Fop-2.11 for å løse problemer med Java 24 fjerning av Java Security Manager API. Lenker til begge sidene finner du her.: LibreOffice (sysv) eller LibreOffice (systemd), og Fop (sysv) eller Fop (systemd).

Oppdateringene ovenfor er testet mot et BLFS 12.3 system.

I Screen-5.0.1, fem sikkerhetsproblemer ble fikset som kunne muliggjøre pålitelig lokal privilegieeskalering til root, lekkasje av fileksistensinformasjon, TTY kapring under tilkobling til en flerbrukerøkt, kappløpsbetingelser ved sending av signaler, og for at PTY-er kunne opprettes verdensskrivbare. En alvorlig bufferoverløpsfeil forårsaket av en dårlig strncpy() ble også fikset i denne utgivelsen. Fordi standard konfigurasjonen av Screen i BLFS er setuid-root, er alle systemer med Screen installert påvirket av disse sårbarhetene, noen dateres tilbake til Screen utgivelser helt tilbake til 2025. Hvis du har Screen installert, må du oppdatere til Screen-5.0.1 umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2025-23395, CVE-2025-46804, CVE-2025-46803, CVE-2025-46802, og CVE-2025-23395.

Ytterligere informasjon om disse sårbarhetene finner du på oss-security mailing list post hvor sårbarhetene ble annonsert.

For å fikse disse sikkerhetsproblemene, oppdater til Screen-5.0.1 eller nyere ved å bruke instruksjonene fra Screen (sysv) eller Screen (systemd).

I intel-microcode-20250512, åtte sikkerhetsproblemer på prosessornivå ble adressert. Seks av sikkerhetsproblemene tillater informasjonsavsløring, og to tillater tjenestenekt. Det første sikkerhetsproblemet for informasjonsavsløring kan tillate eksponering av sensitiv informasjon i delte mikroarkitekturstrukturer under midlertidig kjøring, og det kan tillate autentiserte brukere å aktivere informasjonsavsløring via lokal tilgang. Dette påvirker 8., 9., 10. og 11. generasjons Intel Core prosessorfamilie, Intel Xeon W prosessorfamilien, Intel Core X serien prosessorfamilien, flere 11. generasjons Core i3 og Celeron-prosessorer, Xeon E-2300 prosessorfamilien, Xeon W-1300 prosessorfamilien, 3. generasjons Intel Xeon Scalable Processor familien og Intel Xeon E prosessorfamilien. Det andre sikkerhetsproblemet for informasjonsavsløring oppstår på grunn av eksponering av sensitiv informasjon forårsaket av delte mikroarkitekturelle prediktortilstander som påvirker midlertidig kjøring for noen Intel Core og Atom prosessorer. Dette inkluderer 8., 9., 10., 11., 12., 13. og 14. generasjon av Intel Core CPU-er, Atom P6000 familien, Core Ultra familien, 2. og 3. generasjons Intel Xeon Scalable prosessorfamilie, Intel Xeon E prosessorfamilien, Intel Pentium Gold familien, noen Intel Celeron prosessorer og Intel Xeon 6 prosessorfamilien. Som alltid, anbefales det å sjekke om din spesifikke CPU er berørt ved å bruke informasjonen på slutten av denne veiledningen. Det neste sikkerhetsproblemet for informasjonsavsløring påvirker Intel Core Ultra familien, og lar uautoriserte brukere aktivere informasjonsavsløring på grunn av feil oppførsel. Autentiserte brukere kan også få tilgang til informasjon på grunn av feil initialisering av en ressurs i branch prediction unit på disse CPU-ene. Sikkerhetsproblemet for tjenestenekt oppstår på grunn av utilstrekkelige ressurspooler i kjerneadministrasjonsmekanismen til noen Intel prosessorer, samt uoppdagede unntak i kjerneadministrasjonsmekanismen. Dette settet med sårbarheter påvirker 12., 13. og 14. generasjon av Intel CPU-er, samt 4. og 5. generasjon av Intel Xeon prosessorer, Core Ultra-prosessorene (serie 1 og 2), Xeon W prosessorfamilien, Xeon E prosessorfamilien og Xeon CPU Max serien av prosessorer. Disse sårbarhetene har blitt tildelt CVE-2024-28956, CVE-2025-20103, CVE-2024-43420, CVE-2025-24495, CVE-2025-20623, CVE-2024-45332, CVE-2025-20012, og CVE-2025-20054.

Ytterligere informasjon om disse sårbarhetene finner du på INTEL-SA-01153 (CVE-2024-28956), INTEL-SA-01247 (CVE-2024-43420, CVE-2025-20623, and CVE-2024-45332), INTEL-SA-01322 (CVE-2025-24495 and CVE-2025-20012), and INTEL-SA-01244 (CVE-2025-20103 and CVE-2025-20054).

Sjekk om CPU-en din påvirkes ved å kjøre lscpu og sammenligne de utgående familie-, modell- og trinnverdiene med verdiene som er oppgitt ovenfor og i INTEL-SA-01153, INTEL-SA-01247, INTEL-SA-01322, og INTEL-SA-01244. Hvis systemet ditt er sårbart, oppdater til intel-microcode-20250512 eller nyere ved å følge instruksjonene for Om Fastvare (sysv) eller Om Fastvare (systemd).

I PostgreSQL-17.5, et sikkerhetsproblem ble rettet som kan tillate en leverandør av databaseinndata å oppnå midlertidig tjenestenektelse på enhver plattform der en 1-byte overlesing kan utløse prosessavslutning. Problemet oppstår når du utfører GB18030 kodingsvalidering, og er klassifisert som en bufferoverlesing. Det påvirker både libpq og databaseserveren, så klient applikasjoner er også påvirket, så vel som serverkomponenten. Merk at for at dette sikkerhetsproblemet skal kunne utnyttes, må teksten mislykkes validering. Dette sikkerhetsproblemet er tilordnet CVE-2025-4207.

For å fikse dette sikkerhetsproblemet, oppdater til PostgreSQL-17.5 eller nyere ved å bruke instruksjonene fra PostgreSQL (sysv) eller PostgreSQL (systemd).

For brukere på eldre versjoner av PostgreSQL er versjon 16.9, 15.13, 14.18 og 13.21 tilgjengelige for grener fra tidligere utgivelser..

I LibreOffice-25.2.2.2, et sikkerhetsproblem ble rettet som tillater forfalskning av PDF signaturer når man bruker underfilteret adbe.pkcs7.sha1. Feilen fører til at ugyldige signaturer blir akseptert som gyldige, og sårbarheten har blitt vurdert som kritisk av NVD, da den oppfyller kriteriene for «Feil verifisering av kryptografisk signatur» og «PDF signaturforfalskning ved feil validering». Alle brukere som bruker LibreOffice til å åpne PDF filer, bør oppdatere til LibreOffice-25.2.2.2 eller nyere, da dette kan føre til phishing. Dette sikkerhetsproblemet har blitt tildelt CVE-2025-2866.

For å fikse dette sikkerhetsproblemet, oppdater til LibreOffice-25.2.2.2 eller nyere ved å følge instruksjonene fra LibreOffice (sysv) eller LibreOffice (systemd).

I gst-plugins-bad-1.26.1, et sikkerhetsproblem ble rettet som kan tillate krasj eller ekstern kjøring av kode ved behandling av misdannede strømmer i en videofil ved bruk av H.265 kodeken. Problemet er forårsaket av en stakkbufferoverflyt som oppstår ved behandling av snittoverskrifter. Dette sikkerhetsproblemet er tildelt CVE-2025-3887, men informasjonen om den er fortsatt reservert. En bedre informasjonskilde er Gstreamer Security Advisory.

For å fikse dette sikkerhetsproblemet, oppdater gstreamer stakken til 1.26.1 ved å følge instruksjonene som starter på gstreamer (sysv) eller gstreamer (systemd).

I ghostscript-10.05.0, ni sikkerhetsproblemer ble rettet som kunne føre til ekstern kodekjøring eller vilkårlig filtilgang. Sårbarheten for vilkårlig filkjøring oppstår på grunn av problemer med avkortede stier med ugyldige UTF-8-tegn. Resten av problemene oppstår på grunn av bufferoverløp i ulike sammenhenger, inkludert behandling av PDF filer, serialisering av fonter, bruk av BJ10V, DOCXWRITE TXTWRITE og NPDL enheter, og ved konvertering av tegn til Unicode. Alle brukere som har Ghostscript installert oppfordres til å oppdatere så snart som mulig. Disse sårbarhetene har blitt tildelt CVE-2025-27835, CVE-2025-27832, CVE-2025-27831, CVE-2025-27836, CVE-2025-27830, CVE-2025-27833, CVE-2025-46646, CVE-2025-27837, og CVE-2025-27834.

For å fikse disse sikkerhetsproblemene, oppdater til ghostscript-10.05.0 eller nyere ved å følge instruksjonene fra ghostscript (sysv) eller ghostscript (systemd).

I Epiphany-48.1, et sikkerhetsproblem ble rettet som tillater nettsteder å utløse URL-behandlere uten brukerinteraksjon eller advarsel. Hvis behandler applikasjonen som kalles er sårbar, er ekstern kodekjøring mulig under brukerens nåværende kontekst. Før denne utgivelsen advarte ikke nettleseren brukere eller forhindret eksterne URL-behandlerapplikasjoner fra å åpnes uten en brukers tillatelse. Den opprinnelige utgivelsen av Epiphany-48.1 introduserte to regresjoner som oppstod når man åpnet inkognitovinduer og også når man åpnet nedlastede filer, så BLFS teamet anbefaler å oppdatere til Epiphany 48.3 i stedet for 48.1. Dette sikkerhetsproblemet er tilordnet CVE-2025-3839.

For å fikse dette sikkerhetsproblemet, oppdater til Epiphany-48.3 eller nyere ved å bruke instruksjonene fra Epiphany (sysv) eller Epiphany (systemd).

I giflib-5.2.2, flere sikkerhetsproblemer ble oppdaget. Bare én av dem har en fungerende oppdatering, og BLFS teamet har tatt i bruk en oppdatering fra OpenMandriva teamet for å løse problemet. Problemet er en heapbufferoverløp i gif2rgb verktøyet, som forårsaker et krasj og har en mulighet til å forårsake vilkårlig kodekjøring. I tillegg til de mange andre problemene, har denne sårbarheten blitt tildelt fire forskjellige individuelle CVE-er, som er kjent som CVE-2022-28506, CVE-2023-48161, CVE-2024-45993, og CVE-2025-31344.

Følg med på fremtidige sikkerhetsråd for giflib etter hvert som flere av sårbarhetene i denne pakken blir løst..

For å fikse de fire sårbarhetene, gjenoppbygg giflib med oppdateringen som BLFS teamet har utviklet ved hjelp av instruksjonene fra giflib (sysv) eller giflib (systemd).

I libsoup-2.74.3, fjorten sikkerhetsproblemer ble oppdaget som kunne tillate eksternt utnyttbare krasj, ekstern kodekjøring, smugling av HTTP forespørsler og minnekorrupsjon. Disse er svært like sårbarhetene som ble fikset i den nylige libsoup3 oppdateringen, men den inkluderer rettelser for flere sårbarheter som er spesifikke for libsoup2. På grunn av sikkerhetsproblemene i libsoup2, og det faktum at de eneste pakkene i BLFS som krever det er fjernet, har BLFS teamet arkivert libsoup2 samt avhengigheter som AbiWord og libgdata. BLFS teamet har imidlertid også utviklet en oppdatering for libsoup2 for å fikse disse kjente sårbarhetene for brukere som har libsoup2 installert. På dette tidspunktet vil vi imidlertid ikke produsere flere oppdateringer for denne pakken for å fikse ytterligere problemer etter at BLFS 12.4 er utgitt, og vi anbefaler at alle brukere som har libsoup2 installert slutter å bruke biblioteket, samt libgdata og AbiWord. Disse sårbarhetene har blitt tildelt CVE-2024-52530, CVE-2024-52531, CVE-2024-52532, CVE-2025-2784, CVE-2025-32050, CVE-2025-32052, CVE-2025-32053, CVE-2025-32906, CVE-2025-32909, CVE-2025-32910, CVE-2025-32911, CVE-2025-32912, CVE-2025-32914, og CVE-2024-46420.

For å fikse disse sårbarhetene, gjenoppbygg libsoup2 med libsoup-2.74.3-security_fixes-1.patch oppdateringen kombinert med instruksjonene fra libsoup (sysv) eller libsoup (systemd).

I libsoup-3.6.5, ti sikkerhetsproblemer ble fikset som kunne tillate eksternt utnyttbare krasj, ekstern kodekjøring og minnekorrupsjon. Disse skjer i en rekke funksjoner i libsoup3, inkludert append_param_quoted(), sniff_unknown(), sniff_feed_or_html(), soup_headers_parse_request(), sniff_mp4(), soup_auth_digest_authenticate(), og soup_message_headers_get_content_disposition(). Problemene oppstår på grunn av en rekke problemer, men inkluderer heltallsoverløp, segmenteringsfeil, heapbufferoverlesninger, lesninger utenfor grensene, NULL-pekerdereferanser, og doble frigjøringer. Det anbefales på det sterkeste at alle brukere oppdaterer til den nyeste versjonen av libsoup så snart som mulig, og følger med på sikkerhetsrådene for ytterligere oppdateringer, da det er mange flere CVE-er som ennå ikke er løst oppstrøms på tidspunktet for denne meldingen. Disse sårbarhetene har blitt tildelt CVE-2025-32050, CVE-2025-32051, CVE-2025-32052, CVE-2025-32053, CVE-2025-32906, CVE-2025-32909, CVE-2025-32910, CVE-2025-32911, CVE-2025-32912, og CVE-2025-32913.

For å fikse disse sårbarhetene, oppdater til libsoup-3.6.5 eller nyere ved å bruke instruksjonene fra libsoup (sysv) eller libsoup (systemd).

I Yelp-42.2, ble det funnet et sikkerhetsproblem som tillater hjelpedokumenter å kjøre vilkårlig JavaScript, og også lese vilkårlige filer på disken. Oppstrøms har ikke gitt ut en oppdatert versjon for å fikse dette problemet, men BLFS teamet har tatt i bruk oppdateringer fra oppstrøms for å løse dette problemet. Det finnes en offentlig utnyttelse og en oppdatering som demonstrerer muligheten til å lese en brukers SSH privatnøkkel via et utformet hjelpedokument, og dermed bør ALLE BLFS BRUKERE SOM HAR YELP INSTALLERT BRUKE PATCHENE SÅ SNART SOM MULIG. Oppdateringene løser problemet ved å implementere en innholdssikkerhetspolicy gjennom noen kall til WebKit som forhindrer at JavaScript koden kjøres. Denne sårbarheten er tildelt CVE-2025-3155.

For å fikse dette sikkerhetsproblemet, installer oppdateringene på Yelp og yelp-xsl og gjenoppbygg dem ved hjelp av instruksjonene fra yelp-xsl (sysv) og yelp (svn), eller yelp-xsl (systemd) og yelp (systemd).

I xz-5.8.1, et sikkerhetsproblem ble rettet som kunne tillate ugyldig inndata ved dekomprimering av en XZ fil, noe som kunne forårsake tjenestenekt eller potensielt vilkårlig kodekjøring. De kjente effektene inkluderer en heap bruk etter free (som forårsaker et krasj), samt skriving til en adresse basert på nullpekeren pluss en offset. Programmer og biblioteker som bruker lzma_stream_decoder_mt funksjonen er berørt. Sårbarheten blir bare utløst ved dekomprimering av lagete filer. Dette sikkerhetsproblemet er tilordnet CVE-2025-31115.

For å fikse dette sikkerhetsproblemet, oppdater til xz-5.8.1 eller nyere ved å bruke instruksjonene fra LFS boken for xz (sysv) eller xz (systemd).

I Python-3.13.3, to sikkerhetsproblemer ble rettet som kunne tillate forfalskning av e-posthoder og denial-of-service (ubegrenset minnebruk). I tillegg ble et annet sikkerhetsproblem løst etter denne utgivelsen av Python som kan forårsake krasj når unicode_escape kodingen eller en feil behandler brukes når byte dekodes ved hjelp av bytes.decode() funksjonen. Sårbarheten for forfalskning av e-posthoder oppstår når as_bytes funksjonen kalles med parameteren policy=default, og krever at e-postmeldingen forhåndskodes med RFC 2047 før funksjonen kalles. Problemet med ubegrenset minnebruk oppstår når man skriver midlertidige filer med tempfile.SpooledTemporaryFile.writelines() filen, og oppstår fordi writelines() funksjonen bare sjekker om den skal rulle over etter at iteratoren for hele linjen er oppbrukt – noe som fører til massivt minneforbruk. Bare én av disse sårbarhetene har blitt tildelt en CVE, og det er bytes.decode() unicode_escape use-after-free sårbarheten. Det har blitt tildelt CVE-2025-4516.

Du finner mer informasjon om de andre sårbarhetene ved å gå til feilrapportene på Github.: Unbounded growth in SpooledTemporaryFile.writelines() og email: invalid RFC 2047 address header after refolding.

For å fikse disse sårbarhetene, oppdater til Python-3.13.3 eller nyere og installer oppdateringen fra Python (sysv) eller Python (systemd).

I Perl-5.40.2, et sikkerhetsproblem ble rettet som kunne tillate tjenestenekt eller kjøring av vilkårlig kode ved translitterering av ikke-ASCII byte. Sårbarheten er forårsaket av en heap-bufferoverløp, og en påfølgende skriving utenfor grensene. En enkel enlinjet reproduser er offentlig som demonstrerer et krasj forårsaket av dette sikkerhetsproblemet. Perl utviklerne tilbakeportet også dette til 5.38-, 5.36- og 5.34-serien. Hvis systemet ditt er gammelt nok til å ha en av disse versjonene, må du oppdatere til enten 5.38.4, 5.36.3 eller 5.34.3. Dette sikkerhetsproblemet er tilordnet CVE-2024-56406.

For å fikse dette sikkerhetsproblemet, oppdater til Perl-5.40.2 eller nyere ved å bruke instruksjonene fra LFS boken for Perl (sysv) eller Perl (systemd).

I c-ares-1.34.5, et sikkerhetsproblem ble rettet som kunne tillate et krasj ved behandling av DNS spørringer der det oppstår en DNS informasjonskapselfeil, der en oppstrøms server ikke støtter EDNS ordentlig, eller muligens på TCP spørringer hvis den eksterne serveren lukket forbindelsen umiddelbart etter et svar. Krasjet oppstår på grunn av et use-after-free problem i read_answers() funksjonen i c-ares, og kan teoretisk sett utnyttes av en ekstern angriper hvis angriperen oversvømmer målet med ICMP UNREACHABLE pakker, men de må kontrollere oppstrøms navneserveren. Angrepsvektoren er nettverk, men angrepskompleksiteten er høy. Dette sikkerhetsproblemet har blitt tildelt CVE-2025-31498.

For å fikse dette sikkerhetsproblemet, oppdater til c-ares-1.34.5 eller nyere ved å bruke instruksjonene fra c-ares (sysv) eller c-ares (systemd).

I Exempi-2.6.6, fem sikkerhetsproblemer ble rettet som kunne tillate tjenestenekt (programkrasj) eller informasjonsavsløring av sensitivt minne ved behandling av håndlagde XMP-metadata. Problemene er alle forårsaket av lesninger utenfor grensene i Adobe XMP Toolkit SDK som følger med Exempi. Disse sårbarhetene er tilordnet CVE-2025-30305, CVE-2025-30306, CVE-2025-30307, CVE-2025-30308, og CVE-2025-30309.

For å fikse disse sikkerhetsproblemene, oppdater til Exempi-2.6.6 eller nyere ved å bruke instruksjonene fra Exempi (sysv) eller Exempi (systemd).

I libxml2-2.14.2 (og 2.13.8), to sikkerhetsproblemer ble rettet som kunne føre til tjenestenektelse (programkrasj) eller vilkårlig kodekjøring ved behandling av XML dokumenter. Ett av problemene oppstår i xmlSchemalDCFillNodeTables funksjonen i xmlschemas.c, og resulterer i en heap-basert buffer som er underlest. For å utnytte dette sikkerhetsproblemet må et utformet XML dokument valideres mot et XML skjema med visse identitetsbegrensninger (eller et utformet XML skjema må brukes). Det andre sikkerhetsproblemet er i Python API og kan føre til minnetilgang utenfor grensene på grunn av en feil returverdi. Det oppstår i xmlPythonFileRead og xmlPythonFileReadRaw funksjonene på grunn av en forskjell mellom byte og tegn. Disse sikkerhetsproblemene har blitt tildelt CVE-2025-32414 og CVE-2025-32415.

For å fikse disse sårbarhetene, oppdater til libxml2-2.13.8 eller nyere ved å bruke instruksjonene fra libxml2 (sysv) eller libxml2 (systemd).

Selv om brukere kan oppdatere til libxml2-2.14, er den ABI inkompatibel med libxml2-2.13 serien slik den ble levert i BLFS 12.3, og det vil kreve at mange pakker kompileres på nytt. Derfor anbefaler BLFS teamet at man holder seg til 2.13 serien. Hvis du oppgraderer til libxml2-2.14 serien, må du oppdatere flere pakker fra utviklingsversjonen av BLFS, inkludert localsearch og libxkbcommon..

I lxml-5.4.0, de medfølgende kopiene av libxml2 og libxslt ble oppdatert for å fikse fem sikkerhetsproblemer. Disse sårbarhetene er kjent for å forårsake krasj og vilkårlig kodekjøring ved behandling av XML og XSLT dokumenter. Problemene oppstår på grunn av heap-basert bufferunderlesning, stakkbufferoverløp, minnetilgang utenfor grensene og problemer med bruk etter frigjøring. Disse sårbarhetene har blitt tildelt CVE-2024-55549, CVE-2025-24855, CVE-2025-32414, CVE-2025-32415, og CVE-2025-24938.

For å fikse disse sikkerhetsproblemene, oppdater til lxml-5.4.0 eller nyere ved å bruke instruksjonene fra lxml (sysv) eller lxml (systemd).

I QtWebEngine-6.9.0, femten sikkerhetsproblemer ble fikset som kunne tillate utvinning av sensitive systemdata, forfalskning av brukergrensesnitt, ekstern kjøring av kode, vilkårlig kjøring av kode og sandkasse-escapes. Sårbarhetene finnes i en rekke komponenter i den medfølgende versjonen av Chromium, inkludert GPU, 7-zip, Network, V8, Browser UI, DevTools, Media, Media Stream, PDFium, WebRTC, og Inspector. Alle brukere som har QtWebEngine installert, bør oppdatere til denne versjonen uavhengig av konteksten de bruker den i. Merk imidlertid at en oppdatering er nødvendig for å fikse en regresjon, og du må oppdatere Falkon etterpå for å gjøre den kompatibel med regresjons oppdateringen. Regresjonen har å gjøre med GPU-akselerasjon. WebRTC problemet er kjent for å bli utnyttet i stor skala. Disse sårbarhetene har blitt tildelt CVE-2024-11477, CVE-2025-1426, CVE-2025-1006, CVE-2025-0999, CVE-2025-0996, CVE-2025-0998, CVE-2025-0762, CVE-2025-1919, CVE-2025-1921, CVE-2025-1918, CVE-2025-24201, CVE-2025-2136, CVE-2025-0434, CVE-2025-0445, og CVE-2025-0995.

For å fikse disse sikkerhetsproblemene, oppdater til QtWebEngine-6.9.0 (med oppdateringen) ved å følge instruksjonene fra QtWebEngine (sysv) eller QtWebEngine (systemd).

Etter at du har installert denne versjonen av QtWebEngine, må du oppdatere Falkon ved å følge instruksjonene fra Falkon (sysv) eller Falkon (systemd). Den nyeste versjonen av Falkon er kjent for å bygge uten modifikasjoner på et BLFS 12.3 system.

I Qt-6.9.0, et sikkerhetsproblem er rettet som kan føre til heap-bufferoverløp når en feil formatert Markdown fil sendes til QTextMarkdownImporter. De eneste kjente konsekvensene for øyeblikket er programkrasj. Oppgradering av Qt6 til 6.9.0 på et eksisterende system kan forårsake noen konsekvenser for programmer, så BLFS teamet foreslår at man vurderer risikoen før man oppdaterer til Qt6-6.9.0. Qt6-6.9.0 endrer noen private API-er som forårsaker byggeproblemer med libportal, så vel som med noen pakker i KDE. Hvis du installerer denne oppdateringen på et eksisterende system, må du gjenoppbygge libportal og KDE Plasma, samt qcoro og qca (som er standard når du installerer Qt på nytt). Hvis du har LXQt installert med det minimale settet med Plasma komponenter, må du installere layer-shell-qt pakken på nytt. Det finnes imidlertid et alternativ for brukere som ønsker å fikse sårbarheten og er villige til å fortsette med Qt 6.8. Qt har publisert en oppdatering for dette sikkerhetsproblemet som skal gjelde for 6.8-serien, men det har ikke blitt testet av BLFS teamet. Den eneste metoden som er testet av BLFS teamet har vært oppgraderingen til Qt 6.9.0. Dette sikkerhetsproblemet har blitt tildelt CVE-2025-3512.

For å fikse dette sikkerhetsproblemet, oppdater til Qt6-6.9.0 eller nyere ved å bruke instruksjonene fra Qt6 (sysv) eller Qt6 (systemd).

Alternativt kan du installere oppdateringen fra Qt, som du finner på Qt CVE-2025-3512 Patch for 6.8 og deretter gjenoppbygge Qt, men dette har ikke blitt testet av BLFS teamet.

Hvis du bestemmer deg for å oppdatere til Qt-6.9.0, må du bygge følgende pakker på nytt hvis du har dem installert:

• Qca (sysv) eller Qca (systemd)
• qcoro (sysv) eller qcoro (systemd)
• libportal (sysv) eller libportal (systemd)
• Plasma (sysv) eller Plasma (systemd)
• For minimale LXQt installasjoner: layer-shell-qt for LXQt (sysv) eller layer-shell-qt for LXQt (systemd).

I Mercurial-7.0.1, et sikkerhetsproblem ble fikset som kunne tillate skripting på tvers av nettsteder gjennom webgrensesnittet (hgweb). Dette sikkerhetsproblemet lar angripere forfalske en lenke som ville kjøre JavaScript kode i offerets nettleser, men i de fleste WSGI implementeringer, som mod_wsgi for httpd, skal den fanges og serveren skal returnere en HTTP 500 feil. Merk at dette sikkerhetsproblemet ikke kan utnyttes på standardinstallasjoner av Mercurial, da du må ha hgweb programmet installert og kjørende via et nettsted. BLFS brukere trenger ikke å oppgradere med mindre de bruker 'hgweb' programmet, som ikke er aktivert som standard. Dette sikkerhetsproblemet er tildelt CVE-2025-2361.

For å fikse dette sikkerhetsproblemet, oppdater til Mercurial-7.0.1 eller nyere ved å bruke instruksjonene fra Mercurial (sysv) eller Mercurial (systemd).

I Exim-4.98.2, et sikkerhetsproblem ble rettet som kunne tillate brukere med kommandolinjetilgang til serveren å forårsake rettighetseskalering. Problemet oppstår på grunn av en bruk-etter-frigjøring, og det oppstår fordi pekeren for debug_pretrigger_buf ikke er satt til NULL før bufferen frigjøres av lagringsadministrasjonsfunksjonene i Exim. I tilfelle BLFS, selv om Exim-daemonen slipper privilegier til 'exim'-brukeren tidlig, er det fortsatt mulig å eskalere til root hvis feilen utløses før daemonen er fullstendig initialisert. Dette sikkerhetsproblemet er tilordnet CVE-2025-30232.

For å fikse dette sikkerhetsproblemet, oppdater til Exim-4.98.2 eller nyere ved å bruke instruksjonene fra Exim (sysv) eller Exim (systemd).

I libarchive-3.7.9, tre sikkerhetsproblemer ble fikset som kunne tillate tjenestenektelse (programkrasj) eller potensiell minnekorrupsjon ved behandling av ZIP eller TAR arkiver. ZIP sårbarheten oppstår i verktøyet 'bsdunzip', og har blitt beskrevet som 'problematisk' da det finnes en offentlig utnyttelse, men den tillater bare krasj av bsdunzip verktøyet. I så fall kan ZIP filen forårsake en nullpeker-dereferanse. TAR sårbarhetene skyldes både heap-baserte bufferoverlesninger fordi TAR leseren ikke sjekker en strftime returverdi, og problemer under håndtering av avkorting midt i GNU lange lenkenavn. Sårbarhetene ble fikset i libarchive-3.7.8, men libarchive-3.7.8 introduserte en alvorlig regresjon under behandling av GNU sparse oppføringer, så libarchive-3.7.9 anbefales å brukes i stedet. Disse sårbarhetene har blitt tildelt CVE-2024-57970, CVE-2025-1632, og CVE-2025-25724.

For å fikse disse sårbarhetene, oppdater til libarchive-3.7.9 eller nyere ved å følge instruksjonene fra libarchive (sysv) eller libarchive (systemd).

I WebKitGTK-2.48.2, seksten sikkerhetsproblemer ble fikset som kunne føre til uventede prosesskrasj, datautvinning på tvers av opprinnelse, minnekorrupsjon, skriptangrep på tvers av nettsteder, typeforvirring (på ARM arkitekturer) og sandkasse-escapes. Sandkasse-escape-problemet er kjent for å bli utnyttet i stor skala, og det anbefales derfor at brukere oppdaterer WebKitGTK umiddelbart. Imidlertid må man være forsiktig hvis du er på et 32-bit system eller en 64-bit maskin med mindre enn 16 GB RAM. Hvis du er på et slikt system, er det svært sannsynlig at du går tom for minne under kompilering. Hvis det skjer, legg til CMake alternativene beskrevet i Viktig del for å forhindre at systemet går tom for minne. Ytelsen vil bli påvirket noe, men ikke til et nivå der det er merkbart under normale nettleseraktiviteter. Disse sårbarhetene er tildelt CVE-2024-44192, CVE-2024-54467, CVE-2025-24201, CVE-2025-54551, CVE-2025-24208, CVE-2024-25209, CVE-2025-24213, CVE-2025-24216, CVE-2025-24264, CVE-2025-30427, CVE-2025-24223, CVE-2025-31204, CVE-2025-31205, CVE-2025-31206, CVE-2025-31215, og CVE-2025-31257.

For å fikse disse sikkerhetsproblemene, oppdater til WebKitGTK-2.48.2 eller nyere ved å følge instruksjonene fra WebKitGTK (sysv) eller WebKitGTK (systemd).

I Expat-2.7.1, et sikkerhetsproblem ble rettet som kunne føre til et krasj ved kjedekobling av et stort antall enheter. Krasjet er forårsaket av en stakkoverflyt, og det ble løst ved å fikse bruken av rekursjon for generelle enheter i tegndata, generelle enheter i attributtdata og parameterenheter. Krasjet er veldig enkelt å utløse. Sårbarheten ble rettet i 2.7.0, men 2.7.0 introduserte store regresjoner som forårsaket at alle kall til XML_GetCurrentByteCount, XML_GetCurrentByteIndex, XML_GetCurrentColumnNumber, XML_GetCurrentLineNumber og XML_GetInputContext funksjonene forårsaket programkrasj hver gang disse funksjonene ble kalt (noe som opprinnelig ble oppdaget av XML::Parser Perl modulens testpakke). Alle brukere oppfordres til å oppdatere til Expat-2.7.1 så snart som mulig på grunn av hvor enkelt dette sikkerhetsproblemet er å utløse. Dette sikkerhetsproblemet er tildelt CVE-2024-8176.

For å fikse disse sikkerhetsproblemene, oppdater til Expat-2.7.1 eller nyere ved å bruke instruksjonene fra LFS-boken for Expat (sysv) eller Expat (systemd).

Merk: Hvis du har installert docbook-utils fra BLFS, må du legge til "--without-docbook" for å omgå en feil i konfigurasjonen, siden vår installasjon av docbook-utils bruker SGML i stedet for XML.

I PHP-8.4.5, syv sikkerhetssårbarheter ble fikset som kunne tillate for krasj, kjøring av vilkårlig kode, uautoriserte HTTP-omdirigeringer, autentiseringsomgåelse, eksterne systemkrasj og for at ugyldige HTTP-hoder blir behandlet. Sårbarhetene finnes i Streams, libxml og kjernekomponentene i PHP. Alle brukere som bruker PHP for webapplikasjoner er oppfordret til å oppdatere til denne versjonen for å fikse disse sårbarhetene. Disse sårbarhetene har blitt tildelt CVE-2024-11235, CVE-2025-1219, CVE-2025-1736, CVE-2025-1861, CVE-2025-1734, og CVE-2025-1217.

For å fikse disse sårbarhetene, oppdater til PHP-8.4.5 eller nyere ved å bruke instruksjoner fra PHP (sysv) eller PHP (systemd).

I libxslt-1.1.43, to sikkerhetssårbarheter ble fikset som kunne tillate kjøring av vilkårlig kode og krasjer ved behandling av XSL dokumenter. Begge disse sårbarhetene er bruk-etter-frie feil. En av de skjer når du behandler XPath-kontekstnoder, fordi i nestet XPath evalueringer, kan en XPath-kontekstnode endres, men aldri gjenopprettes. Funksjoner som påvirkes av dette i applikasjoner som bruker libxslt kan inkludere xsltNumberFormatGetValue, xsltEvalXPathPredicate, xsltEvalXPathStringNs, og xsltComputeSortResultInternal. Den andre sårbarheten skjer i xsltGetInheritedNsList-funksjonen, og den er relatert til ekskluderingen av resultatprefikser. Disse sårbarhetene har blitt tildelt CVE-2025-24855 og CVE-2024-55549.

For å fikse disse sikkerhetsproblemene, oppdater til libxslt-1.1.43 eller nyere ved å bruke instruksjonene fra libxslt (sysv) eller libxslt (systemd).

I Thunderbird-128.8.0esr, ni sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, fjernutnyttbare krasjer, kjøring av vilkårlig kode, clickjacking og for nettutvidelser å være forkledd som forskjellige elementer på en nettside. På grunn av en av fjernkontroll sårbarheten for kjøring av kode blir aktivt utnyttet, og fordi det ikke krever brukerinteraksjon, anbefaler BLFS teamet at alle brukere som har Thunderbird installert å oppdatere til 128.8.0esr så snart som mulig. Disse sårbarhetene har blitt tildelt CVE-2024-43097, CVE-2025-1931, CVE-2025-1932, CVE-2024-1934, CVE-2025-1935, CVE-2025-1936, CVE-2025-1937, og CVE-2025-1938.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.8.0esr eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Firefox-128.8.0esr, ni sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, fjernutnyttbare krasjer, kjøring av vilkårlig kode, clickjacking og for nettutvidelser å være forkledd som forskjellige elementer på en nettside. På grunn av en av fjernkontroll sårbarheten for kjøring av kode blir aktivt utnyttet, og fordi det ikke krever brukerinteraksjon, anbefaler BLFS teamet at alle brukere som har Firefox installert å oppdatere til 128.8.0esr så snart som mulig. Disse sårbarhetene har blitt tildelt CVE-2024-43097, CVE-2025-1931, CVE-2025-1932, CVE-2024-1934, CVE-2025-1935, CVE-2025-1936, CVE-2025-1937, og CVE-2025-1938.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-128.8.0esr eller nyere ved hjelp av instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I Spidermonkey-128.8.0, to sikkerhetssårbarheter ble fikset som kunne tillate kjøring av vilkårlig kode (på grunn av typeforvirring), så vel som kjøring av vilkårlig kode på grunn av uventet søppelinnsamling under Regular Expression bailout behandling. Det uventede søppel innsamlingssårbarhet kan også resultere i inkonsistente resultater og krasjer, mens typeforvirringssårbarheten bare oppstår ved bruk av en 64-bits CPU. Typeforvirringsproblemet oppstår på grunn av at JIT-korrupsjon av WASM i32 returnerer verdier, hvor de kan plukke opp biter fra gjenværende minne og de vil dermed bli behandlet som en annen type. Disse sårbarhetene har blitt tildelt CVE-2025-1933 og CVE-2025-1934.

For å fikse disse sårbarhetene, oppdater til Spidermonkey-128.8.0 eller nyere ved hjelp av instruksjonene fra Spidermonkey (sysv) eller Spidermonkey (systemd).

Elementer mellom utgivelsene av 12.2 boken og 12.3 boken

I Exiv2-0.28.5, en sikkerhetssårbarhet ble fikset som kunne tillate kjøring av vilkårlig kode når en bruker kjører Exiv2 på en laget TIFF bildefil. Problemet oppstår på grunn av et heap-bufferoverløp, og det utløses bare når du skriver metadata til et bilde. Sårbarheten oppstår i TiffSubIfd()-funksjonen. Denne sårbarheten er tildelt CVE-2025-26623.

For å fikse dette sikkerhetsproblemet, oppdater til Exiv2-0.28.5 eller senere ved å bruke instruksjoner fra Exiv2 (sysv) eller Exiv2 (systemd).

I libxml2-2.13.6, tre sikkerhetssårbarheter ble fikset som kunne tillate ekstern kjøring av kode, kjøring av vilkårlig kode og fornektelse av tjenesteforhold (applikasjonen krasjer). Den første sårbarheten oppstår på grunn av en stabelbufferoverflyt i xmlSnprintfElements-funksjonen, og den andre sårbarheten oppstår på grunn av en bruk-etter-fri i xmlSchemaItemListAdd funksjonen. Den siste sårbarheten oppstår pga en NULL-pekerdereference i xmlPatMatch-funksjonen når du utfører kompilering av en eksplisitt barneakse. På grunn av alvorlighetsgraden av de to kodeutførelsessårbarheter, anbefales det sterkt at alle brukere oppdater libxml2 umiddelbart uavhengig av konteksten den brukes i. Disse sårbarhetene har blitt tildelt CVE-2025-24928, CVE-2024-56171, og CVE-2025-27113.

For å fikse disse sikkerhetsproblemene, oppdater til libxml2-2.13.6 eller senere ved å bruke instruksjonene fra libxml2 (sysv) eller libxml2 (systemd).

I Exim-4.98.1, en sikkerhetssårbarhet ble fikset som kunne tillate ekstern SQL-injeksjon. Merk at denne sårbarheten ikke påvirker standard BLFS konfigurasjon. For at denne sårbarheten skal være utnyttet, må Exim bygges med SQLite som databasemotor, og kjøretidskonfigurasjonen må aktivere ETRN og fremtvinge ETRN-serialisering. Hvis du endret konfigurasjonen for å aktivere alle disse tre betingelsene, bør du oppdatere til Exim-4.98.1 umiddelbart. For alle andre brukere er det ingen grunn til å oppgradere. Denne sårbarheten er tildelt CVE-2025-26794.

For å fikse dette sikkerhetsproblemet, oppdater til Exim-4.98.1 eller senere ved å bruke instruksjoner fra Exim (sysv) eller Exim (systemd).

I OpenSSH-9.9p2, to sikkerhetssårbarheter ble fikset som kunne tillate et mann-i-midten-angrep for å etterligne en hvilken som helst server når VerifyHostKeyDNS-alternativet er aktivert, og for en tjenestenekttilstand (utmattelse av minne) relatert til håndtering av SSH2_MSG_PING-pakker. Den første sårbarheten er svært kompleks å utnytte, da den krever at angriperen tømmer klientens minneressurser først, men hvis det skjer, vil ikke OpenSSH verifisere serverens vertsnøkkel på riktig måte. Disse sårbarhetene har blitt tildelt CVE-2025-26465 og CVE-2025-26466.

For å fikse disse sårbarhetene, oppdater til OpenSSH-9.9p2 eller nyere ved å bruke instruksjoner fra OpenSSH (sysv) eller OpenSSH (systemd).

I Xwayland-24.1.6, åtte sikkerhetssårbarheter ble fikset som kan tillate tjenestenekt eller kjøring av vilkårlig kode. Disse problemene oppstå på grunn av en bruk-etter-fri av rotmarkøren, et bufferoverløp i XkbVModMaskText()-funksjonen, en heap-bufferoverflyt i XkbWriteKeySyms() funksjon, et bufferoverløp i XkbChangeTypesOfKey()-funksjonen, en out-of-bounds skriv i CreatePointerBarrierClient()-funksjonen, bruken av en uinitialisert peker i compRedirectWindow()-funksjonen, en bruk-etter-gratis i PlayReleasedEvents()-funksjonen, og en bruk-etter-gratis i SyncInitTrigger()-funksjonen. Disse sårbarhetene har blitt tildelt CVE-2025-26594, CVE-2025-26595, CVE-2025-26596, CVE-2025-26597, CVE-2025-26598, CVE-2025-26599, CVE-2025-26600, og CVE-2025-26601.

For å fikse disse sårbarhetene, oppdater til Xwayland-24.1.6 eller nyere ved hjelp av instruksjonene fra Xwayland (sysv) eller Xwayland (systemd).

I Xorg-Server-21.1.16, åtte sikkerhetssårbarheter ble fikset som kan tillate tjenestenekt eller kjøring av vilkårlig kode. Hvis du bruker SSH X Forwarding eller TigerVNC server, kan disse sårbarhetene tillate for ekstern kjøring av kode. Disse problemene oppstår på grunn av en bruk-etter-fri for rotmarkøren, et bufferoverløp i XkbVModMaskText()-funksjonen, en heap buffer overflow i XkbWriteKeySyms() funksjonen, en buffer overflow i XkbChangeTypesOfKey()-funksjonen, skriver en out-of-bounds i CreatePointerBarrierClient()-funksjonen, bruken av en uinitialisert peker i compRedirectWindow()-funksjonen, en bruk-etter-fri i PlayReleasedEvents()-funksjonen, og en bruk-etter-gratis i SyncInitTrigger() funksjonen. Disse sårbarhetene har blitt tildelt CVE-2025-26594, CVE-2025-26595, CVE-2025-26596, CVE-2025-26597, CVE-2025-26598, CVE-2025-26599, CVE-2025-26600, og CVE-2025-26601.

For å fikse disse sikkerhetsproblemene, oppdater til Xorg-Server-21.1.16 eller nyere ved hjelp av instruksjonene fra Xorg-Server (sysv) eller Xorg-Server (systemd).

I tillegg, hvis du har TigerVNC installert, oppgrader TigerVNC for å håndtere disse sårbarhetene ved å bruke instruksjonene fra TigerVNC (sysv) eller TigerVNC (systemd).

I Emacs-30.1, to sikkerhetssårbarheter ble fikset som kunne tillate for skallinjeksjon og vilkårlig kodeutførelse. Den første sårbarheten oppstår i man.el-funksjonen, som kan tillate en uautentisert fjernkontroll angriper for å utføre vilkårlige skallkommandoer på et sårbart system. Den andre sårbarheten oppstår når en bruker påkaller elisp-completion-at-point (for kodefullføring) på uklarert Emacs Lisp-kildekode, som kan utløse usikker Lisp makroutvidelse som gjør det mulig for angripere å utføre vilkårlig kode. Dette kan imidlertid også utnyttes hvis en bruker velger å aktivere on-the-fly diagnostikk som byte kompilerer upålitelig Emacs Lisp-kildekode. Hvis du bruker Emacs, anbefales det sterkt at du oppdaterer denne pakken pga man.el sårbarheten. Disse sårbarhetene har blitt tildelt CVE-2025-1244 og CVE-2024-53920.

For å fikse disse sikkerhetsproblemene, oppdater til Emacs-30.1 eller nyere ved å bruke instruksjoner fra Emacs (sysv) eller Emacs (systemd).

I Wireshark-4.4.4, en sikkerhetssårbarhet ble fikset som kunne tillate for en tjenestenekt-tilstand (krasj som kan utnyttes eksternt) under behandling av Bundle Protocol eller CBOR-pakker som bruker Bundle Protocol og CBOR dissektorer. Merk at dette sikkerhetsproblemet kan utnyttes via pakkeinjeksjon eller laget fangstfiler, men hvis du ikke bruker noen av disse protokollene på nettverket ditt, eller behandler ikke-klarerte fangstfiler, er det ikke nødvendig for å oppgradere Wireshark. Denne sårbarheten er tildelt CVE-2025-1492.

For å fikse dette sikkerhetsproblemet, oppdater til Wireshark-4.4.4 eller nyere ved å bruke instruksjoner fra Wireshark (sysv) eller Wireshark (systemd).

I PostgreSQL-17.3, en sikkerhetssårbarhet ble fikset som åpner for SQL-injeksjon og vilkårlig kodekjøring. Problemet oppstår på grunn av hvordan PostgreSQLs strengescape-rutiner håndterer ugyldige UTF-8-tegn, i kombinasjon med hvordan ugyldige bytesekvenser innenfor den ugyldige UTF-8 tegn behandles av 'psql'-verktøyet. Hvis du bruker PostgreSQL som en databaseserver (i stedet for bare klientverktøyene), er det det viktig at du oppdaterer serveren umiddelbart for å fikse problemet. Denne sårbarheten var ansvarlig for et nylig kompromiss fra USA Treasury. Den første versjonen av denne oppdateringen (v17.3) introduserte en regresjon som brøt strenglengdehåndteringsrutiner, så BLFS utviklingsteamet ventet med å oppgradere til PostgreSQL-17.4 ble utgitt. Som et resultat, brukere bør bruke denne versjonen i stedet. Denne sårbarheten er tildelt CVE-2025-1094.

Ytterligere informasjon har blitt gitt ut av Rapid7, som var gruppen som rapporterte sårbarheten til PostgreSQL-teamet. Denne finner du på Rapid7 PostgreSQL Advisory.

For å fikse dette sikkerhetsproblemet, oppdater til PostgreSQL-17.4 eller senere ved å bruke instruksjoner fra PostgreSQL (sysv) eller PostgreSQL (systemd).

I vim-9.1.1115, en sikkerhetssårbarhet ble fikset som kunne tillate en haug bruk-etter-fri når du omdirigerer utgangen av ':display' til et register i stedet for en variabel eller en fil. Når dette skjer, vil vim frigjøre registerinnholdet før de nye innholdsdataene lagres i registeret. Etter det vil vim frigjøre innholdet mens det kort tid etter prøver å få tilgang til det, som fører til at bruk-etter-fri oppstår. Det er fikset ved å hoppe over enhver utgang for å registrere null når du prøver å omdirigere til utklippstavlen registrerer '*' eller '+'. Hvis du omdirigerer utdataene fra ':display' til et register, anbefales det sterkt at du oppdaterer vim, men det er ikke nødvendig hvis du ikke bruker denne funksjonen. Denne sårbarheten er tildelt CVE-2025-26603.

For å fikse dette sikkerhetsproblemet, oppdater til vim-9.1.1122 eller nyere ved å bruke instruksjoner fra vim (sysv) eller vim (systemd).

I Python-3.13.2 (0g 3.12.9), fem sikkerhetssårbarheter ble fikset som kan tillate at vertsnavn ikke blir flagget som feil ved bruk av urlparse, for tjenestenektforhold (utmattelse av minne og krasj) når du behandler Unicodetegn, bruker asyncio modulen, eller når det brukes imaplib modulen for å koble til en ondsinnet server, og for e-post header spoofing når du bruker e-postmodulen. Bare to av de fem sårbarheter ble tildelt CVE-er. Disse sårbarhetene har blitt tildelt CVE-2025-0938 og CVE-2024-12254.

Informasjon om sårbarhetene som ikke er tildelt CVE-er, finner du på følgende feilrapporter: PySys_AddWarnOptionUnicode bug report, email header spoofing bug report, og imaplib vulnerability bug report.

For å fikse disse sikkerhetsproblemene, oppdater til Python-3.13.2 (eller 3.12.9 hvis du er på 3.12.x) ved å bruke instruksjonene fra Python (sysv) eller Python (systemd).

I OpenSSL-3.4.1 (and 3.3.3), to sikkerhetssårbarheter ble fikset som kan tillate et timing sidekanalangrep mens ECDSA beregner signaturer (som gjør det mulig å ekspirere en privat nøkkel i en ECDSA signatur), og for RFC7250 håndtrykk med uautentiserte servere å ikke bli avbrutt som forventet. Dette problemet forårsaker klienter som bruker RFC7250 Raw Offentlige nøkler (RPKs) for å være sårbare for mann-i-midten-angrep pga serverautentiseringsfeil oppdages ikke av klienter, og deretter data kan overføres i ren tekst. Merk at RPK er deaktivert som standard i både TLS klienter og TLS servere. Disse sårbarhetene har blitt tildelt CVE-2024-13176 og CVE-2024-12797.

For å fikse disse sikkerhetsproblemene, oppdater til OpenSSL-3.4.1 (eller 3.3.3) ved å bruke instruksjonene fra AKU-boken for OpenSSL (sysv) eller OpenSSL (systemd).

Merk at hvis du oppgraderer OpenSSL til en ny mindre versjon (for eksempel fra 3.3.2 til 3.4.1 eller fra 3.1.4 til 3.3.3), trenger du å gjenoppbygge OpenSSH hvis det er installert og det er tidligere enn 9.4p1 utgivelse; hvis du oppgraderer OpenSSL fra 1.x til 3.x, trenger du å gjenoppbygge alt knyttet til OpenSSL (inkludert OpenSSH).

I unzip-6.0-consolidated_fixes-1.patch, en null peker dereference utløses og forårsaker en SIGSEGV. Feilen ser ut til å være lokalisert i koden som er ansvarlig for å håndtere Unicode strenger. Dette tillater en angriper å utføre en tjenestenekt og muligens åpner opp for andre angrepsvektorer. Siden unzip pakken ikke lenger vedlikeholdes, har vi byttet BLFS utvikling til å bruke bsdunzip fra libarchive pakken som en erstatning. Denne sårbarheten er tildelt CVE-2021-4217.

For å fikse dette sikkerhetsproblemet, installer libarchive og erstatt unzip med en symbolkobling til bsdunzip, ved å bruke instruksjonene for libarchive (sysv) eller libarchive (systemd). Merk at xarchiver ikke er kompatibel med bsdunzip, så hvis du bruker xarchiver for å håndtere zip filer, må du også deaktivere "Prefer unzip for zip files" alternativet i "Action => Preferences" dialogen, og installe 7zip ved å bruke instruksjonene for 7zip (sysv) eller 7zip (systemd).

I intel-microcode-20250211, tolv totale sikkerhetssårbarheter var fikset. Den første av disse sårbarhetene gjør det mulig for en privilegert bruker å forårsake tjenestenekt via lokal tilgang på 12. generasjons Intel Core CPUer og høyere og 4./5 generasjon Intel Xeon Scalable CPUer. Det er forårsaket av en feil relatert til uriktige endelige tilstandsmaskiner i maskinvarelogikk på disse prosessorene. Den neste av disse sårbarhetene åpner for en potensiell tjenestenekt på grunn av et problem med EDECCSSA brukerbladfunksjon i Intel Software Guard Extensions på 8., 9. og 11. generasjons Intel CPUer, samt 3. generasjon Intel Xeon Skalerbare prosessorer, Xeon D-prosessorene og 4. generasjon Intel Xeon CPUer (tilhører Eagle Stream-familien). De neste åtte av sårbarheter gir mulighet for eskalering av privilegier, tjenestenekt og informasjonsavsløring på grunn av alvorlige feil i UEFI-fastvaren for 12. og 13. generasjon Intel Core CPUer, Core Ultra-familien av CPUer, Xeon-prosessor D-familien, 3. generasjons Intel Xeon-familie, Pentium Silver, Celeron J og Celeron N-serien med sjetonger, Pentium Gold familie, 1.-4. generasjon Intel Xeon Scalable CPUer, Core X CPU-serien, Xeon-W 2100/2200/2400/3400-serien med CPUer, Atom C5000- og P5000-serien med CPUer, og Atom Processor X-serien med CPUer. Hvis du kjører en berørt chip fra familiene som er oppført ovenfor, bør du oppdatere mikrokoden din så snart som mulig. Den neste sårbarheten gir mulighet for tjenestenekt i 13. og 14. generasjon av Intel CPUer, hvor feil håndtering av fysiske eller miljømessige forhold i noen av disse prosessorene kan tillate en autentisert bruker å forårsake et krasj. Det siste sikkerhetssårbarheten påvirker 4. generasjon Intel Xeon-serien med CPUer, Xeon W arbeidsstasjonsprosessorlinjen, den 5 generasjon Intel Xeon skalerbare prosessorer, Sierra Forest Xeon med 6 E-Cores, og Atom P9600-prosessoren, og det gir mulighet for en fornektelse av tjeneste forårsaket av ugyldige sekvenser av prosessorinstruksjoner ved bruk av Intel Data Streaming Accelerator. Oppgradering av mikrokoden eller systemet fastvare, på systemer med en 8. generasjons Intel CPU eller høyere anbefales for å løse disse sikkerhetssvakhetene. Disse sårbarhetene har blitt tildelt CVE-2024-31068, CVE-2024-36293, CVE-2023-43758, CVE-2023-34440, CVE-2024-24582, CVE-2024-29214, CVE-2024-28127, CVE-2024-39279, CVE-2024-31157, CVE-2024-28047, CVE-2024-39355, og CVE-2024-37020.

Ytterligere informasjon finnes i Intels sikkerhetsråd: Intel-SA-01166 (CVE-2024-31068), Intel-SA-01213 (CVE-2024-36293), Intel-SA-01139 (CVE-2023-43758, CVE-2023-34440, CVE-2024-24582, CVE-2024-29214, CVE-2024-28127, CVE-2024-39279, CVE-2024-31157, og CVE-2024-28047), Intel-SA-01228 (CVE-2024-39355), og Intel-SA-01194 (CVE-2024-37020)..

Sjekk om CPUen din er påvirket ved å kjøre lscpu og sammenligne de utgitte familie-, modell- og trinnverdiene med verdier gitt ovenfor og i Intel-SA-01166, Intel-SA-01213, Intel-SA-01139, Intel-SA-01228 og Intel-SA-01194. Hvis systemet ditt er sårbart, oppdater til intel-microcode-20250211 eller nyere ved å bruke instruksjonene fra Om Fastvare (sysv) eller Om Fastvare (systemd).

I WebKitGTK-2.46.6, fire sikkerhetssårbarheter ble fikset som kunne tillate en ondsinnet nettside å målrettet gå etter en bruker, for kommando injeksjon ved kopiering av URL-er fra nettinspektøren, for tjenestenekt, og uventede prosesskrasj. Målretting mot brukeren ble løst med forbedrede tilgangsbegrensninger til filsystemet, og problemet med URL kopiering ble fikset med forbedret håndtering av filer. Denial of service og uventede prosess krasjproblemer ble løst med forbedret minne håndtering og state håndtering. Disse sårbarhetene har blitt tildelt CVE-2025-24143, CVE-2025-24150, CVE-2025-24158, og CVE-2025-24162.

For å fikse disse sikkerhetsproblemene, oppdater til WebKitGTK-2.46.6 eller nyere ved å bruke instruksjonene fra WebKitGTK (sysv) eller WebKitGTK (systemd).

I GnuTLS-3.8.9, en sikkerhetssårbarhet ble fikset som kunne tillate en potensiell tjenestenekt som kan oppstå ved håndtering av sertifikater med en svært stort antall navnebegrensninger. Dette er en oppfølging av libtasn1 oppdatering, og brukere som har oppdatert til libtasn1-4.20.0 bør også oppdatere til denne versjonen av GnuTLS for ekstra beskyttelse. Denne sårbarheten er tildelt CVE-2024-12243.

For å fikse dette sikkerhetsproblemet, oppdater til GnuTLS-3.8.9 eller senere ved å bruke instruksjoner fra GnuTLS (sysv) eller GnuTLS (systemd).

I Firefox-128.7.0esr, ni sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, minnekorrupsjon, eksternt utnyttbare krasj, ugyldig sertifikatvalidering, og for potensielt åpne private nettleserfaner i vanlige nettleservinduer. Sertifikatets valideringsproblemet oppstår spesielt på grunn av at lengden på et sertifikat lagt til i sertifikatlageret ikke blir sjekket ordentlig. Disse sårbarhetene har blitt tildelt CVE-2025-1009, CVE-2025-1010, CVE-2025-1011, CVE-2025-1012, CVE-2024-11704, CVE-2025-1013, CVE-2025-1014, CVE-2025-1016, og CVE-2025-1017.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-128.7.0esr eller nyere ved hjelp av instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I Thunderbird-128.7.0esr, elleve sikkerhetssårbarheter ble fikset som som kan tillate fjernutnyttbare krasj, ekstern kjøring av kode, minnekorrupsjon, personvernlekkasjer, sertifikatvalideringsproblemer, automatisk lansering av nettsider i Thunderbird, og for spoofing av e-postadresser. Krasjene skjer ved behandling av XSLT-data, ved å bruke det tilpassede høydepunktet API, genererer WebAssembly-kode, behandler PKCS#7-sertifikater og åpne utformede e-poster. Problemer med ekstern kjøring av kode oppstår ved åpning av lagde e-poster også. Personvernlekkasjene oppstår fordi private nettleserfaner kan ha blitt åpnet ved et uhell i vanlige nettleservinduer. Sertifikatvalideringsproblemer oppstår fordi sertifikatlengden ikke blir riktig sjekket når et sertifikat blir lagt til et sertifikatlager. Lansering av nettsider i Thunderbird-problemet oppstår fordi Thunderbird Adressebok URI-felt ikke renses, og angripere kan generere og eksportere adressebokoppføringer som, når en bruker importerer dem, kan åpne en web side i Thunderbird og utfør JavaScript. Forfalskning-problemet oppstår fordi Thunderbird viste en feil avsenderadresse hvis Fra-feltet av en e-post brukte ugyldig gruppenavnsyntaks, lik CVE-2024-40940. Denne spesielle sårbarheten kan brukes til å forårsake phishing-angrep, der en intetanende bruker som ikke ser på e-posthoder kan bli lurt til å tro at e-posten kom fra en legitim kilde (inkludert den korrekte domenenavn for en tjeneste), selv om e-posten ikke ble sendt fra denne adressen. Alle brukere som har Thunderbird installert anbefales å oppdatere den øyeblikkelig spesielt på grunn av dette problemet. Disse sårbarhetene har blitt tildelt CVE-2025-1009, CVE-2025-1010, CVE-2025-1011, CVE-2025-1012, CVE-2024-11704, CVE-2025-1013, CVE-2025-1014, CVE-2025-1015, CVE-2025-0510, CVE-2025-1016, og CVE-2025-1017.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.7.0esr eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I cURL-8.12.0, to sikkerhetssårbarheter ble fikset som kunne tillate for tjenestenekttilstand (applikasjonskrasj) og for legitimasjonslekkasjer i usedvanlig sjeldne tilfeller. Denial of service sårbarheten oppstår på grunn av at libcurl lukker den samme eventfd filbeskrivelsen to ganger når den tar ned en tilkoblingskanal etter å ha fullført et trådet navneløsing. Det er flere forhold som må være sanne for å utnytte denne sårbarheten, inkludert bruk av et 64-bit system, som cURL bygges med --enable-threaded-resolver alternativet, og at eventfd brukes i cURL bygget. Dette kan føre til merkelige krasj i mange forskjellige applikasjoner, men BLFS brukere må sende --enable-threaded-resolver til cURLs konfigureringsskript for å bli påvirket av det. Sårbarheten for legitimasjonslekkasje er veldig lik CVE-2024-11053, og krever bruk av en .netrc-fil for legitimasjon, følgende HTTP omdirigeringer, mens .netrc-filen har en standardoppføring som utelater både brukernavnet og passordet for en tjeneste. De fleste brukere vil ikke bli påvirket av dette, og en standardoppføring som utelater brukernavn og passord felt er en sjelden feilkonfigurasjon. Disse sårbarhetene har blitt tildelt CVE-2025-0665 og CVE-2025-0167.

For å fikse disse sikkerhetsproblemene, oppdater til cURL-8.12.0 eller senere ved å bruke instruksjoner fra cURL (sysv) eller cURL (systemd).

I libtasn1-4.20.0, en sikkerhetssårbarhet ble fikset som kunne tillate for et tjenestenekt (programkrasj og tidsavbrudd) under behandling av sertifikater. Når en inndata DER-data inneholder et stort antall SEQUENCE OF eller SET OF elementer, dekoder dataene og lanserer et spesifikt element i det, vil ta kvadratisk tid å fullføre. Dette kan brukes av en ekstern angriper for et tjenestenektangrep ved å presentere en ondsinnet sertifikat til nettverksmotparten. Dette kan påvirke enhver applikasjon som bruker libtasn1 for sertifikatparsing og validering. En midlertidig løsning foreslått av oppstrøm er å bruke ressurskontrollmekanismer som cgroups for å unngå overdreven bruk av CPU tid, men BLFS-teamet anbefaler oppdaterer libtasn1 i stedet. Denne sårbarheten er tildelt CVE-2024-12133.

For å fikse dette sikkerhetsproblemet, oppdater til libtasn1-4.20.0 eller senere ved å bruke instruksjoner fra libtasn1 (sysv) eller libtasn1 (systemd).

I MariaDB-11.4.5, en sikkerhetssårbarhet ble fikset som kunne tillate for en ekstern angriper med høye privilegier å forårsake tjenestenekt ( henger og krasjer ofte) av mariadb serveren. Merk at denne sårbarheten, selv om det er ekstremt enkelt å utnytte, krever at angriperen som gjør det har nettverkstilgang til serveren, som er deaktivert som standard i konfigurasjon levert av BLFS. Men hvis du har avviket fra boken ved å kommentere "skip-networking"-flagget i /etc/mariadb/my.cnf, kan du bli berørt av denne sårbarheten. Denne sårbarheten er tildelt CVE-2025-21490.

For å fikse dette sikkerhetsproblemet, oppdater til MariaDB-11.4.5 eller senere ved å bruke instruksjoner fra MariaDB (sysv) eller MariaDB (systemd).

Hvis du oppgraderer fra en tidligere større versjon av MariaDB, trenger du å kjøre kommandoen "mariadb-upgrade" etter at du har oppgradert denne pakken. I tillegg bør du følge instruksjonene fra utviklingsbøker nøye, da flaggene ble sendt til CMake angående stier har blitt betydelig endret.

Hvis du ønsker å bli på den forrige hovedversjonen av MariaDB, vennligst oppgrader til MariaDB-10.11.11 i stedet, men merk at BLFS 12.3 vil bli sendt med MariaDB-11.4.x og vi støtter ikke 10.11-serien etter at BLFS 12.3 er utgitt.

I QtWebEngine-6.8.2, ni sikkerhetssårbarheter ble fikset som kunne tillate ekstern kjøring av kode, vilkårlig kjøring av kode i en sandkasse, rettighetseskalering og avsløring av sensitiv systeminformasjon. Disse sårbarhetene oppstår i Compositing, V8, Metrics, Navigation, Inngjerdede rammer, utvidelser, sporing og Skia komponenter i den medfølgende kopien av Chromium. Alle disse problemene kan utnytte ondsinnet laget nettinnhold (inkludert sider og innebygde videoer). Disse sårbarhetene har blitt tildelt CVE-2024-12694, CVE-2024-12693, CVE-2025-0611, CVE-2025-0437, CVE-2025-0447, CVE-2025-0441, CVE-2025-0443, CVE-2025-0438, og CVE-2025-0436.

For å fikse disse sikkerhetsproblemene, oppdater til QtWebEngine-6.8.2 eller nyere ved å bruke instruksjonene fra QtWebEngine (sysv) eller QtWebEngine (systemd).

I Qt6-6.8.2, en sikkerhetssårbarhet ble fikset som kunne tillate krasjer når en Bluetooth Low Energy enhet pares og sender feil Bluetooth ATT kommandoer til datamaskinen. Merk at dette påvirker Spesielt Bluetooth modul i QtConnectivity (QLowEnergyController), og brukere påvirkes bare hvis de bruker en Qt applikasjon for å pare med en ondsinnet enhet. De misformede ATT kommandoene gir mulighet for en eksternt utnyttbar krasj, og brukeren må eksplisitt pare med enheten først. Denne sårbarheten er tildelt CVE-2025-23050.

For å fikse dette sikkerhetsproblemet, oppdater til Qt6-6.8.2 eller senere ved å bruke instruksjoner fra Qt6 (sysv) eller Qt6 (systemd).

I vim-9.1.1071, en sikkerhetssårbarhet ble fikset som kunne tillate for et krasj når win_line() funksjonen kalles i en eller annen ekstrem omstendighet. For å utnytte sårbarheten må en bruker være i stille Ex-modus (-s -e), og binære tegn må mates til vim for å få skjermen til å rulle. Dette vil føre til at en ny skjermtegning utløses selv om ingen skjerm er til stede, og dermed er ScreenLines pekeren tilgang selv om variabelen ikke er allokert. Sårbarheten var fikset ved å hoppe over gjentegningsforsøket ved å teste om ScreenLines pekeren er NULL. Merk at påvirkningen er middels fordi brukeren må mate med vilje og eksplisitt binære data til vim mens du også er i ex-modus. Sårbarheten er tildelt CVE-2025-24014.

For å fikse dette sikkerhetsproblemet, oppdater til vim-9.1.1071 eller senere ved å bruke instruksjoner fra vim (sysv) eller vim (systemd).

I Glibc-2.41, en sikkerhetssårbarhet ble fikset som kunne tillate et bufferoverløp ved utskrift av meldinger om påstandsfeil. Dette kan tillate for programkrasj, eller i noen ekstreme tilfeller, udefinert oppførsel. Den eneste levedyktige vektoren for utnyttelse av denne sårbarheten er lokal, og det må være et setuid program som har en eksisterende feil som resulterer i påstandssvikten. På dette tidspunktet er ikke LFS teamet (og oppstrøms). klar over applikasjoner som kan ha denne oppførselen, men brukere kan ha tilpassede setuid programmer som kan utnyttes. Dette problemet oppstår på grunn av at assert() funksjonen ikke tildeler nok plass for påstandsfeilen meldingsstreng og størrelsesinformasjon i noen tilfeller, noe som kan føre til overflyt hvis størrelsen på meldingsstrengen er tilpasset sidestørrelsen. For de fleste brukere, er oppdatering av glibc IKKE nødvendig, men hvis du har et tilpasset setuid program installert, bør du oppdatere glibc til version 2.41. Denne sårbarheten er tildelt CVE-2025-0395.

For å fikse iconv sårbarheten, oppdater til Glibc-2.41 eller nyere ved å bruke instruksjonene fra LFS boken for Glibc (sysv) eller Glibc (systemd).

For å oppdatere Glibc fra 2.40 eller tidligere til 2.41 trygt på et kjørende system, er det nødvendig med noen ekstra forholdsregler som dokumentert i en "Viktig" boks i bokdelen for Glibc. Følg den strengt ellers kan du gjøre systemet helt ubrukelig. DU ER ADVART. For LFS 12.0 og tidligere vil oppdateringsprosessen også deaktivere og fjerne NSCD for å bli kvitt NSCD sårbarhetene.

I BIND-9.20.5, to sikkerhetssårbarheter ble fikset som kunne tillate en tjenestenekttilstand som forårsaker alvorlige ytelsesforringelser og krasjer. Det første problemet oppstår på grunn av DNS-over-HTTPS-flom, og det ble løst ved å justere named til å håndtere HTTP/2-data i mindre biter og strupende lesing av flere biter til den eksterne siden erkjenner at det har lest svardataene. Det struper også klienter som sender mange forespørsler på en gang. Den navngitte serveren vil også evaluere overdrevne strømmer åpnet av klienter som ikke inneholder DNS data, og vil logge disse klienter for en administrator for å vurdere dem (samt automatisk blokkerer dem fra å sende flere forespørsler). Det andre problemet oppstår pga en feil som kan tillate mange poster i tilleggsdelen til å forårsake CPU utmattelse, og det ble fikset ved å begrense ekstra seksjon behandling for store RDATA sett (begrenset til mer enn 13 navn). Problemene påvirker bare BIND serveren og ikke verktøyene. Disse sårbarhetene har blitt tildelt CVE-2024-11187 og CVE-2024-12705.

For å fikse disse sikkerhetsproblemene, oppdater til BIND-9.20.5 eller nyere ved å bruke instruksjoner fra BIND (sysv) eller BIND (systemd).

I OpenJDK-23.0.2, en sikkerhetssårbarhet ble fikset som kunne tillate en ekstern angriper (uten nødvendige privilegier) til å skrive/slette/få tilgang til informasjon på et system som kjører en Java applikasjon. Ingen brukerinteraksjon kreves for å utnytte dette sikkerhetsproblemet, men angrepskompleksiteten er høy. Sårbarheten finnes i Hotspot komponenten til OpenJDK. Denne sårbarheten er tildelt CVE-2025-21502.

For å fikse disse sikkerhetsproblemene, oppdater til OpenJDK-23.0.2 eller nyere ved å bruke instruksjonene fra OpenJDK (sysv) eller OpenJDK (systemd).

Hvis du vil bruke de forhåndsbygde binære filene, oppdater til Java-23.0.2 ved hjelp av instruksjonene fra Java (sysv) eller Java (systemd).

I abseil-cpp-20240722.1, en sikkerhetssårbarhet ble fikset som kunne tillate en minnetilgang utenfor grensene (og påfølgende krasj) på grunn av en heltallsoverløp som oppstår når du oppretter og endrer størrelse på hash beholdere. Sårbarheten er vanskelig å utnytte, men oppstår fordi det ikke var noen øvre grense for størrelsesargumenter med noen metoder i absl::{flat,node}_hash_{set,map}. Sårbarheten er vanskelig å utnytte fordi containerstørrelser svært sjelden kontrolleres av angriper. Oppstrøms har ikke tildelt en CVE for denne sårbarheten, men flere detaljer finner du på upstream commit.

For å fikse dette sikkerhetsproblemet, oppdater til abseil-cpp-20240722.1 eller nyere ved hjelp av instruksjonene fra abseil-cpp (sysv) eller abseil-cpp (systemd).

I Node.js-22.13.1, tre sikkerhetssårbarheter ble fikset som kan tillate ondsinnet bruk av en gjenopprettet konstruktør, en tjenestenekt via en minnelekkasje, og tukling med forespørsler til backend APIer. Disse sårbarhetene har blitt tildelt CVE-2025-22150, CVE-2025-23083, og CVE-2025-23085.

For å fikse disse sikkerhetsproblemene, oppdater til Node.js-22.13.1 eller senere ved å bruke instruksjonene fra Node.js (sysv) eller Node.js (systemd).

I tillegg, hvis du har installert libuv og ønsker å migrere til 22 serien av Node.js, oppgrader til en nyere versjon av libuv ved å bruke instruksjoner fra libuv (sysv) eller libuv (systemd).

Alternativt, hvis du ikke ønsker å oppgradere libuv eller ønsker å bli på den gamle LTS serien, oppdater til Node.js-20.18.2 ved å bruke de samme instruksjonene, bare med å laste ned den andre versjonen.

I vim-9.1.1016, en sikkerhetssårbarhet ble fikset som kunne tillate en krasj eller vilkårlig kodekjøring ved bruk av visuell modus. Problemet er forårsaket av en heap-basert bufferoverflyt når du bruker kommandoen :all mens visuell modus fortsatt er aktiv, fordi Vim ikke avslutter visuell modus og vil prøve å få tilgang utover slutten av en linje i en buffer. Den oppdaterte versjonen av Vim vil tilbakestille visuell modus riktig før du åpner andre vinduer og buffere, og vil også bekrefte at den ikke vil prøve å få tilgang til en posisjon hvis posisjonen er større enn den tilsvarende bufferlinjen. Denne sårbarheten er tildelt CVE-2025-22134.

For å fikse dette sikkerhetsproblemet, oppdater til vim-9.1.1016 eller senere ved å bruke instruksjoner fra vim (sysv) eller vim (systemd).

I git-2.48.1, to sikkerhetssårbarheter ble fikset som kunne tillate brukere å bli villedet til å skrive inn passord for pålitelige nettsteder, som kan sendes til ikke-klarerte nettsteder i stedet. Dette skjer fordi Git pleide å skrive ut urensede URL-er når du ber om legitimasjon, som (i undermoduler og rekursive kloner) kan tillate brukere å være mottakelige for laget URL-er. Den andre sårbarheten oppstår fordi Git pleide å gi videre Carriage Returns via legitimasjonsprotokollen til legitimasjonshjelpere, hvorav noen kan bruke linjelesefunksjoner som tolker Carriage Returns som linje avslutninger. Du bør oppdatere Git hvis du bruker den til å sjekke ut repositories med undermoduler i dem. Disse sårbarhetene har blitt tildelt CVE-2024-50349 og CVE-2024-52006.

For å fikse disse sårbarhetene, oppdater til git-2.48.1 eller senere ved å bruke instruksjoner fra git (sysv) eller git (systemd).

I rsync-3.4.0, seks sikkerhetssårbarheter ble fikset som kunne tillate ekstern kjøring av kode, informasjonsavsløring, vilkårlig lekkasje av filer på en rsync-klient, banegjennomgang (som lar en server skrive filer til stier på en klient utenfor den tiltenkte destinasjonsmappen), og for eskalering av privilegier. Denne oppdateringen bør anses som HASTER, og må gjøres umiddelbart på ethvert system som har rsync pakken installert, uavhengig av om det er en server eller en klient. Den mest alvorlige CVE kan være utnyttet på *en hvilken som helst* rsync server, og angriperen krever kun anonym lesetilgang for å kjøre vilkårlig kode på maskinen serveren kjører på. Informasjonslekkasjen skjer ved verifisering av filsjekksummer, og tillater for at uinitialisert stabelinnhold skal lekkes én byte om gangen. Den vilkårlige lekkasjen av klientfiler sårbarhet tillater enhver fil fra klienten som skal eksfiltreres når en klient laster opp filer til en server, og sårbarhetene for veikryssing oppstår når du bruker --safe-links eller --inc-rekursive alternativer, og privilegieeskaleringssårbarheten oppstår på grunn av en race tilstand som tillater håndtering av symbolske lenker. Det finnes proof of concept tilgjengelig som leser SSH private nøkler fra en brukers hjemmemappe på en klient, og ytterligere bevis på konsepter finnes som gjør at ~/.bashrc kan overskrives for ondsinnet kodekjøring. ALLE brukere som har installert rsync må oppdatere UMIDDELBART. Disse sårbarhetene har blitt tildelt CVE-2024-12084, CVE-2024-12085, CVE-2024-12086, CVE-2024-12087, CVE-2024-12088, og CVE-2024-12747.

For å fikse disse sikkerhetsproblemene, oppdater til rsync-3.4.0 eller nyere ved å bruke instruksjoner fra rsync (sysv) eller rsync (systemd).

I Libreoffice-24.8.4.2, to sikkerhetssårbarheter ble fikset som kan tillate uautorisert informasjonsutlevering og vilkårlig skriving av filer til filsystemet. Sårbarheten for offentliggjøring av informasjon oppstår når URL-er er konstruert som utvider miljøvariabler eller INI filverdier. Disse kan eksfiltreres til en ekstern server når du åpner et dokumentet som inneholder disse koblingene. Problemet ble løst ved å fjerne utvidelsesfunksjon fra dokumentvertsbaserte URL-er. Den vilkårlige filen sin skrivesårbarhet oppstår på grunn av et problem med banegjennomgang, men bare filer med en .ttf filtype kan skrives. Det kan utnyttes av et utformet dokument med innebygde fontfilbanenavn i det. Disse sårbarhetene har blitt tildelt CVE-2024-12426 og CVE-2024-12425.

For å fikse disse sikkerhetsproblemene, oppdater til Libreoffice-24.8.4.2 eller nyere ved hjelp av instruksjonene fra Libreoffice (sysv) eller Libreoffice (systemd).

I Thunderbird-128.6.0esr, syv sikkerhetssårbarheter ble fikset som kan tillate potensielt utnyttbare krasj, ekstern kjøring av kode, ALPN valideringsfeil ved bruk av omdirigeringer med Alt-Svc, og for privilegieeskaleringsangrep ved bruk av WebChannel APIer (også kjent som en forvirret nestlederangrep). Disse sårbarhetene har blitt tildelt CVE-2025-0237, CVE-2025-0238, CVE-2025-0239, CVE-2025-0240, CVE-2025-0241, CVE-2025-0242, og CVE-2025-0243.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.6.0esr eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Firefox-128.6.0esr, syv sikkerhetssårbarheter ble fikset som kan tillate potensielt utnyttbare krasj, ekstern kjøring av kode, ALPN valideringsfeil ved bruk av omdirigeringer med Alt-Svc, og for privilegieeskaleringsangrep ved bruk av WebChannel APIer (også kjent som en forvirret nestlederangrep). Disse sårbarhetene har blitt tildelt CVE-2025-0237, CVE-2025-0238, CVE-2025-0239, CVE-2025-0240, CVE-2025-0241, CVE-2025-0242, og CVE-2025-0243.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-128.6.0esr eller nyere ved hjelp av instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I Spidermonkey-128.6.0esr, to sikkerhetssårbarheter ble fikset som kan tillate en potensielt eksplosjonsbar krasj eller kjøring av vilkårlig kode. Disse oppstår når en JavaScript-modul analyseres som JSON (som kan tillate tilgang på tvers av rom, som fører til vilkårlig kodekjøring), eller når segmentering av spesiallaget tekst (som fører til minnekorrupsjon). Disse sårbarhetene har blitt tildelt CVE-2025-0240 og CVE-2025-0241.

For å fikse disse sårbarhetene, oppdater til Spidermonkey-128.6.0esr eller nyere ved hjelp av instruksjonene fra Spidermonkey (sysv) eller Spidermonkey (systemd).

Hvis du oppdaterer denne pakken, må du oppdatere Gjs til gjs-1.82.0 eller senere ved å bruke instruksjonene fra Gjs (sysv) eller Gjs (systemd).

Hvis du ønsker å bli på Spidermonkey-115, vennligst oppdater til Spidermonkey-115.19.0esr med å bruke de samme instruksjonene som brukes i BLFS 12.2. Du trenger ikke oppdatere Gjs hvis du bruker denne tilnærmingen.

I Seamonkey-2.53.20, femten sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, uautorisert informasjonsavsløring, applikasjoner som åpnes ved en feiltakelse, krasjer som kan fjernutnyttes, sandkasse escapes, tilgang til PDF- og JSON-objekter samt videorammer krysser opprinnelse, tillatelseslekkasjer, omgåelser av innholdssikkerhetspolicyer og på tvers av nettsteder skripteksponering. En av disse sårbarhetene er kjent for å bli utnyttet. Dette bringer Seamonkey oppdatert med sikkerhetsproblemene fikset i Firefox 128.6.0/115.19.0. Hvis du bruker Seamonkey, bør du oppdater til denne versjonen umiddelbart. Vær spesielt oppmerksom på byggeinstruksjoner ettersom noen alternativer og avhengigheter ble endret. Disse sårbarhetene ble tildelt CVE-2024-8381, CVE-2024-8382, CVE-2024-8383, CVE-2024-8384, CVE-2024-9392, CVE-2024-9393, CVE-2024-9394, CVE-2024-9401, CVE-2024-9680, CVE-2024-10458, CVE-2024-10459, CVE-2024-10463, CVE-2024-11694, CVE-2025-0238, og CVE-2025-0242.

For å fikse disse sikkerhetsproblemene, oppdater til Seamonkey-2.53.20 eller nyere ved å bruke instruksjonene fra Seamonkey (sysv) eller Seamonkey (systemd).

I cURL-8.11.1, en sikkerhetssårbarhet ble fikset som kunne tillate cURL å lekke passordet for verter til omdirigerte verter under visse betingelser når du blir bedt om å bruke en .netrc-fil, og når du også blir spurt å følge HTTP omdirigeringer. Hvis du ikke bruker en .netrc-fil, vil dette sikkerhetsproblemet ikke påvirke deg, og det er ingen grunn til å oppgradere. Hvis du bruker en, oppdater til cURL-8.11.1. Denne sårbarheten er tildelt CVE-2024-11053.

For å fikse dette sikkerhetsproblemet, oppdater til cURL-8.11.1 eller senere ved å bruke instruksjoner fra cURL (sysv) eller cURL (systemd).

I WebKitGTK-2.46.5, fire sikkerhetssårbarheter ble fikset som kunne tillate fjernutnyttbare krasj og ekstern kjøring av kode. Alle fire problemene ble løst med forbedrede kontroller og minnehåndtering, og problemene kan utnyttes med ondsinnet nettinnhold. Disse sårbarhetene har blitt tildelt CVE-2024-54479, CVE-2024-54502, CVE-2024-54505, og CVE-2024-54508.

For å fikse dette sikkerhetsproblemet, oppdater til WebKitGTK-2.46.5 eller nyere ved å bruke instruksjoner fra WebKitGTK (sysv) eller WebKitGTK (systemd).

I Thunderbird-128.5.2esr, en sikkerhetssårbarhet ble fikset som kan tillate banegjennomgang på klientsiden når du bruker Matrix chatroom funksjonalitet i Thunderbirds chat klient. Sårbarheten oppstår når det brukes ondsinnede MXC URIer, og lar et ondsinnet rommedlem utstede vilkårlig autentiserte GET forespørsler til klientens hjemmeserver (i denne kontekst, ville det være Thunderbird). Hvis du bruker Matrix chatroom funksjonalitet, bør du oppdatere Thunderbird. Denne sårbarheten er tildelt CVE-2024-50336.

For å fikse dette sikkerhetsproblemet, oppdater til Thunderbird-128.5.2esr eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Jinja2-3.1.5, to sikkerhetssårbarheter ble fikset som kunne tillate sandbox-escapes og kjøring av vilkårlig Python kode. Et av disse problemene skjer på grunn av en forglemmelse i hvordan Jinja sandkassemiljøet oppdager kall til str.format, og det andre oppstår på grunn av en feil i Jinja2 kompilatoren som tillater en angriper som kontrollerer både innholdet og filnavnet til en mal å utføre vilkårlig Python kode utenfor sandkassen. Disse sårbarhetene har blitt tildelt CVE-2024-56201 og CVE-2024-56326.

For å fikse disse sårbarhetene, oppdater til Jinja2-3.1.5 eller senere ved å bruke instruksjoner fra LFS boken for Jinja2 (sysv) eller Jinja2 (systemd).

I Subversion-1.14.5, en sikkerhetssårbarhet ble fikset som kunne tillate tjenestenekt når en revisjonsegenskap som inneholder kontrolltegn er forpliktet til et depot. Dette er en gjentakelse av CVE-2013-1968, og påvirker bare mod_dav_svn modulen (som du ville bruke for å gi tilgang til et depot over HTTP). Lokale depoter, og de som betjenes av en svn server, er upåvirket. Forstyrrelsen kan også tillate for depotkorrupsjon, men det vil ta litt tid som en full dump/last syklus vil være nødvendig avhengig av korrupsjonen. Denne sårbarheten er tildelt CVE-2024-46901.

For å fikse dette sikkerhetsproblemet, oppdater til Subversion-1.14.5 eller senere ved å bruke instruksjonene fra Subversion (sysv) eller Subversion (systemd).

I Python 3.13.1 (og 3.12.8), tre sikkerhetssårbarheter ble fikset som kan tillate uautorisert kjøring av kommandoer når det skapes et virtuelt miljø, for filtrering av forbikoblinger (fordi IPv4 tilordnet IPv6-adresser egenskaper var svært inkonsekvente), og for pyrepl å lese lokale filer uventet (som er kjent for å forårsake inkonsekvent oppførsel og vilkårlig kodeutførelse). Denne oppdateringen har forårsaket noen problemer med andre pakker, nemlig Firefox og Thunderbird. Hvis du installerer denne sikkerhetsoppdateringen, gjør bruk av instruksjonene fra utviklingsboken for Firefox og Thunderbird (som inkluderer å bruke en oppdatering for å fikse byggeproblemene). Bare én av disse sårbarhetene har blitt tildelt en CVE. Det har blitt tildelt CVE-2024-9287. Ytterligere informasjon om de to andre sårbarhetene finner du på Python Issue #125140 og Python Issue #122792.

For å fikse disse sikkerhetsproblemene, oppdater til Python-3.13.1 (eller 3.12.8 hvis du er på 3.12.x) ved å bruke instruksjonene fra Python (sysv) eller Python (systemd).

I 1.24.10 utgivelsen av gstreamer stakken, over 40 sikkerhetssårbarheter ble løst. Disse problemene oppstår i en rekke programtillegg, inkludert MP4/MOV-avspillingsstøtte, ID3v2-tag-parser, JPEG dekoder, WebM-demuxer, Vorbis-dekoder, SSA-undertekstparser, Opus-dekoderen, gdk-pixbuf-dekoderen, WAV-parseren, AVI-underteksten parser, og LRC undertekst parser, så vel som i gst-discoverer-1.0 verktøyet. På grunn av mengden av disse sårbarhetene så vel som programtilleggene som de påvirker, bør du oppdatere gstreamer stakken umiddelbart hvis du har den installert. Alle disse problemene kan tillate krasj, men mange av dem tillater også kjøring av vilkårlig kode, eller ekstern kode kjøring (i sammenheng med bruk av en nettleser som spiller WebM/MP4/MOV videoer eller WAV-lyder på nettsider). De fleste av disse sårbarhetene har CVE-er, men alle har tilleggsinformasjon fra GitHub Security Lab. Disse sårbarhetene er tildelt CVE-2024-47537, CVE-2024-47598, CVE-2024-47539, CVE-2024-47542, CVE-2024-47543, CVE-2024-47545, CVE-2024-47544, CVE-2024-47597, CVE-2024-47546, CVE-2024-47606, CVE-2024-47596, CVE-2024-47599, CVE-2024-47540, CVE-2024-47600, CVE-2024-47602, CVE-2024-47601, CVE-2024-47603, CVE-2024-47538, CVE-2024-47541, CVE-2024-47607, CVE-2024-47613, CVE-2024-47615, CVE-2024-47778, CVE-2024-47777, CVE-2024-47776, CVE-2024-47775, CVE-2024-47774, CVE-2024-47835, og CVE-2024-47834.

Ytterligere informasjon om disse sårbarhetene finner du på Gstreamer Security Advisories.

For å fikse disse sårbarhetene, oppdater hele gstreamer stakken til 1.24.10 ved å bygge gjennom pakkene som starter med gstreamer (sysv) eller gstreamer (systemd).

I QtWebEngine-6.8.1, sytten sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, uautorisert tilgang til data, brukergrensesnitt spoofing og fjernutnyttbare krasj. Disse sårbarhetene er i en rekke undersystemer i Chromium, inkludert Mojo, Dawn, V8, Extensions, DevTools, Navigation, Web Authentication, Paint, FileSystem, Blink, Media, Visninger og seriell; og alle av dem kan utnyttes via ondsinnet utformede nettsider (og i noen tilfeller ondsinnede annonser på nettsider). Disse sårbarhetene er tildelt CVE-2024-9369, CVE-2024-10487, CVE-2024-10230, CVE-2024-10231, CVE-2024-10229, CVE-2024-9965, CVE-2024-9966, CVE-2024-9959, CVE-2024-9955, CVE-2024-9602, CVE-2024-9603, CVE-2024-11116, CVE-2024-11117, CVE-2024-11110, CVE-2024-11112, CVE-2024-11114, og CVE-2024-10827.

For å fikse disse sårbarhetene, oppdater til QtWebEngine-6.8.1 eller senere ved å bruke instruksjonene fra QtWebEngine (sysv) eller QtWebEngine (systemd).

I WebKitGTK-2.46.4, to sikkerhetssårbarheter ble fikset som kunne tillate ekstern kjøring av kode og skriptangrep på tvers av nettsteder. Disse problemer kan oppstå ved behandling av ondsinnet nettinnhold, og det er mange rapporter om problemene som blir utnyttet på nettet. Det ble fikset med forbedrede kontroller og forbedret statlig styring. Hvis du har WebKitGTK installert, må du oppdatere til 2.46.4 eller nyere umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2024-44308 og CVE-2024-44309.

For å fikse disse sikkerhetsproblemene, oppdater til WebKitGTK-2.46.4 eller nyere ved å bruke instruksjonene fra WebKitGTK (sysv) eller WebKitGTK (systemd).

I libjxl-0.11.1, to sikkerhetssårbarheter ble fikset som kunne tillate kjøring av vilkårlig kode eller en tjenestenekt-tilstand (stack utmattelse som fører til en tilstand uten minne). Begge disse problemene kan utnyttes ved å åpne/laste et ondsinnet JXL bilde, men det vilkårlige kodeutførelsesproblem kan oppstå når JxlEncoderAddJPEGFrame kalles til å kode en ramme inn i en JXL fil. Disse sårbarhetene har blitt tildelt CVE-2024-11403 og CVE-2024-11498.

For å fikse disse sårbarhetene, oppdater til libjxl-0.11.1 eller senere ved å bruke instruksjoner fra libjxl (sysv) eller libjxl (systemd).

I Thunderbird-128.5.0esr, seks sikkerhetssårbarheter ble fikset som kan tillate at utvalgte listeelementer vises over et annet nettsted (ledende til nettstedsforfalskning), omgåelser av sikkerhetspolitikk for innhold, på tvers av nettsteder skripting, URL linjeforfalskning, fjernutnyttbare krasjer, upassende håndtering av tastetrykk ved kjøring av filer, og for ekstern kjøring av kode. Disse sårbarhetene har blitt tildelt CVE-2024-11692, CVE-2024-11694, CVE-2024-11695, CVE-2024-11696, CVE_2024-11697, og CVE-2024-11699.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.5.0esr eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Firefox-128.5.0esr, seks sikkerhetssårbarheter ble fikset som kan tillate at utvalgte listeelementer vises over et annet nettsted (ledende til nettstedsforfalskning), omgåelser av sikkerhetspolitikk for innhold, på tvers av nettsteder skripting, URL linjeforfalskning, fjernutnyttbare krasjer, upassende håndtering av tastetrykk ved kjøring av filer, og for ekstern kjøring av kode. Disse sårbarhetene har blitt tildelt CVE-2024-11692, CVE-2024-11694, CVE-2024-11695, CVE-2024-11696, CVE_2024-11697, and CVE-2024-11699.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-128.5.0esr eller nyere ved hjelp av instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I libsoup-3.6.1, tre sikkerhetssårbarheter ble fikset som kunne tillate smugling av HTTP-forespørsler, kjøring av vilkårlig kode og eksternt utnyttbare krasjer (og tilstander uten minne). HTTP-forespørselen Smuglingssårbarhet oppstår fordi '\0' tegn på slutten av overskriftsnavn ignoreres i noen konfigurasjoner. Den vilkårlige koden kjøringssårbarhet oppstår i applikasjoner som utfører konvertering til UTF-8 i soup_header_parse_param_list_strict på grunn av bufferoverløp, men merk at inndata mottatt over nettverket ikke kan utløse dette (og dermed kan problemet ikke utnyttes eksternt). De fjernutnyttbare krasjer (og tilstander uten minne) er forårsaket av en uendelig sløyfe under lesing av visse mønstre av WebSocket data fra klienter. Disse sårbarhetene har blitt tildelt CVE-2024-52530, CVE-2024-52531, og CVE-2024-52532.

For å fikse disse sårbarhetene, oppdater til libsoup-3.6.1 eller senere ved å bruke instruksjoner fra libsoup (sysv) eller libsoup (systemd).

I Wireshark-4.4.2, to sikkerhetssårbarheter ble fikset som kunne tillate en tjenestenekt tilstand (programkrasj og tomt for minne tilstand) ved dissekering av FiveCo RAP og ECMP pakker. Disse problemene kan utnyttes av lagde PCAP filer, men brukere trenger ikke å oppdatere hvis de ikke fanger opp pakker som bruker noen av disse protokollene. Disse sårbarhetene har blitt tildelt CVE-2024-11595 og CVE-2024-11596.

For å fikse disse sikkerhetsproblemene, oppdater til Wireshark-4.4.2 eller nyere ved å bruke instruksjonene fra Wireshark (sysv) eller Wireshark (systemd).

I PHP-8.4.1 (or 8.3.14), fem sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode (når du bruker CLI-grensesnittet til SAPI), ekstern kjøring av kode ved bruk av LDAP på et 32-bitssystem, uautorisert avsløring av MySQL-spørringssvar, ekstern kjøring av kode når du bruker Firebird og dblib sitater, CRLF-injeksjon ved konfigurering en proxy i en strømkontekst (som fører til HTTP-forespørselssmuglingangrep), og for fjernutnyttbare krasj ved bruk av convert.quoted-printable-decode filter i et program. Bevis på konsept utnyttelser for disse sårbarhetene ble offentliggjort med utgivelsen av de nye versjonene av PHP. Sårbarhetene er i en rekke undersystemer, inkludert strømmer, PUD DBLIB, PDO Firebird, MySQLnd, LDAP og CLI, og BLFS teamet anbefaler derfor å oppdatere PHP på ethvert system som brukes som en server. Disse sårbarhetene har blitt tildelt CVE-2024-8932, CVE-2024-8929, CVE-2024-11236, CVE-2024-11234, og CVE-2024-11233.

For å fikse disse sikkerhetsproblemene, oppdater til PHP-8.4.1 (eller 8.3.14) eller nyere ved hjelp av instruksjonene fra PHP (sysv) eller PHP (systemd).

I PostgreSQL-17.1, fire sikkerhetssårbarheter ble fikset som kunne tillate brukere å fullføre uautoriserte lesninger og modifikasjoner, for man-in-the-middle-angripere for å sende fabrikkerte feilmeldinger, for SET ROLE og SETT ØKTAUTORISERING for å settes til feil bruker-ID, og ​​for en uprivilegert databasebruker for å endre sensitive prosessmiljøvariabler for å oppnå vilkårlig kodekjøring. En proof of concept utnyttelse eksisterer for sårbarheten for kjøring av vilkårlig kode, men merk at den krever bruk av PostgreSQL PL/Perl-funksjonaliteten. PostgreSQL-17.1 oppdateringen introduserte noen regresjoner knyttet til disse sikkerhetsfiksene som krevde en oppfølgingsutgivelse, og BLFS teamet anbefaler å bruke PostgreSQL-17.2 som et resultat. Disse sårbarhetene har blitt tildelt CVE-2024-10976, CVE-2024-10977, CVE-2024-10978, og CVE-2024-10979.

For å fikse disse sikkerhetsproblemene, oppdater til PostgreSQL-17.2 eller senere ved å bruke instruksjonene fra PostgreSQL (sysv) eller PostgreSQL (systemd).

I glib-2.82.1, en sikkerhetssårbarhet ble fikset som kunne tillate et bufferoverløp i SOCKS4 proxy støtten innenfor glib. Problemet oppstår på grunn av en av-for-en-feil og deretter bufferoverløp pga SOCKS4_CONN_MSG_LEN i gio/gsocks4aproxy.c er ikke tilstrekkelig for en etterfølgende '\0'-tegn som set_connect_msg() legger til etter et vertsnavn. Denne sårbarheten er tildelt CVE-2024-52533.

For å fikse dette sikkerhetsproblemet, oppdater til glib-2.82.1 eller senere ved å bruke instruksjoner fra glib (sysv) eller glib (systemd).

I Thunderbird-128.4.3esr, en sikkerhetssårbarhet ble fikset som kan tillate at meldinger kryptert med OpenPGP sendes i ren tekst. Denne sårbarheten er tildelt CVE-2024-11159,

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.4.3esr eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Expat-2.6.4, en sikkerhetssårbarhet ble fikset som kunne tillate en tjenestenekt tilstand (programkrasj) ved bruk av XML_ResumeParser funksjonen på grunn av en NULL pekerdereference. Det ble fikset ved ikke å la XML_StopParser stoppe eller suspendere en ustartet parser. Merk at et program kan krasje med en XML_ERROR_NOT_STARTED hvis en utnyttelse forsøkes. Denne sårbarheten er tildelt CVE-2024-50602.

For å fikse disse sikkerhetsproblemene, oppdater til Expat-2.6.4 eller nyere ved å bruke instruksjoner fra LFS boken for Expat (sysv) eller Expat (systemd).

Merk: Hvis du har installert docbook-utils fra BLFS, må du legge til "--without-docbook" for å omgå en feil i konfigureringen, siden vår installasjon av docbook-utils bruker SGML i stedet for XML.

I wget-1.25.0, en sikkerhetssårbarhet ble fikset som kunne tillate forespørselsforfalskning på serversiden, phishing, datalekkasje og mann i midten angrep ved bruk av stenografiske FTP URLer. Sårbarheten oppstår når en semikolon brukes i en FTP URL (som gjør det mulig å hoppe over legitimasjon). Sårbarheten kan være kompleks å utnytte, men gir rom for en variasjon av angrep som skal oppstå når de utnyttes vellykket, så det er vurdert som Høy av oppstrøms. Problemet ble løst ved å ikke tillate stenografiske FTP URLer. Denne sårbarheten er tildelt CVE-2024-10524.

For å fikse dette sikkerhetsproblemet, oppdater til wget-1.25.0 eller senere ved å bruke instruksjoner fra wget (sysv) eller wget (systemd).

I cURL-8.11.0, en sikkerhetssårbarhet ble fikset som kunne tillate et mindre potensielt Denial of Service problem når du prøver å bruke HTTPS som ikke lenger fungerer, eller en klartekstoverføring av data som var ellers ment å være beskyttet. Det oppstår når utløpstiden for et underdomene overskriver et overordnet domenes cache oppføring, slik at det slutter før eller senere enn hva som opprinnelig var meningen. Problemet skyldes en sammenligning ved hjelp av feilfaktorer, og er klassifisert som Lav ved oppstrøms. Denne sårbarheten er tildelt CVE-2024-9681.

For å fikse dette sikkerhetsproblemet, oppdater til cURL-8.11.0 eller senere ved å bruke instruksjoner fra cURL (sysv) eller cURL (systemd).

I fop-2.10, en sikkerhetssårbarhet ble fikset som kunne tillate en ekstern angriper å utføre vilkårlig kode på et system under behandling av en laget FO fil. Dette skjer på grunn av en XML ekstern enhetsreferanse angrep, og kan skje uten å informere brukeren. Angrepets kompleksitet for denne sårbarheten er lav. Denne sårbarheten er tildelt CVE-2024-28168.

For å fikse dette sikkerhetsproblemet, oppdater til fop-2.10 eller senere ved å bruke instruksjoner fra fop (sysv) eller fop (systemd).

I OpenJDK-23.0.1, fem sikkerhetssårbarheter ble fikset som kunne tillate en ekstern angriper (uten nødvendige privilegier) å forårsake en fornektelse av tjenestetilstand (programkrasj) eller muligens skriv/slett/tilgang informasjon om et system som kjører en Java applikasjon. Disse sårbarhetene forekommer i Hotspot, Networking, Compiler og Serialization komponentene til OpenJDK, men er ganske utfordrende å utnytte. På grunn av dette, oppstrøms har først og fremst vurdert disse sårbarhetene som lav, med en middels alvorlighetsgrad. Disse sårbarhetene har blitt tildelt CVE-2024-21235, CVE-2024-21210, CVE-2024-21211, CVE-2024-21208, og CVE-2024-21217.

For å fikse disse sikkerhetsproblemene, oppdater til OpenJDK-23.0.1 eller senere ved å bruke instruksjonene fra OpenJDK (sysv) eller OpenJDK (systemd).

Hvis du vil bruke de forhåndsbygde binære filene, oppdater til Java-23.0.1 ved å bruke instruksjonene fra Java (sysv) eller Java (systemd).

I WebKitGTK-2.46.3, to sikkerhetssårbarheter ble fikset som kunne tillate uventede prosesskrasj og omgåelser av innholdssikkerhetspolicyer. Disse skjer begge ved behandling av ondsinnet nettinnhold, og var løst med forbedret inndatavalidering og andre kontroller. Disse sårbarhetene har blitt tildelt CVE-2024-44244 og CVE-2024-44296.

For å fikse disse sikkerhetsproblemene, oppdater til WebKitGTK-2.46.3 eller senere ved å bruke instruksjonene fra WebKitGTK (sysv) eller WebKitGTK (systemd).

I fetchmail-6.5.0, et sikkerhetsproblem ble løst der brukere kan ha en annen brukers passord på grunn av utilstrekkelige tillatelser på en brukers .netrc-fil. Dette har blitt løst ved å ikke tillate .netrc å ha mer enn 0700 tillatelser hvis den inneholder passord. Hvis .netrc filen har mer enn 0700 tillatelser, vil fetchmail nå sende ut en advarsel og ignorer filen. Ingen CVE har blitt tilordnet denne sårbarheten, men flere detaljer kan være funnet på Fetchmail Sourceforge Page.

For å fikse dette sikkerhetsproblemet, oppdater til fetchmail-6.5.0 eller senere ved å bruke instruksjoner fra fetchmail (sysv) eller fetchmail (systemd).

I libarchive-3.7.7, tre sikkerhetssårbarheter ble fikset som kan tillate et tjenestenekt (tom-minnet tilstand eller søknad krasj) når du behandler lagde GZIP eller TAR filer. Gzip problemet oppstår når du behandler en misformet gzip fil inne i en annen gzip fil, og de to tar problemene oppstår ved behandling av overskrifter og avkortede tar arkiver. Disse sårbarhetene er dokumentert oppstrøms, men ingen CVE-er har blitt tildelt for dem. Flere detaljer finnes i utgivelsesnotatene for denne pakken libarchive 3.7.7 release notes.

For å fikse disse sikkerhetsproblemene, oppdater til libarchive-3.7.7 eller senere ved å bruke instruksjonene fra libarchive (sysv) eller libarchive (systemd).

I Thunderbird-128.4.0esr, ti sikkerhetssårbarheter ble fikset som kunne tillate tillatelseslekkasjer, fjernutnyttbare krasj, brukerforvirring (for eksterne protokollbehandlere), skriptangrep på tvers av nettsteder, opprinnelsesspoofing, videorammelekkasjer, utklippstavleforfalskning og ekstern kodehenrettelse. Disse sårbarhetene har blitt tildelt CVE-2024-10458, CVE-2024-10459, CVE-2024-10460, CVE-2024-10461, CVE-2024-10462, CVE-2024-10463, CVE-2024-10464, CVE-2024-10465, CVE-2024-10466, og CVE-2024-10467.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.4.0esr eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Firefox-128.4.0esr, ti sikkerhetssårbarheter ble fikset kunne tillate tillatelseslekkasjer, fjernutnyttbare krasj, brukerforvirring (for eksterne protokollbehandlere), skriptangrep på tvers av nettsteder, opprinnelsesspoofing, videorammelekkasjer, utklippstavleforfalskning og ekstern kodehenrettelse. Disse sårbarhetene har blitt tildelt CVE-2024-10458, CVE-2024-10459, CVE-2024-10460, CVE-2024-10461, CVE-2024-10462, CVE-2024-10463, CVE-2024-10464, CVE-2024-10465, CVE-2024-10466, og CVE-2024-10467.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-128.4.0esr eller nyere ved hjelp av instruksjonene fra Firefox (sysv) eller Firefox (systemd).

Hvis du ønsker å forbli på Firefox 115esr, oppdater til Firefox-115.17.0esr ved å bruke samme instruksjoner.

I mpg123-1.32.8, en sikkerhetssårbarhet ble fikset som kunne tillate for tjenestenekt eller kjøring av vilkårlig kode ved dekoding av strømmer hvor utdataegenskapene endres, sammen med viss bruk av libmpg123. Sårbarheten må lete rundt i strømmen (inkludert skanning før faktisk dekoding) skal skje, men det er brukstilfeller der dette kan gjelde, for eksempel å sette sammen flere MP3 filer sammen med varierende formater eller ledende inforammer forbi det første sporet. Dette har fått navn som "Frankensteins monster", og har blitt klassifisert som et bufferoverløp. Denne sårbarheten er tildelt CVE-2024-10573, og flere detaljer finner du på oss-security mailing list.

For å fikse dette sikkerhetsproblemet, oppdater til mpg123-1.32.8 eller senere ved å bruke instruksjoner fra mpg123 (sysv) eller mpg123 (systemd).

I Xwayland-24.1.4, en sikkerhetssårbarhet ble fikset som kunne tillate for tjenestenekt. På systemer der X kjører som root, kan dette også forårsake lokal rettighetseskalering, men BLFS har ikke kjørt X.org-server som root siden introduksjonen av elogind i BLFS 9.0. Sårbarheten oppstår på grunn av et heap-bufferoverløp i _XkbSetCompatMap-funksjonen. heap-bufferoverløpet oppstår fordi funksjonen prøver å endre størrelsen på sym_interpret-bufferen, men oppdaterer bare antall i stedet for størrelsen på bufferen. Det kan utløses ved å gi en modifisert bitmap til serveren. Denne sårbarheten er tildelt CVE-2024-9632.

For å fikse dette sikkerhetsproblemet, oppdater til Xwayland-24.1.4 eller senere ved å bruke instruksjonene fra Xwayland (sysv) eller Xwayland (systemd).

I Xorg-Server-21.1.14, et sikkerhetsproblem ble fikset som kunne tillate tjenestenekt eller ekstern kjøring av kode (hvis serveren kjøres over VNC eller med SSH X Forwarding). På systemer der X kjører som root, kan dette også brukes til å forårsake lokal rettighetseskalering, men BLFS har ikke kjør X.org-serveren som root siden introduksjonen av elogind i BLFS 9.0. Sårbarheten oppstår på grunn av et heap-bufferoverløp i _XkbSetCompatMap-funksjon. heap-bufferoverløpet oppstår fordi funksjonen prøver å endre størrelsen på sym_interpret-bufferen, men oppdaterer bare antall i stedet for størrelsen på bufferen. Det kan utløses ved å gi en modifisert bitmap til serveren. Denne sårbarheten er tildelt CVE-2024-9632.

For å fikse dette sikkerhetsproblemet, oppdater til Xorg-Server-21.1.14 eller senere ved å bruke instruksjonene fra Xorg-Server (sysv) eller Xorg-Server (systemd).

I tillegg, hvis du har TigerVNC installert, oppgrader TigerVNC for å håndtere denne sårbarheten ved å bruke instruksjonene fra TigerVNC (sysv) eller TigerVNC (systemd).

I Wireshark-4.4.1, to sikkerhetssårbarheter ble fikset som kunne tillate denial of service (programkrasj) via fangst av defekte pakker, eller åpne en laget fangstfil. Problemene oppstår i AppleTalk, RELOAD og ITS pakkedissektorer. Hvis du bruker noen av disse tre protokoller, bør du oppdatere Wireshark for å forhindre krasj. Disse sårbarhetene har blitt tildelt CVE-2024-9780 og CVE-2024-9781.

For å fikse disse sikkerhetsproblemene, oppdater til Wireshark-4.4.1 eller senere ved å bruke instruksjonene fra Wireshark (sysv) eller Wireshark (systemd).

I Spidermonkey-128.3.1esr, en sikkerhetssårbarhet ble fikset som kunne tillate minnekorrupsjon på grunn av JavaScript søppelsamleren misfarging av tverrrom objekter hvis en tilstand med tom minne var oppdaget på rett punkt mellom to pasninger. Merk at hvis du ikke ønsker å oppgradere til 128.3.1esr (og dermed også oppdatere gjs), kan du bruke Spidermonkey-115.16.1esr. Denne sårbarheten er tildelt CVE-2024-8384.

For å fikse dette sikkerhetsproblemet, oppdater til Spidermonkey-128.3.1esr eller nyere ved hjelp av instruksjonene fra Spidermonkey (sysv) eller Spidermonkey (systemd).

Hvis du oppdaterer denne pakken, må du oppdatere Gjs til gjs-1.82.0 eller senere ved å bruke instruksjonene fra Gjs (sysv) eller Gjs (systemd).

Hvis du ønsker å bli på Spidermonkey-115, vennligst oppdater til Spidermonkey-115.16.1esr ved å bruke de samme instruksjonene som brukes i BLFS 12.2. Du trenger ikke oppdatere Gjs hvis du bruker denne tilnærmingen.

I Thunderbird-128.3.2esr, en sikkerhetssårbarhet ble fikset som kunne tillate ekstern kjøring av kode. Sårbarheten oppstår i en animasjon komponent av den delte Gecko komponenten, og kan dermed utnyttes av en ondsinnet HTML e-post. På grunn av den kritiske karakteren til denne sårbarheten, anbefales det sterkt at du oppdaterer Thunderbird umiddelbart. Problemet blir aktivt utnyttet. Denne sårbarheten er tildelt CVE-2024-9680.

For å fikse dette sikkerhetsproblemet, oppdater til Thunderbird-128.3.2esr eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I QtWebEngine-6.8.0, tre sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode. Disse sårbarhetene oppstår i medfølgende kopi av Chromium, og er i Skia-, V8- og Dawn-komponentene. Skia saken skyldes en out-of-bounds skriving, V8-saken skyldes en type forvirring som fører til out-of-bounds minnetilgang, og Dawn-problemet gir mulighet for heap korrupsjon på grunn av en bruk etter gratis. Hvis du har QtWebEngine installert, anbefales det sterkt å oppdatere til denne versjonen. Disse sårbarhetene har blitt tildelt CVE-2024-9123, CVE-2024-9122, og CVE-2024-9120.

For å fikse disse sikkerhetsproblemene, oppdater til QtWebEngine-6.8.0 eller nyere ved å bruke instruksjonene fra QtWebEngine (sysv) eller QtWebEngine (systemd).

I Thunderbird-128.3.0esr, tolv sikkerhetsoppdateringer ble fikset som kunne tillate ekstern kjøring av kode, omgåelser av sandkasse, tilgang på tvers av opprinnelse til PDF- og JSON-innhold gjennom flerdelte svar, omgåelser av tillatelser, uautoriserte mappeopplastinger, clickjacking og fjernutnyttbare krasjer. Disse sårbarhetene har blitt tildelt CVE-2024-9392, CVE-2024-9393, CVE-2024-9394, CVE-2024-8900, CVE-2024-9396, CVE-2024-9397, CVE-2024-9398, CVE-2024-9399, CVE-2024-9400, CVE-2024-9401, og CVE-2024-9402.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.3.0esr eller senere ved å bruke instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Firefox-128.3.1esr, tolv sikkerhetsoppdateringer ble fikset som kunne tillate ekstern kjøring av kode, omgåelser av sandkasse, tilgang på tvers av opprinnelse til PDF og JSON innhold gjennom flerdelte svar, omgåelser av tillatelser, uautoriserte mappeopplastinger, clickjacking og fjernutnyttbar krasjer. Ett av disse problemene er kjent for å bli utnyttet og er vurdert som kritisk. Det anbefales på det sterkeste at du oppdaterer Firefox øyeblikkelig. Disse sårbarhetene har blitt tildelt CVE-2024-9392, CVE-2024-9393, CVE-2024-9394, CVE-2024-8900, CVE-2024-9396, CVE-2024-9397, CVE-2024-9398, CVE-2024-9399, CVE-2024-9400, CVE-2024-9401, CVE-2024-9402, og CVE-2024-9680.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-128.3.1esr eller nyere ved å bruke instruksjonene fra Firefox (sysv) eller Firefox (systemd).

Hvis du ønsker å forbli på Firefox 115 esr, oppdater til Firefox-115.16.1esr ved å følge de samme instruksjonene.

Flere sikkerhetssårbarheter ble oppdaget i libcupsfilters, libppd, og cups-surd, som har blitt lenket sammen for å gi rom for ekstern kjøring av kode. Det har ikke vært en ny oppstrømsutgivelse, så BLFS teamet har utviklet oppdateringer. Sårbarhetene gir rom for informasjonslekkasje, ekstern kjøring av kode og fjernutnyttbare krasj. Disse sårbarheter blir for tiden aktivt utnyttet. Sårbarhetene krever ingen brukerinteraksjon for å utnyttes, og de krever ingen autentisering. Hvis du kjører en CUPS server som er tilgjengelig fra internett, eller hvis du bruker et offentlig WiFi nettverk, bør du bruke oppdateringene øyeblikkelig. Disse sårbarhetene har blitt tildelt CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177, og CVE-2024-47850.

For å fikse disse sårbarhetene, gjenoppbygg libppd, libcupsfilters og cups-browsed med oppdateringene ved hjelp av instruksjonene fra libppd (sysv) eller libppd (systemd), libcupsfilters (sysv) eller libcupsfilters (systemd), og cups-browsed (sysv) eller cups-browsed (systemd).

I Unbound-1.21.1, en sikkerhetssårbarhet ble fikset som kunne tillate for en fjernutnyttbar tjenestenekt. Det kan utnyttes av angriper ved å spørre Unbound for det spesiallagde innholdet i en ondsinnet sone med svært store RR-sett. Før Unbound svarer på spørringen, vil den prøve å bruke navnekomprimering, som ikke hadde noen grenser før denne oppdaterigen, og ville låse CPU-en til pakken var ferdig komprimert. Denne sårbarheten er tildelt CVE-2024-8508.

For å fikse dette sikkerhetsproblemet, oppdater til Unbound-1.21.1 eller senere ved å bruke instruksjoner fra Unbound (sysv) eller Unbound (systemd).

I xdg-desktop-portal-1.18.4, en sikkerhetssårbarhet ble fikset som gir mulighet for en sandkasseflukt via RequestBackground portalen. Dette tillater også vilkårlig kjøring av kommandoer, i noen tilfeller med privilegier eskalert til root. Dette kan skje når en angriper manipulerer --command argumentet til org.freedesktop.portal.Background.RequestBackground grensesnittet, som kommandoer blir feiltolket som alternativer for Bubblewrap. Dette er kjent for føre til uautorisert datatilgang, systemkompromittering og i ett tilfelle så langt, etablere utholdenhet på et system. Denne oppdateringen bør vurderes som haster, spesielt hvis du åpner filer levert av ikke-klarerte kilder. Denne oppdateringen krever også en oppdatering til Bubblewrap på samme tid for å være effektive. Det er proof of concept utnyttelser som eksisterer for flere GNOME- og KDE-applikasjoner. Denne sårbarheten er tildelt CVE-2024-32462.

Merk at de fleste sårbarhetsnettsteder sporer dette som et problem i Flatpak. BLFS har ikke Flatpak, men er fortsatt sårbar pga feilen i xdg-desktop-portal.

For å fikse disse sikkerhetsproblemene, oppdater til Bubblewrap-0.10.0 eller senere ved å bruke instruksjonene fra Bubblewrap (sysv) eller Bubblewrap (systemd).

Etter at dette er gjort, oppdater til xdg-desktop-portal-1.18.4 eller senere ved å bruke instruksjonene fra xdg-desktop-portal (sysv) eller xdg-desktop-portal (systemd).

I libgsf-1.14.53, to sikkerhetssårbarheter ble løst som kunne tillate kjøring av vilkårlig kode ved behandling av en ondsinnet fil i sammensatt dokument binært filformat. Begge disse problemene er heap buffer overløp forårsaket av heltallsoverløp. Problemene kan utnyttes uten interaksjon hvis Tumbler (fra XFCE) eller tracker-miners (fra GNOME) er installert, da det eneste kravet er å ha en ondsinnet fil et sted i brukerens hjemmemappe (for eksempel via en drive-by-nedlasting). På grunn av dette er det sterkt anbefalt at du oppdaterer libgsf umiddelbart hvis du har den installert. Begge proof of concept utnyttelsene er også gjort offentlig. Merk at utnyttelse også er mulig i BLFS via Gnumeric og AbiWord- og CDF-formater som brukes ofte i ting som Microsoft Office dokumenter. Disse sårbarhetene er tildelt CVE-2024-42415 og CVE-2024-36474.

For å fikse disse sikkerhetsproblemene, oppdater til libgsf-1.14.53 eller senere ved å bruke instruksjonene fra libgsf (sysv) eller libgsf (systemd).

I QtWebEngine-6.7.3, 45 sikkerhetssvakheter ble fikset som kunne tillate ekstern kjøring av kode, sandbox-escapes, informasjonsavsløring, UI-spoofing, policy-omgåelser og vilkårlig lesing/skriving av filer på systemet. Disse kan alle utnyttes av ondsinnede utvidelser, ondsinnet HTML filer, ondsinnede PDF-filer, eller i noen tilfeller ondsinnede skrifter. Problemene er alle i den medfølgende kopien av Chromium, og de påvirker ANGLE, V8, WebAudio, Frames, CSS, FedCM, Dawn, Loader, Navigation, Screen Capture, WebAssembly, Swiftshader, CORS, Audio, PDFium, Skia, Tillatelser, Fonter, og planleggingskomponenter. På grunn av mengden av sårbarheter og alvorlighetsgraden av dem, bør alle brukere som har denne pakken installert oppdatere til QtWebEngine-6.7.3 umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2024-7532, CVE-2024-7550, CVE-2024-7536, CVE-2024-7535, CVE-2024-6996, CVE-2024-7000, CVE-2024-6999, CVE-2024-6992, CVE-2024-6991, CVE-2024-6989, CVE-2024-6779, CVE-2024-6777, CVE-2024-6774, CVE-2024-6101, CVE-2024-6103, CVE-2024-5836, CVE-2024-6291, CVE-2024-6293, CVE-2024-6292, CVE-2024-6290, CVE-2024-5840, CVE-2024-5841, CVE-2024-5845, CVE-2024-5847, CVE-2024-5846, CVE-2024-5831, CVE-2024-5832, CVE-2024-8362, CVE-2024-8198, CVE-2024-8193, CVE-2024-7969, CVE-2024-7972, CVE-2024-7974, CVE-2024-7975, CVE-2024-7966, CVE-2024-7973, CVE-2024-7967, CVE-2024-7971, CVE-2024-7965, CVE-2024-8636, CVE-2024-8905, CVE-2024-5160, CVE-2024-5159, CVE-2024-5158, og CVE-2024-5157.

For å fikse disse sikkerhetsproblemene, oppdater til QtWebEngine-6.7.3 eller nyere ved å bruke instruksjonene fra QtWebEngine (sysv) eller QtWebEngine (systemd).

I Qt6-6.7.3, et sikkerhetsproblem ble fikset i HTTP/2-komponenten som kan føre til beslutninger angående kryptering på en etablert tilkobling å kjøre for tidlig, fordi det krypterte()-signalet ennå ikke ble sendt ut og behandlet. Dette kan tillate at data ved et uhell ende opp ukryptert når den overføres over HTTP/2 ved hjelp av en applikasjon som bruker Qt. Qt var oppdatert for å forsinke enhver kommunikasjon til kryptert() kan bli behandlet kun for HTTP/2. Denne sårbarheten er tildelt CVE-2024-39936.

For å fikse dette sikkerhetsproblemet, oppdater til Qt6-6.7.3 eller senere ved å bruke instruksjoner fra Qt6 (sysv) eller Qt6 (systemd).

I intel-microcode-20240910, to maskinvaresårbarheter er fikset. Den første kan tillate informasjonsavsløring ved bruk av 3. generasjon Intel Xeon skalerbare CPUer. For mer informasjon om denne sårbarheten, vennligst les Intel-SA-01103. Den andre sårbarheten kan tillate tjenestenekt ved bruk av 10.-14. generasjons Core-prosessorer, samt Intel Xeon D-linjen av prosessorer og 3. generasjons Intel Xeon-skalerbare prosessorer. For mer detaljer og en fullstendig liste over berørte prosessorer, vennligst les Intel-SA-01097. Disse sårbarhetene har blitt tildelt CVE-2024-23984 og CVE-2024-24968.

Sjekk om CPU-en din er påvirket ved å kjøre lscpu og sammenligne de utgitte familie-, modell- og trinnverdiene med verdier gitt ovenfor og i Intel-SA-01097 og Intel-SA-01103. Hvis systemet ditt er sårbart, oppdater til intel-microcode-20240910 eller nyere ved hjelp av instruksjonene for Om Fastvare (sysv) eller Om Fastvare (systemd).

Vær også oppmerksom på at denne mikrokodeutgivelsen ikke inneholder rettelsen for det beryktede stabilitetsproblemet til den 13. og 14. Intel Core prosessorer. Med tanke på at dette problemet kan forårsake permanent CPU skade under stor arbeidsbelastning anbefaler LFS redaktørene å oppdatere BIOS til en versjon som innebygger mikrokoderevisjon 0x129 eller nyere ASAP hvis du bruker en 13. eller 14. kjerneprosessor (spesielt en i9), selv om du ikke kjører et LFS system. Problemet kan ikke løses uten BIOS oppdatering.

I PHP-8.3.12, tre sikkerhetssårbarheter ble fikset som kunne tillate for uautorisert endring av logger, omgå force_redirect konfigurasjon, og for brudd på dataintegritet ved behandling av multipart skjemadata. Den uautoriserte endringen av loggsårbarheten skjer i FPM modulen, og sårbarheten kan også brukes til å fjerne data fra systemlogger hvis PHP er satt opp til å bruke syslog. Brudd på dataintegritet sårbarhet oppstår i SAPI modulen, og omgåelsen av force_redirect konfigurasjonen skjer i CGI modulen. Dette problemet oppstår på grunn av en miljøvariabel kollisjon. Disse sårbarhetene har blitt tildelt CVE-2024-8297, CVE-2024-8925, og CVE-2024-9026.

For å fikse disse sikkerhetsproblemene, oppdater til PHP-8.3.12 eller nyere ved å bruke instruksjoner fra PHP (sysv) eller PHP (systemd).

I cURL-8.10.0, en sikkerhetssårbarhet ble fikset som, når cURL er bygget med gnutls, kan tillate en feil i OCSP stapling, som betyr at et ugyldig serversertifikat feilaktig kan vurderes gyldig i stedet for å bli behandlet som et dårlig sertifikat. Denne sårbarheten er tildelt CVE-2024-8096.

For å fikse dette sikkerhetsproblemet, oppdater til cURL-8.10.0 eller senere ved å bruke instruksjoner fra cURL (sysv) eller cURL (systemd).

I Ghostscript-10.04.0, seks sikkerhetssårbarheter ble fikset som kan tillate programkrasj og vilkårlig kodekjøring mens det behandles utformede PostScript og PDF dokumenter. Dette kan også bli utnyttet via en ondsinnet utskriftsjobb. Ytterligere detaljer om sikkerhetssårbarhetene har ikke blitt offentliggjort på dette tidspunktet av oppstrøms. Disse sårbarhetene er tildelt CVE-2024-46951, CVE-2024-46952, CVE-2024-46953, CVE-2024-46954, CVE-2024-46955, og CVE-2024-46956.

For å fikse disse sikkerhetsproblemene, oppdater til Ghostscript-10.04.0 eller nyere ved hjelp av instruksjonene fra Ghostscript (sysv) eller Ghostscript (systemd).

I Seamonkey-2.53.19, 37 sikkerhetssårbarheter ble fikset som kunne tillate ekstern kjøring av kode, dekryptering av data til ren tekst (på Intel Sandy Bridge maskiner), minnekorrupsjon, fjernutnyttbar applikasjon krasjer, skripting på tvers av nettsteder, rømming av sandkasse, avsløring av informasjon og omgå innholdssikkerhetspolicyen. 0.0.0.0 dagers sikkerhetsproblemet er også løst i Seamonkey, selv om det ikke har blitt løst i QtWebEngine eller Firefox ennå. 0.0.0.0 dagers sårbarhet gjør det mulig for localhost APIer å bli utnyttet av forfalskning av forespørsler på tvers av nettsteder, og flere proof of concept utnyttelser eksisterer. Noen eksempler på at dette angrepet blir utnyttet inkluderer eBay utfører portskanning på systemer når en side lastes inn. Portskanningen var utført via JavaScript. Denne oppdateringen bringer Seamonkey opp på nivå med Firefox 115.14.0esr for sikkerhetsrettinger. Disse sårbarhetene er tildelt CVE-2024-29944, CVE-2024-3852, CVE-2024-3854, CVE-2024-3857, CVE-2024-2609, CVE-2024-3859, CVE-2024-3861, CVE-2024-3302, CVE-2024-3864, CVE-2024-4367, CVE-2024-4767, CVE-2024-4768, CVE-2024-4769, CVE-2024-4770, CVE-2024-4777, CVE-2024-5702, CVE-2024-5688, CVE-2024-5690, CVE-2024-5691, CVE-2024-5693, CVE-2024-5696, CVE-2024-5700, CVE-2024-7652, CVE-2024-6601, CVE-2024-6602, CVE-2024-6603, CVE-2024-6604, CVE-2024-7519, CVE-2024-7521, CVE-2024-7522, CVE-2024-7524, CVE-2024-7525, CVE-2024-7526, CVE-2024-7527, CVE-2024-7529, og CVE-2024-7531.

For mer informasjon om 0.0.0.0 dagers sikkerhetssårbarhet, vennligst besøk the Oligo Security blog post about the issue.

For å fikse disse sikkerhetsproblemene, oppdater til Seamonkey-2.53.19 eller nyere ved å bruke instruksjonene fra Seamonkey (sysv) eller Seamonkey (systemd).

I tiff-4.7.0, to sikkerhetssårbarheter ble fikset som kunne tillate for et tjenestenekt (programkrasj via en segmenteringsfeil) når det ble behandlet lagete TIFF filer. Dette skjer i TIFFReadRGBATileExt() funksjon, samt i tir_difinfo.c. Begge disse feilene kan utnyttes via en nettleser eller en bildeviser. Disse sårbarhetene har blitt tildelt CVE-2023-52356 og CVE-2024-7006.

For å fikse disse sårbarhetene, oppdater til tiff-4.7.0 eller senere ved å bruke instruksjoner fra libtiff (sysv) eller libtiff (systemd).

Merk at denne utgivelsen av tiff også gjenoppretter alle verktøyene som ble fjernet i tiff-4.6.0.

I libarchive-3.7.5, to sikkerhetssårbarheter ble fikset som kunne tillate ekstern kjøring av kode ved behandling av utformede RAR4 arkiver. Minst ett av disse problemene, en proof of concept utnyttelse har blitt gjort offentlig. Begge sårbarhetene er klassifisert som heap buffer overflows. Disse sårbarhetene har blitt tildelt CVE-2024-20696 og CVE-2024-26256.

For å fikse disse sikkerhetsproblemene, oppdater til libarchive-3.7.5 eller senere ved å bruke instruksjonene fra libarchive (sysv) eller libarchive (systemd).

I Python-3.12.6, tre sikkerhetssårbarheter ble fikset som kunne tillate tjenestenektforhold (krasj og overdreven ressursbruk). Disse problemene oppstår i HTTP funksjonaliteten samt håndtering av TAR og ZIP arkiver i Python. HTTP problemet oppstår under parsing "-sitert" informasjonskapselverdier med skråstreker fra http.cookies. Det er en kvadratisk kompleksitetsproblem. Problemet med parsing av tarfilhodet oppstår pga tilbakesporing, og skjer ved parsing av hdrcharset, PAX og GNU sparse overskrifter. ZIP problemet forårsaker uendelige løkker, og ble løst ved å rense navn i zipfile.Path. Merk at rettelsen for CVE-2023-27043, en ekstern kode utførelsesproblemet i e-postmodulen, ble betydelig forbedret i denne oppdateringen også. Disse sårbarhetene har blitt tildelt CVE-2024-7592, CVE-2024-6232, og CVE-2024-8088.

For å fikse disse sikkerhetsproblemene, oppdater til Python-3.12.6 eller senere ved å bruke instruksjoner fra Python3 (sysv) eller Python3 (systemd).

I OpenSSL-3.3.2, et sikkerhetsproblem ble fikset som kunne tillate for tjenestenekt (programkrasj) mens sertifikatet utfører navnekontroller på X.509-sertifikater. Apper som utfører disse kontrollene kan forsøk å lese en ugyldig minneadresse, noe som vil resultere i avslutning av programmet. Dette skjer når man sammenligner det forventede navnet med en 'otherName' emne alternativt navn i et sertifikat. Denne sårbarheten er tildelt CVE-2024-6119.

For å fikse dette sikkerhetsproblemet, oppdater til OpenSSL-3.3.2 eller nyere ved å bruke instruksjoner fra LFS boken for OpenSSL (sysv) eller OpenSSL (systemd).

I Expat-2.6.3, tre kritiske sikkerhetssårbarheter ble fikset som kan tillate tjenestenekt og kjøring av vilkårlig kode. To av problemer påvirker bare 32-biters installasjoner av LFS, mens ett problem påvirker alle arkitekturer. Den høyest prioriterte sikkerhetssårbarheten forårsaker minnekorrupsjon, og oppnå vilkårlig kodekjøring med det er trivielt siden XML_ParseBuffer ikke vil legge merke til at det er et problem med argumenter sendt til den. De to andre problemene er 32-biters spesifikke problemer, og disse er begge klassifisert som heltallsoverløp. De forekommer i de interne funksjonene dtdCopy og nextScaffoldPart. LFS teamet anbefaler å oppdatere Expat så snart som mulig for å beskytte systemet ditt. Disse sårbarhetene har blitt tildelt CVE-2024-45490, CVE-2024-45491, og CVE-2024-45492.

For å fikse disse sikkerhetsproblemene, oppdater til Expat-2.6.3 eller nyere ved å bruke instruksjoner fra LFS boken for Expat (sysv) eller Expat (systemd).

Merk: Hvis du har installert docbook-utils fra BLFS, må du legge til "--without-docbook" for å omgå en feil i konfigureringen, siden vår installasjon av docbook-utils bruker SGML i stedet for XML.

I Thunderbird-128.2.0esr, åtte sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, falske angrep, minnekorrupsjon, uventet åpning av eksterne applikasjoner, som interne hendelsesgrensesnitt eksponert for nettinnhold uventet, fjernutnyttbar typeforvirring sårbarheter og fjernutnyttbare krasj. Disse sårbarhetene har blitt tildelt CVE-2024-8394, CVE-2024-8385, CVE-2024-8381, CVE-2024-8382, CVE-2024-8383, CVE-2024-8384, CVE-2024-8386, og CVE-2024-8387.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.2.0esr eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Firefox-128.2.0esr, syv sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, falske angrep, minnekorrupsjon, uventet åpning av eksterne applikasjoner, som interne hendelsesgrensesnitt eksponert for nettinnhold uventet, og for eksternt utnyttelig type forvirringssårbarheter. Disse sårbarhetene har blitt tildelt CVE-2024-8385, CVE-2024-8381, CVE-2024-8382, CVE-2024-8383, CVE-2024-8384, CVE-2024-8386, og CVE-2024-8387.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-128.2.0esr eller nyere ved hjelp av instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I Ruby-3.3.5, fire sikkerhetssårbarheter ble fikset som kunne tillate for tjenestenekt (programkrasj) ved behandling av laget XML filer med REXML gem som er innebygd i Ruby. Dette kan skje med spesifikke tegn (som <, 0, %>, >], ]> og blanktegn), samt ved behandling av XML som har mange enhetsutvidelser eller XML som har mange dype elementer som har de samme lokale navneattributter. Hvis du behandler ubetrodd XML med Ruby, er det sterkt anbefalt at du oppdaterer umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2024-39908, CVE-2024-41123, CVE-2024-41946, og CVE-2024-43398.

For å fikse disse sårbarhetene, oppdater til Ruby-3.3.5 eller nyere ved å bruke instruksjoner fra Ruby (sysv) eller Ruby (systemd).

I apr-1.7.5, et sikkerhetsproblem ble fikset som tillater lokale brukere å ha lesetilgang til navngitte delte minnesegmenter, potensielt avslørende sensitive applikasjonsdata. Dette skjer på grunn av slappe tillatelser som er satt av apr biblioteket ved kjøretid. Hvis du bruker et program som bruker apr (f.eks. subversion, serf eller Apache HTTPD) som også bruker sensitive data, anbefales det sterkt at du oppdaterer apr så snart som mulig. Denne sårbarheten er tildelt CVE-2023-49582.

For å fikse dette sikkerhetsproblemet, oppdater til apr-1.7.5 eller senere ved å bruke instruksjoner fra apr (sysv) eller apr (systemd).

I libpcap-1.10.5, en sikkerhetssårbarhet ble fikset som kunne tillate for en tjenestenekt-tilstand (applikasjonkrasj) når en applikasjon bruker pcap_findalldevs_ex() funksjonen. Et av argumentene kan være en filsystembane, som normalt betyr en mappe med inndatafiler. Men når den angitte banen ikke kan brukes som en mappe, vil funksjonen motta NULL fra opendir(), men sjekker ikke returverdien og sender NULL verdien til readdir(), som forårsaker en NULL peker avvisning. Merk at funksjonen som kreves for denne, støtte for ekstern pakkefangst, er deaktivert som standard. Denne sårbarheten er tildelt CVE-2024-8006.

For å fikse dette sikkerhetsproblemet, oppdater til libpcap-1.10.5 eller nyere ved å bruke instruksjoner fra libpcap (sysv) eller libpcap (systemd).

Elementer mellom utgivelsene av 12.1 boken og 12.2 boken

I p7zip-17.04, to sikkerhetssårbarheter ble oppdaget som kunne tillate ekstern kjøring av kode via bufferoverløp og utenfor grensene ved behandling av NTFS volumer. Sårbarhetene ble oppdatert av OpenSUSE, og BLFS teamet har tilpasset oppdateringen deres til bruk i boka. Hvis du behandler NTFS volumer ved hjelp av p7zip, er det anbefalt at du gjenoppbygger p7zip med oppdateringen i boken så snart som mulig. Disse sårbarhetene har blitt tildelt CVE-2023-52168 og CVE-2023-52169.

For å fikse disse sårbarhetene, bruk oppdateringen til p7zip ved å bruke instruksjoner fra p7zip (sysv) eller p7zip (systemd).

I Dovecot-2.3.19.1, to sikkerhetssårbarheter ble fikset som kunne tillate ressursbruk når du behandler store e-posthoder. En av disse problemene oppstår når man ser veldig store e-posthoder, mens et annet problem oppstår når det er et stort antall adresseoverskrifter. Problemet med et stort antall adressehoder ble observert i en kundens produksjonsmiljø, der det vil ta 18+ minutter å behandle en enkelt e-post. Oppgradering av Dovecot anbefales på det sterkeste hvis du bruke Dovecot i et produksjonsmiljø. Disse sårbarhetene har blitt tildelt CVE-2024-23185 og CVE-2023-23184.

For å fikse disse sikkerhetsproblemene, oppdater til Dovecot-2.3.19.1 eller senere ved å bruke instruksjonene fra Dovecot (sysv eller Dovecot (systemd).

I Unbound-1.21.0, tre sikkerhetssårbarheter ble fikset som kunne tillate DNS Cache-forgiftningsangrep og fjernutnyttbare krasj. DNS Cache Poisoning-angrep er kjent som CacheFlush, mens CAMP-angrepet gir mulighet for fjernutnyttbare krasj på de fleste DNS-serverimplementeringer. Bare én CVE for disse sårbarhetene er utstedt, men to papirer ble publisert for CAMP og CacheFlush. Denne sårbarheten er tildelt CVE-2024-43167.

Ytterligere informasjon finnes i papirene fra 33. USENIX Sikkerhetssymposium. De finner du på CAMP Paper og CacheFlush Paper.

For å fikse disse sikkerhetsproblemene, oppdater til Unbound-1.21.0 eller senere ved å bruke instruksjoner fra Unbound (sysv) eller Unbound (systemd).

I intel-microcode-20240813, fire maskinvaresårbarheter er fikset. Den første kan tillate en eskalering av privilegier når det brukes Intel 7. til 12. generasjon Core-prosessorer, så vel som mange Celeron-, Pentium Gold- og Xeon-prosessorer; les Intel-SA-01083 for den nøyaktige listen over berørte prosessorer. Den andre kan tillate et tjenestenekt ved bruk av Intel 3. generasjon Intel Xeon skalerbare prosessorer (ved hjelp av mikrokodefilen 06-55-0b). Den tredje kan tillate en eskalering av rettigheter på 3. generasjons Intel Xeon D-prosessor, og 3., 4. eller 5. generasjon Intel Xeon skalerbare prosessorer (med mikrokodefiler 06-6a-06, 06-6c-01, 06-8f-07, 06-8f-08, eller 06-cf-02). Den fjerde kan tillate en eskalering av privilegier når det brukes Intel Core Ultra-prosessorer basert på Meteor Lake-mikro arkitektur (ved hjelp av mikrokodefilen 06-aa-04). Disse sårbarhetene har blitt tildelt CVE-2024-24853, CVE-2024-25939, CVE-2024-24980, og CVE-2023-42667. Utgivelsesnotatet til denne mikrokodeutgivelsen nevner også CVE-2023-49141 (Intel-SA-01046), men det var allerede fikset med intel-mikrokode-20240514.

Sjekk om CPU-en din er påvirket ved å kjøre lscpu og sammenligne de utgitte familie-, modell- og trinnverdiene med verdier gitt ovenfor og i Intel-SA-01083. Hvis sårbar, oppdater til intel-microcode-20240813 eller nyere ved å bruke instruksjonene for About Firmware (sysv) eller About Firmware (systemd) for å fikse disse sårbarhetene.

Merk at den første 20240813-utgivelsen mangler oppdateringen for 06-a5-03 mikrokodefil og utgivelsen har blitt gjenskapt i det stille uten versjonsstøt. Så hvis du bruker denne mikrokodefilen, sørg for at mikrokoderevisjonen er oppdatert til 0xfc. Hvis den er oppdatert til 0xfa i stedet, må du laste ned mikrokoden på nytt og installere det igjen.

Vær også oppmerksom på at denne mikrokodeutgivelsen ikke inneholder rettelsen for det beryktede stabilitetsproblemet til den 13. og 14. Intel Core prosessorer. Siden dette problemet kan det føre til permanent CPU skade under stor arbeidsbelastning anbefaler LFS redaktørene å oppdatere BIOS til en versjon som innebygger mikrokoderevisjon 0x129 eller nyere ASAP hvis du er ved å bruke en 13. eller 14. kjerneprosessor (spesielt en i9), selv om du ikke kjører et LFS system. Foreløpig er det usikkert om en fremtidig mikrokode utgivelsen kan løse problemet uten en BIOS oppdatering.

I urllib3-2.2.2, to sikkerhetssårbarheter ble fikset som kunne tillate utilsiktet avsløring av informasjon via HTTP-headeren "Cookie", og for at innholdet i HTTP forespørselsorganer utilsiktet skal lekkes etter omdirigeringer. Disse sårbarhetene er både vanskelige å utnytte og krever at flere uvanlige forhold stilles. Disse sårbarhetene har blitt tildelt CVE-2023-45803 og CVE-2023-45804.

For å fikse disse sikkerhetsproblemene, oppdater til urllib3-2.2.2 eller senere ved å bruke instruksjoner fra urllib3 (sysv) eller urllib3 (systemd).

I idna-3.7, en sikkerhetssårbarhet ble fikset som kunne tillate en spesiallaget ugyldig inngang for å forårsake en eksepsjonelt stor mengde av ressursforbruket, øker kvadratisk avhengig av kompleksiteten til inndataen. Dette gjelder funksjonen idna.encode(). Denne sårbarheten er tildelt CVE-2024-3651.

For å fikse dette sikkerhetsproblemet, oppdater til idna-3.7 eller senere ved å bruke instruksjoner fra idna (sysv) eller idna (systemd).

I PostgreSQL-16.4, en sikkerhetssårbarhet ble fikset som kunne tillate for relasjonserstatning under pg_dump, som vil kjøre vilkårlig SQL kommandoer. En angriper i stand til å lage og slippe ikke-midlertidige objekter kan injisere SQL kode som vil bli utført av en samtidig pg_dump sesjon med privilegiene til rollen som kjører pg_dump (ofte en superbruker). Angrepet innebærer å erstatte en sekvens eller lignende objekt med en visning eller fremmed tabell som vil kjøre ondsinnet kode. For å forhindre dette har oppstrøms lagt til en ny serverparameter kalt "restrict_nonsystem_relation_kind" som kan deaktivere utvidelse av ikke-innebygde visninger, samt tilgang til fremmede tabeller, og oppstrøms modifisert pg_dump for å angi den når den er tilgjengelig. Merk at du må ha både pg_dump *og* serveren den ble dumpet fra oppdatert for å ha denne løsningen. Problemet er klassifisert som et TOCTOU problem. Denne sårbarheten er tildelt CVE-2024-7348.

For å fikse dette sikkerhetsproblemet, oppdater til PostgreSQL-16.4 (eller 15.8, 14.13, 13.16 eller 12.20) eller senere ved å bruke instruksjonene from PostgreSQL (sysv) eller PostgreSQL (systemd).

I Thunderbird-128.1.0esr, ti sikkerhetssårbarheter ble fikset som kan tillate at varslingsdialoger i full skjerm blir skjult, ekstern kode utførelse, avsløring av informasjon, rømming av sandkasse, fjernutnyttbar krasjer, skripting på tvers av nettsteder, omgåelser av tillatelser og for sikkerhet umiddelbar tilsløring. Disse sårbarhetene har blitt tildelt CVE-2024-7518, CVE-2024-7519, CVE-2024-7520, CVE-2024-7521, CVE-2024-7522, CVE-2024-7525, CVE-2024-7526, CVE-2024-7527, CVE-2024-7528, og CVE-2024-7529.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.1.0esr eller nyere ved hjelp av instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I Firefox-128.1.0esr (or 115.14.0), tolv sikkerhetssårbarheter ble fikset som kunne tillate fullskjermvarslingsdialoger skjult, ekstern kjøring av kode, avsløring av informasjon, rømming av sandkasse, fjernutnyttbare krasjer, scripting på tvers av nettsteder, innholdssikkerhet policyomgåelser, omgåelser av tillatelser, tilsløring av sikkerhetsspørsmål og for utilsiktet dekryptering av data (på Sandy Bridge-prosessorer). Disse sårbarhetene har blitt tildelt CVE-2024-7518, CVE-2024-7519, CVE-2024-7520, CVE-2024-7521, CVE-2024-7522, CVE-2024-7524, CVE-2024-7525, CVE-2024-7526, CVE-2024-7527, CVE-2024-7528, CVE-2024-7529, and CVE-2024-7531.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-128.1.0esr (eller 115.14.0) eller senere ved å bruke instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I SpiderMonkey-115.14.0, en sikkerhetssårbarhet ble fikset som kunne tillate et eksternt utnyttbart krasj forårsaket av en bruk-etter-fri når uventet merkearbeid ved oppstart av feiing under søppelhenting inntreffer. Sårbarheten ble også fikset i Firefox og Thunderbird. Denne sårbarheten er tildelt CVE-2024-7527.

For å fikse dette sikkerhetsproblemet, oppdater til SpiderMonkey-115.14.0 eller nyere ved hjelp av instruksjonene fra SpiderMonkey (sysv) eller SpiderMonkey (systemd).

I cURL-8.9.1, en sikkerhetssårbarhet ble fikset som kunne tillate en krasj eller potensielt lekkasje av innholdet i haugminnet til applikasjonen når CURLINFO_CERTINFO brukes. Dette skjer fordi libcurl sin GTime2str() funksjon, som brukes til å analysere en ASN.1 generalisert tidsfelt, kan returnere en -1 for lengden av tidsbrøken, som fører til et strlen() kall som blir utført på en peker til et haugbufferområde, dvs ikke NULL avsluttet. Standard BLFS konfigurasjonen er upåvirket med mindre du brukte GnuTLS som TLS backend i stedet for OpenSSL. Denne sårbarheten er tildelt CVE-2024-7264.

For å fikse dette sikkerhetsproblemet, oppdater til cURL-8.9.1 eller senere ved å bruke instruksjoner fra cURL (sysv) eller cURL (systemd).

I libxml2-2.13.3, en sikkerhetssårbarhet ble fikset som kunne tillate for XML External Entity injeksjonsangrep. Dette ble notert i minst et nedstrømsprosjekt, men ytterligere detaljer er ikke tilgjengelig for publikum på tidspunktet for denne rådgivningen. Denne sårbarheten er tildelt CVE-2024-40896.

For å fikse dette sikkerhetsproblemet, oppdater til libxml2-2.13.3 eller nyere ved å bruke instruksjoner fra libxml2 (sysv) eller libxml2 (systemd).

I OpenJDK-22.0.2, fem sikkerhetssårbarheter ble fikset som kunne tillate uautorisert endring, avsløring og sletting av data tilgjengelig av OpenJDK. Fire av disse sårbarhetene er tilstede i Hotspot komponenten, og den andre sårbarheten er tilstede i 2D komponenten. Alle disse kan utnyttes eksternt og uten autentisering. Disse sårbarhetene har blitt tildelt CVE-2024-21147, CVE-2024-21145, CVE-2024-21140, CVE-2024-21131, og CVE-2024-21138.

For å fikse disse sikkerhetsproblemene, oppdater til OpenJDK-22.0.2 (eller bruk forhåndsbygde Java binærfiler) ved å bruke instruksjonene fra OpenJDK (sysv) eller OpenJDK (systemd).

I cURL-8.9.0, en sikkerhetssårbarhet ble fikset som kunne tillate at et krasj oppstår når en server gir en spesiallaget TLS sertifikat. Dette skjer i funksjonen utf8asn1str() i ASN.1-parseren. Merk at i noen tilfeller der malloc implementeringen ikke oppdager denne feilen, kan dette potensielt tillate ekstern kjøring av kode. Denne sårbarheten er tildelt CVE-2024-6197.

For å fikse dette sikkerhetsproblemet, oppdater til cURL-8.9.0 eller senere ved å bruke instruksjoner fra cURL (sysv) eller cURL (systemd).

I BIND-9.18.28, fire sikkerhetssårbarheter ble fikset som kunne tillate en angriper å fjernkrasje DNS serveren. Merk at dette kun påvirker serveren, og ikke verktøyene. En av disse sårbarhetene er i SIG0 støtten, som ble fjernet helt i denne utgivelsen. Alle brukere som driver en offentlig tilgjengelig DNS server anbefales å oppgradere til denne utgivelsen så snart som mulig. Disse sårbarhetene har blitt tildelt CVE-2024-0760, CVE-2024-1737, CVE-2024-1975, og CVE-2024-4076.

For å fikse disse sikkerhetsproblemene, oppdater til BIND-9.18.28 eller senere ved å bruke instruksjoner fra BIND (sysv) eller BIND (systemd).

I vorbis-tools-1.4.2, en sikkerhetssårbarhet ble oppdaget som kan tillate kjøring av vilkårlig kode eller tjenestenekt ved behandling av en laget WAV fil og konverterer den til en OGG ved å bruke 'oggenc' kommandoen. Problemet har blitt klassifisert som et bufferoverløp. Denne sårbarheten er tildelt CVE-2023-43361.

For å fikse denne sårbarheten, gjenoppbygg vorbis-verktøy med sed-kommandoen som løser dette problemet ved å bruke instruksjonene fra vorbis-tools (sysv) eller vorbis-tools (systemd).

I Exiv2-0.28.3, en sikkerhetssårbarhet ble fikset som kunne tillate for et tjenestenekt (out-of-bounds read) når metadataene analyseres av en laget ASF videofil. Denne sårbarheten er tildelt CVE-2024-39695.

For å fikse dette sikkerhetsproblemet, oppdater til Exiv2-0.28.3 eller senere ved å bruke instruksjoner fra Exiv2 (sysv) or Exiv2 (systemd).

I Wireshark-4.2.6, en sikkerhetssårbarhet ble fikset som kunne tillate for at applikasjonen kan krasje ved behandling av en feilformet SPRT-pakke. Dette kan skje mens du fanger pakker på wire, eller når du ser på en pcap-fil. Ingen CVE er tilordnet for denne sårbarheten, men flere detaljer kan være funnet på Wireshark Security Advisory.

For å fikse dette sikkerhetsproblemet, oppdater til Wireshark-4.2.6 eller senere ved å bruke instruksjoner fra Wireshark (sysv) eller Wireshark (systemd).

I Thunderbird-128.0esr (og 115.13.0esr), flere sikkerhetssårbarheter ble fikset som kunne tillate ekstern kjøring av kode, brukerforvirring som gjør det mulig å gi uautoriserte tillatelser, flytte markøren utenfor Thunderbird-vinduet, krasjer og blokkerer utgang fra fullskjermmodus, omgår innholdssikkerhetspolicy, og for informasjonskapsler å være sendt utilsiktet. Nore at de fleste av disse sårbarhetene påvirker bare HTML-post. Disse sårbarhetene har blitt tildelt CVE-2024-6606, CVE-2024-6607, CVE-2024-6608, CVE-2024-6609, CVE-2024-6610, CVE-2024-6601, CVE-2024-6602, CVE-2024-6603, CVE-2024-6611, CVE-2024-6612, CVE-2024-6613, CVE-2024-6614, CVE-2024-6604, CVE-2024-6615.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-128.0esr (eller 115.13.0esr) eller senere ved å bruke instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Node.js 20.15.1 tre sikkerhetssårbarheter (på Linux) ble fikset som kan tillate å endre eieren eller tillatelsene til en fil når du bruker --allow-fs-write eller --allow-fs-read flagg; og omgå sikkerheten ved dataimport fra url-linjen, noe som tillater kjøring av vilkårlig kode. Disse sårbarhetene er tildelt CVE-2024-20220, CVE-2024-36137, CVE-2024-22018,

For å fikse dette oppdater til Node.js-20.15.1 eller senere ved å bruke instruksjoner for: Node.js (sysv) eller Node.js (systemd).

I Firefox-128.0esr (og 115.13.0esr), flere sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, brukerforvirring som tillater at uautoriserte tillatelser blir gitt, flytter markøren utenfor Firefox vinduet, krasjer, blokkering av utgang fra fullskjermmodus, innholdssikkerhet retningslinjer omgås, og at informasjonskapsler sendes utilsiktet. Disse sårbarhetene har blitt tildelt CVE-2024-6606, CVE-2024-6607, CVE-2024-6608, CVE-2024-6609, CVE-2024-6610, CVE-2024-6601, CVE-2024-6602, CVE-2024-6603, CVE-2024-6611, CVE-2024-6612, CVE-2024-6613, CVE-2024-6614, CVE-2024-6604, CVE-2024-6615.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-128.0esr (eller 115.13.0esr) eller senere ved å bruke instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I GTK+-3.24.43, en sikkerhetssårbarhet ble fikset som kunne tillate for bibliotekinjeksjon fra gjeldende arbeidsmappe hvis sikker miljøvariabler ble satt. Det er et offentlig bevis på konseptet som bruker filnavnet til et vanlig GTK+-bibliotek og en miljøvariabel. Denne sårbarheten er tildelt CVE-2024-6655.

For å fikse dette sikkerhetsproblemet, oppdater til GTK+-3.24.43 eller senere ved å bruke instruksjoner fra GTK+-3 (sysv) eller GTK+-3 (systemd).

I MIT Kerberos V5 1.21.3, to sikkerhetssårbarheter ble fikset som kan tillate en angriper å endre klarteksten Extra Count feltet til et konfidensielt GSS token, og for en angriper å forårsake ugyldig minne lesing under GSS meldingstokenhåndtering (ved å sende meldinger med ugyldige lengdefelt). Oppdatering anbefales hvis du bruker serverkomponent. Disse sårbarhetene har blitt tildelt CVE-2024-37370 og CVE-2024-37371.

For å fikse disse sikkerhetsproblemene, oppdater til MIT Kerberos V5 1.21.3 eller nyere ved hjelp av instruksjonene fra MIT Kerberos V5 eller MIT Kerberos V5.

I Emacs-29.4, en sikkerhetssårbarhet ble fikset som kunne tillate for vilkårlige skallkommandoer som skal kjøres mens du er i Org-modus (den innebygde e-postklienten). Det er et offentlig proof of concept tilgjengelig, og denne sårbarhet er triviell å utnytte. Hvis du bruker organisasjonsmodus i Emacs, må du oppdatere Emacs umiddelbart. Ingen CVE er tilordnet for denne sårbarheten, men detaljer er tilgjengelig i oss-security posting.

For å fikse dette sikkerhetsproblemet, oppdater til Emacs-29.4 eller nyere ved å bruke instruksjoner fra Emacs (sysv) eller Emacs (systemd).

I QtWebEngine-6.7.2, syv sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode. Alle disse problemene oppstår i medfølgende versjon av Chromium, og skjer i WebRTC, Dawn, Media Session, Strømmer API og V8-komponenter i Chromium. Flere av disse problemene er kjent for å bli aktivt utnyttet, så det anbefales at du oppdaterer så snart som mulig. Disse sårbarhetene har blitt tildelt CVE-2024-5493, CVE-2024-5494, CVE-2024-5495, CVE-2024-5496, CVE-2024-5499, CVE-2024-5274, og CVE-2024-4948.

For å fikse disse sårbarhetene, oppdater til QtWebEngine-6.7.2 eller nyere ved å bruke instruksjonene fra QtWebEngine (sysv) eller QtWebEngine (systemd).

I Python-3.12.4, en sikkerhetssårbarhet ble fikset som kunne tillate at feil informasjon skal returneres om hvorvidt visse IPv4 og IPv6 adresser ble utpekt som "globalt tilgjengelige" eller "private". Dette oppstod på grunn av unøyaktig informasjon fra IANA Special-Purpose Address Registries. Merk at dette kun påvirker deg hvis du bruker "ipaddress" Python modulen, inkludert i Python standardbiblioteket. Python 3.12.4 fikser dette ved å oppdatere informasjonen fra IANA Special-Purpose Address Register til siste versjon. Denne sårbarheten er tildelt CVE-2024-4032.

For å fikse dette sikkerhetsproblemet, oppdater til Python-3.12.4 eller nyere ved å bruke instruksjoner fra Python3 (sysv) eller Python3 (systemd).

Hvis du vedlikeholder et eldre system, må du tilbakeportere CPython PR 113179 til din versjon av Python og deretter gjenoppbygge den.

I OpenSSL-3.3.1, tre sikkerhetssårbarheter ble fikset som kunne tillate tjenestenekt (programkrasj, ubegrenset ressurstilgang, og overdreven tid brukt i en funksjon). Applikasjonkrasjer oppstår når du bruker SSL_free_buffers()-funksjonen, og det forårsaker bruk etter gratis fordi den kan få tilgang til minne som tidligere har blitt frigjort i noen situasjoner. Sikkerheten med overdreven tid oppstår når du sjekker DSA-nøkler og parametere. Den ubegrensede ressurstilgangen skjer med økthåndtering i TLS 1.3-tilkoblinger. Disse sårbarhetene har blitt tildelt CVE-2024-2511, CVE-2024-4603, og CVE-2024-4741.

For å fikse disse sikkerhetsproblemene, oppdater til OpenSSL-3.3.1 eller nyere ved å bruke instruksjonene fra LFS boken for OpenSSL (sysv) eller OpenSSL (systemd).

Hvis du vedlikeholder et eldre system, vennligst bruk OpenSSL-3.1.6, OpenSSL-3.2.2, eller OpenSSL-3.0.14 i stedet, siden de har de samme rettelsene og var utgitt samtidig med denne oppdateringen.

I httpd-2.4.61, åtte sikkerhetssårbarheter ble fikset. Flere detaljer på Changes with Apache 2.4.60. Disse sårbarhetene har blitt tildelt CVE-2024-39573, CVE-2024-38477 og CVE-2024-38476 og CVE-2024-38475 og CVE-2024-38474 og CVE-2024-38473 og CVE-2024-38472 og CVE-2024-36387.

For å fikse disse sikkerhetsproblemene, oppdater til httpd-2.4.61 eller senere ved å bruke instruksjonene fra Apache HTTPD (sysv) eller Apache HTTPD (systemd).

I OpenSSH-9.8p1, en sikkerhetssårbarhet ble fikset som kunne tillate vilkårlig ekstern kjøring av kode med root-privilegier gjennom å utnytte en rasebetingelse i autentiseringsfunksjonene. Altså omgås all autentisering. Sårbarheten har allerede vist seg å virke på 32-biters (i686) systemer og er teoretisk mulig på 64-biters (x86_64) systemer også. Dette sikkerhetsproblemet har kodenavnet RegreSSHion og har blitt tildelt CVE-2024-6387

For å fikse dette sikkerhetsproblemet, oppdater enten til OpenSSH-9.8p1 ​​eller nyere ved hjelp av instruksjonene fra OpenSSH (sysv) eller OpenSSH (systemd), eller bruk en midlertidig reduksjon ved å sette LoginGraceTime til 0 i /etc/ssh/sshd_config

For å fikse disse sårbarhetene, oppdater til cryptsetup-2.7.3 eller nyere ved hjelp av instruksjonene fra cryptsetup (sysv) eller cryptsetup (systemd)

I SpiderMonkey-115.12.0, en sikkerhetssårbarhet ble fikset som kan tillate en potensielt utnyttbar krasj hvis søppelinnsamling ble utløst til rett tid. Sårbarheten oppstår på grunn av en use-after-free under objekttransplantasjon. Denne sårbarheten er tildelt CVE-2024-5688

For å fikse dette sikkerhetsproblemet, oppdater til SpiderMonkey-115.12.0 eller nyere ved hjelp av instruksjonene fra SpiderMonkey (sysv) eller SpiderMonkey (systemd)

I Firefox-115.12.0esr, syv sikkerhetssårbarheter ble fikset som kan tillate potensielt utnyttbare krasj, sandkassebegrensning bypass, lekkasje av eksterne protokollbehandlere, minnekorrupsjon, fjernkontroll kodeutførelse og bildelekkasjer på tvers av opprinnelse. Disse sårbarhetene har blitt tildelt CVE-2024-5702, CVE-2024-5688, CVE-2024-5690, CVE-2024-5691, CVE-2024-5693, CVE-2024-5696, og CVE-2024-5700.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-115.12.0esr eller nyere ved hjelp av instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I CUPS-2.4.9, en sikkerhetssårbarhet ble fikset som kunne tillate privilegieeskalering og gir mulighet for verdensskrivbare filer i spesielle konfigurasjoner. Hvis et Listen alternativ i konfigurasjonsfilene peker på en symbolsk lenke, vil CUPS utføre en vilkårlig chmod til 0140777 av den plasseringen. Det er et proof-of-concept inne i sårbarhetsrapporten som nå er offentlig. Hvis du bruker en symbolsk lenke i Listen alternativet, vennligst oppdater til CUPS-2.4.9 så snart som mulig, spesielt hvis du bruker IPP. Denne sårbarheten er tildelt CVE-2024-35235

For å fikse dette sikkerhetsproblemet, oppdater til CUPS-2.4.9 eller senere ved å bruke instruksjoner fra CUPS (sysv) eller CUPS (systemd).

I libaom-3.9.1, en sikkerhetssårbarhet ble fikset som kunne tillate kjøring av vilkårlig kode ved avspilling av en laget videofil. Dette er primært fjernutnyttbar via nettlesere. Dette problemet er klassifisert som et heap-korrupsjonsproblem, og er kjent for å bli utnyttet i Chromium. Denne sårbarheten er tildelt CVE-2024-5493.

For å fikse dette sikkerhetsproblemet, oppdater til libaom-3.9.1 eller senere ved å bruke instruksjoner fra libaom (sysv) eller libaom (systemd).

I VTE-0.76.3, en sikkerhetssårbarhet ble fikset som tillater en angriper å forårsake et tjenestenektproblem (minneforbruk) via en escape-sekvens for endring av vindu. Sårbarheten ble løst ved å legge til grenser for XTERM_WM og rense VteTerminal størrelsesforespørselen til like under grensen. Problemet ble opprinnelig utnyttet i XFCE Terminal, men ble senere utnyttet i gnome-terminal også. Dette ligner på CVE-2000-0476. Denne sårbarheten er tildelt CVE-2024-37535.

For å fikse dette sikkerhetsproblemet, oppdater til VTE-0.76.3 eller nyere ved å bruke instruksjoner fra VTE (sysv) eller VTE (systemd).

I Libreoffice-24.2.4.2, en sikkerhetssårbarhet ble fikset som kunne tillate ukontrollert skriptkjøring i Graphics on-click bindingen. Dette lar en angriper lage et dokument som vil kjøre skript uten spørsmål innebygd i dokumentet når du klikker på grafikk. Disse skriptene ble tidligere ansett som klarert, men anses nå som uklarerte. Ytterligere to feil ble fikset som kunne tillate krasj ved åpning eller behandling av dokumenter, på grunn av heltallsoverløp og tilgang utenfor grensene. Denne sårbarheten er tildelt CVE-2024-3044.

For å fikse dette sikkerhetsproblemet, oppdater til Libreoffice-24.2.4.2 eller senere ved å bruke instruksjonene fra Libreoffice (sysv) eller Libreoffice (systemd).

For å fikse dette sikkerhetsproblemet, oppdater til VLC-3.0.21 ved å følge instruksjonene fra VLC (sysv) eller VLC (systemd).

I PHP-8.3.8, fire sikkerhetssårbarheter ble fikset som kunne tillate for argumentinjeksjon ved bruk av CGI, for en filterbypass i filter_var FILTER_VALIDATE_URL, for et OpenSSL Marvin Attack, og for operativsystem kommandoinjeksjon. Operativsystemets kommandoinnsprøytning og argumentasjon injeksjonssårbarheter er kjent for å bli aktivt utnyttet, og bevis for konseptutnyttelse er tilgjengelig for publikum. Det anbefales at du oppdater PHP umiddelbart hvis du kjører det på en offentlig webserver. Disse sårbarhetene har blitt tildelt CVE-2024-5585, CVE-2024-2408, CVE-2024-5458, og CVE-2024-4577.

For å fikse disse sikkerhetsproblemene, oppdater til PHP-8.3.8 eller nyere ved å bruke instruksjoner fra PHP (sysv) eller PHP (systemd).

I libvpx-1.14.1,en sikkerhetssårbarhet ble fikset som kunne tillate for heltallsoverløp i beregningene av bufferstørrelser og forskyvninger når man kaller vpx_img_alloc() med en stor verdi av d_w, d_h eller align parametere. Dette kan føre til at ugyldige felt returneres i vpx_image_t struct, og kan forårsake tjenestenekt eller ekstern kode utførelse. Denne sårbarheten er tildelt CVE-2024-5197.

For å fikse dette sikkerhetsproblemet, oppdater til libvpx-1.14.1 eller senere ved å bruke instruksjoner fra libvpx (sysv) eller libvpx (systemd).

I plasma-workspace-6.0.5.1 (og 5.27.11.1), en sikkerhetssårbarhet ble fikset som kunne tillate uautoriserte tilkoblinger på grunn av feil tillatte tilkoblinger via ICE på samme vert som Plasma kjører på. Dette lar en annen bruker på samme maskin få tilgang til øktbehandleren, og kan utnyttes til å utføre vilkårlig kodekjøring i konteksten til gjeldende bruker ved neste pålogging på maskinen. Denne sårbarheten er tildelt CVE-2024-36041.

Fordi utviklingsbøkene har flyttet til Plasma 6, bør du oppgradere til plasma-workspace-5.27.11.1 ved å laste ned og manuelt installere den etter Plasma 5 hvis du er på BLFS 12.1.

Hvis du bruker gjeldende utviklingsbøker, vennligst oppdater til plasma-workspace-6.0.5.1 ved å bruke instruksjonene fra Plasma (sysv) eller Plasma (systemd).

I MariaDB-10.11.8, et sikkerhetsproblem ble fikset som kunne tillate for uautorisert opprettelse, modifikasjon eller sletting av data lagret i en MySQL forekomst. Selve sårbarheten er vanskelig å utnytte, men kan utføres lokalt uten spesielle rettigheter. Denne sårbarheten er tildelt CVE-2024-21096.

For å fikse dette sikkerhetsproblemet, oppdater til MariaDB-10.11.8 eller senere ved å bruke instruksjoner fra MariaDB (sysv) eller MariaDB (systemd).

I Thunderbird-115.11.0, seks sikkerhetssårbarheter ble fikset som kan tillate kjøring av vilkårlig kode, vilkårlig JavaScript kjøring, potensielle omgåelser av tillatelser, lekkasje av svar på tvers av opprinnelse og krasj når du lagrer sider til PDF filer. Det vilkårlige sikkerhetsproblemet for kjøring av JavaScript er i PDF.js, og er kjent for å bli aktivt utnyttet. Disse sårbarhetene har blitt tildelt CVE-2024-4367, CVE-2024-4767, CVE-2024-4768, CVE-2024-4769, CVE-2024-4770, og CVE-2024-4777.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-115.11.0 eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Firefox-115.11.0esr, seks sikkerhetssårbarheter ble fikset som kan tillate kjøring av vilkårlig kode, vilkårlig JavaScript kjøring, potensielle omgåelser av tillatelser, lekkasje av svar på tvers av opprinnelse og krasj når du lagrer sider til PDF filer. Det vilkårlige sikkerhetsproblemet for kjøring av JavaScript er i PDF.js, og er kjent for å bli aktivt utnyttet. Disse sårbarhetene har blitt tildelt CVE-2024-4367, CVE-2024-4767, CVE-2024-4768, CVE-2024-4769, CVE-2024-4770, og CVE-2024-4777.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-115.11.0esr eller nyere ved hjelp av instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I SpiderMonkey-115.11.0, en sikkerhetssårbarhet ble fikset som kunne tillate kjøring av vilkårlig kode når du kaller IsDiamondPattern funksjonen. Denne sårbarheten ble nylig utnyttet i pdf.js, og tillatter for vilkårlig kjøring av JavaScript kode ved behandling av en laget PDF fil. Denne sårbarheten er relevant for to CVE numre: CVE-2024-4367 og CVE-2024-4777.

For å fikse dette sikkerhetsproblemet, oppdater til SpiderMonkey-115.11.0 eller senere ved å bruke instruksjonene fra SpiderMonkey (sysv) eller SpiderMonkey (systemd).

I WebKitGTK-2.42.2, et sikkerhetsproblem ble fikset som kan tillate en angriper med vilkårlige lese og skrive evner å omgå pekerautentisering. Sårbarheten ble løst med forbedret sjekker, og den er kjent for å ha blitt utnyttet. Denne sårbarheten er tildelt CVE-2024-27834.

For å fikse dette sikkerhetsproblemet, oppdater til WebKitGTK-2.42.2 eller senere ved å bruke instruksjonene fra WebKitGTK (sysv) eller WebKitGTK (systemd).

I OpenJDK-22.0.1, fire sikkerhetssårbarheter ble fikset som kunne tillate tjenestenekt (programkrasj) eller uautorisert lesing, modifisering og sletting av data. Disse sårbarhetene er alle nettverks utnyttbare som kan utnyttes uten behov for autentisering eller brukerinteraksjon, og de er i komponentene Hotspot og Networking. Disse sårbarhetene har blitt tildelt CVE-2024-21011, CVE-2024-21068, CVE-2024-21094, og CVE-2024-21012.

For å fikse disse sikkerhetsproblemene, oppdater til OpenJDK-22.0.1 (eller bruk forhåndsbygde Java-binærfiler) ved å bruke instruksjonene fra OpenJDK (sysv) eller OpenJDK (systemd).

I PostgreSQL-16.3 (samt 15.7 og 14.12), en sikkerhetssårbarhet ble fikset som kunne tillate en uprivilegert databasebruker å lese det meste av vanlige verdier og annen statistikk fra CREATE STATISTICS kommandoer utført av andre brukere. De vanligste verdiene vil avsløre kolonneverdier som angriperen ellers ikke kunne lese, eller resultater av funksjoner som de ikke kan utføre. Installering av en upåvirket versjon fikser imidlertid bare ferske PostgreSQL installasjoner, nemlig de som er opprettet med initdb verktøyet etter å ha installert den versjonen. På grunn av dette, modifikasjoner på evt databaser du måtte ha må kjøres. Disse modifikasjonene er beskrevet senere i denne veiledningen. Denne sårbarheten er tildelt CVE-2024-4317.

For å fikse dette sikkerhetsproblemet, oppdater til PostgreSQL-16.3 (eller 15.7 eller 14.12) ved hjelp av instruksjonene fra PostgreSQL (sysv) eller PostgreSQL (systemd).

Etter å ha installert den nye versjonen av pakken, må eksisterende databaser oppdateres for å fikse sårbarheten, så vel som mal databaser. Følgende kommandoer forutsetter at du bruker "test" databasen opprettet i boken, så du må endre navnet for evt nye databaser du har opprettet. Kjør følgende kommandoer som root bruker.

echo "\i /usr/share/postgresql/fix-CVE-2024-4317.sql" | (su - postgres -c '/usr/bin/psql test')
echo "ALTER DATABASE template0 WITH ALLOW_CONNECTIONS true;" | (su - postgres -c '/usr/bin/psql template0')
echo "\i /usr/share/postgresql/fix-CVE-2024-4317.sql" | (su - postgres -c '/usr/bin/psql template0')
echo "ALTER DATABASE template0 with ALLOW_CONNECTIONS false;" | (su - postgres -c '/usr/bin/psql template0')
echo "ALTER DATABASE template1 with ALLOW_CONNECTIONS true;" | (su - postgres -c '/usr/bin/psql template1')
echo "\i /usr/share/postgresql/fix-CVE-2024-4317.sql" | (su - postgres -c '/usr/bin/psql template1')
echo "ALTER DATABASE template1 with ALLOW_CONNECTIONS false;" | (su - postgres -c '/usr/bin/psql template1')

I QtWebEngine-6.7.1, sytten sikkerhetssårbarheter ble fikset som kunne tillate ekstern kjøring av kode gjennom utformede HTML sider, for en fjernutnyttbar sandbox escape, for vilkårlig lesing/skriving av filer via ondsinnede HTML sider, for fjernutnyttbare krasj, innholds sikkerhetsregler omgåelse, og for avsløring av sensitiv informasjon. Flere av disse sårbarhetene har blitt utnyttet nylig, og det er anbefalt at du oppdaterer til denne versjonen av QtWebEngine umiddelbart. Hvis du fortsatt bruker en Qt5 basert versjon av QtWebEngine, BLFS teamet anbefaler at du migrerer til Qt6, Qt6 versjonen av QtWebEngine, og siste versjon av Falkon så snart som mulig. Disse sårbarhetene er tildelt CVE-2024-3516, CVE-2024-3157, CVE-2024-3159, CVE-2024-2887, CVE-2024-2885, CVE-2024-2626, CVE-2024-2625, CVE-2024-7104, CVE-2024-4060, CVE-2024-4058, CVE-2024-3840, CVE-2024-3914, CVE-2024-3837, CVE-2024-3839, CVE-2024-4671, CVE-2024-4368, og CVE-2024-4331.

For å fikse disse sårbarhetene, oppdater til QtWebEngine-6.7.1 ved hjelp av instruksjoner fra QtWebEngine (sysv) eller QtWebEngine (systemd).

I Qt6-6.7.1, to sikkerhetssårbarheter ble løst som kunne tillate stabelmodifisering samt forutsigbar kryptering til å oppstå når du bruker nettverksautentisering i Qt. Stabelmodifikasjonens sårbarhet oppstår i QtBase, og kan i noen tilfeller tillate at en ekstern angriper endrer tilstanden til en applikasjon mens den kjører hvis applikasjonen bruker QStringDecoder (og hvis en angriper kan fortelle applikasjonen å bruke en bestemt kodek). Det forutsigbare krypteringssårbarheten oppstår fordi QAbstractOAuth bare bruker tiden til å så PRNG. Disse sårbarhetene er tildelt CVE-2024-33861 og CVE-2024-36048.

For å fikse disse sikkerhetsproblemene, oppdater til Qt-6.7.1 eller nyere ved å bruke instruksjoner fra Qt6 (sysv) eller Qt6 (systemd).

I intel-microcode-20240514, fire maskinvaresårbarheter er fikset. En av dem kan tillate tjenestenekt når du bruker Intel Core Ultra prosessorer som tilhører Meteor Lake plattformen pga en ugyldig sekvens av prosessorinstruksjoner. En annen av disse sårbarheter gjør det mulig å avsløre informasjon under visse omstendigheter på grunn av kjøreforhold i maskinvarelogikk. Dette påvirker prosessorer som tilhører Meteor Lake (Intel Core Ultra familien) så vel som Alder Lake, Raptor Lake og Arizona Beach prosessorer. Dette inkluderer den 12 Generasjonsfamilie av Intel CPUer samt 13. generasjon, Intel Kjerneprosessor N familien, Pentium Gold prosessorfamilien og Atom C serien med prosessorer. De andre sikkerhetssårbarhetene påvirker Intel Xeon skalerbare servere med støtte for Trust Domain Extensions. I dette I tilfelle kan en heving av privilegier forekomme. Disse sårbarhetene er tildelt CVE-2023-46103, CVE-2023-45733, CVE-2023-45745, og CVE-2023-47855.

Sjekk om CPUen din er påvirket ved å kjøre lscpu og sammenligne de utgitte familie, modell og trinn verdiene med verdier gitt ovenfor. Hvis den er sårbar, oppdater til intel-microcode-20240514 eller nyere ved å bruke instruksjonene for Om Fastvare (sysv) eller Om Fastvare (systemd) for å fikse disse sårbarhetene.

I glib-2.80.2, en sikkerhetssårbarhet ble fikset som kunne tillate unicast forfalskning som kan skje med tjenester som bruker GDBus. Dette inkluderer flere systemtjenester, inkludert NetworkManager og andre. Dette tillater for andre brukere av en delt datamaskin å sende falske D-Bus signaler som en GDBus basert klient feilaktig vil tolke som å ha blitt sendt av pålitelig systemtjeneste, som vil forårsake feil oppførsel med en applikasjonsavhengig påvirkning. Denne sårbarheten er tildelt CVE-2024-34397.

For å fikse dette sikkerhetsproblemet, oppdater til glib-2.80.2 eller nyere ved å bruke instruksjoner fra glib2 (sysv) eller glib2 (systemd).

I ghostscript-10.03.1, fem sikkerhetssårbarheter ble fikset som kan tillate krasj, skallinjeksjon og ekstern kjøring av kode når det behandles PostScript filer (inkludert utskriftsjobber). Disse sårbarhetene kan utnyttes ved å bruke en rekke drivere i GhostScript for å sende utskriftsjobber, samt når du bruker GhostScript til å konvertere og vise PostScript filer. Disse sårbarhetene har blitt tildelt CVE-2024-33869, CVE-2024-52722, CVE-2024-33870, CVE-2024-33871, og CVE-2024-29510.

For å fikse disse sikkerhetsproblemene, oppdater til ghostscript-10.03.1 eller nyere ved hjelp av instruksjonene fra ghostscript (sysv) eller ghostscript (systemd).

I gdk-pixbuf-2.42.12, en sikkerhetssårbarhet ble fikset som kunne tillate haugminnekorrupsjon (og dermed vilkårlig kodekjøring eller et krasj) når du behandler biter i en laget ANI fil. ANI filer er Animerte markører for Windows, men kan indekseres av Tracker og kan bli sett i noen applikasjoner. Denne sårbarheten er tildelt CVE-2022-48622.

For å fikse dette sikkerhetsproblemet, oppdater til gdk-pixbuf-2.42.12 eller senere ved å bruke instruksjonene fra gdk-pixbuf (sysv) eller gdk-pixbuf (systemd).

I Wireshark-4.2.5, tre sikkerhetssårbarheter ble fikset som kunne tillate uendelige løkker ved behandling av MONGO og ZigBee TLV pakker, så vel som for krasj ved redigering av utformede pakker ved hjelp av 'editcap'-verktøyet. I 'editcap'-verktøyet oppstår sårbarhetene når du injiserer hemmeligheter mens du skriver flere filer, og når du hakker byte fra begynnelsen av en pakke. Hvis du bruker 'editcap' verktøyet eller behandler MONGO og ZigBee TLV pakker, anbefaler BLFS-teamet at du oppdaterer Wireshark. Disse sårbarhetene har blitt tildelt CVE-2024-4854, CVE-2024-4853, og CVE-2024-4855.

For å fikse disse sikkerhetsproblemene, oppdater til Wireshark-4.2.5 eller nyere ved å bruke instruksjonene fra Wireshark (sysv) eller Wireshark (systemd).

I libxml2-2.12.7, en sikkerhetssårbarhet ble fikset som kunne tillate en bufferoverlesing når du formaterer feilmeldinger med 'xmllint --htmlout'. Dette påvirker bare xmllint verktøyet, og sårbarhet oppstår i xmlHTMLPrintFileContext() funksjonen i xmllint.c. xmllint verktøyet vil krasje når en ondsinnet fil behandles, og oppstrøms har dermed vurdert sårbarheten som lav. Denne sårbarheten er tildelt CVE-2024-34459.

For å fikse dette sikkerhetsproblemet, oppdater til libxml2-2.12.7 eller senere ved å bruke instruksjoner fra libxml2 (sysv) eller libxml2 (systemd).

I gst-plugins-base-1.24.3, en sikkerhetssårbarhet ble fikset som kunne tillate et heap basert bufferoverløp i EXIF bildetagg parseren når du behandler en viss feilaktig fil. Dette vil tillate en ondsinnet tredjepart for å utløse et krasj i applikasjonen, samt oppnå kodeutførelse gjennom heap manipulasjon. På grunn av måten gstreamer er pakket, må hele stabelen oppdateres for å fikse dette sikkerhetsproblemet. Denne sårbarheten er tildelt CVE-2024-4453.

For å fikse dette sikkerhetsproblemet, oppdater gstreamer stakken til 1.24.3 ved hjelp av instruksjonene fra gstreamer (sysv) eller gstreamer (systemd).

I git-2.45.0, fire sikkerhetssårbarheter ble fikset som tillot et ondsinnet depot å kjøre ondsinnet kode ved kloningstid og opprette harde koblinger til filer utenfor det klonede depotet. Disse sårbarhetene er tildelt CVE-2024-32002, CVE-2024-32004, CVE-2024-32020, og CVE-2024-32021.

For å fikse disse sårbarhetene, oppdater til git-2.45.1 eller senere ved å bruke instruksjonene fra git (sysv) eller git (systemd).

I en iconv modul for Glibc-2.39 og tidligere, en sikkerhetsårbarhet ble funnet som kan tillate ekstern kjøring av kode via nettverkstjenester som kjører på systemet (en utnyttelse via PHP baserte nettapplikasjoner er vist). Og i Name Service Cache Daemon, eller NSCD for Glibc, ble det funnet fire sårbarheter som kan tillate en tjenestenekt. NSCD har blitt deaktivert i Glibc bygget siden LFS 12.1, men tidligere LFS utgivelser kjører kanskje fortsatt en sårbar NSCD. iconv sårbarheten er tildelt CVE-2024-2961, og NSCD sårbarhetene har blitt tildelt CVE-2024-33599, CVE-2024-33600, CVE-2024-33601, og CVE-2024-33602.

For å fikse iconv sårbarheten, oppdater til Glibc-2.39 eller nyere ved å bruke instruksjonene fra LFS boken for Glibc (sysv) eller Glibc (systemd), men bruk en annen oppdatering etter å ha brukt glibc-2.39-fhs-2.patch. For å oppdatere Glibc fra 2.38 eller tidligere til 2.39 trygt på et kjørende system, er det nødvendig med noen ekstra forholdsregler som dokumentert i en "Important" boks i bokdelen for Glibc. Følg det strengt ellers kan du gjøre systemet helt ubrukelig. DU ER ADVART. For LFS 12.0 og tidligere vil oppdateringsprosessen også deaktivere og fjerne NSCD for å bli kvitt NSCD sårbarhetene.

I libarchive-3.7.4, en sikkerhetssårbarhet ble fikset som kunne tillate ekstern kjøring av kode ved behandling av et laget RAR arkiv på grunn av en Out-Of-Bounds lesing. Det skjer i RAR e8 filteret, og oppstår når arkivet er dekomprimert eller når det vises. Denne sårbarheten er tildelt CVE-2024-26256.

For å fikse dette sikkerhetsproblemet, oppdater til libarchive-3.7.4 eller senere ved å bruke instruksjonene fra libarchive (sysv) eller libarchive (systemd).

I Ruby-3.3.1, tre sikkerhetssårbarheter ble fikset som kunne tillate vilkårlig minneadresselesing og ekstern kjøring av kode. De vilkårlige minnelesesårbarheter forekommer i StringIO og også i Regex søkefunksjonalitet. Hvis angriperen leverte data som sendes til Ruby regex kompilatoren, er det mulig å trekke ut vilkårlige heap-data i forhold til starten på teksten, inkludert pekere og sensitive strenger. Når det kommer til StringIO kan ungetbyte()- og ungetc()-metodene lese forbi slutten av en streng, og et påfølgende kall til StringIO.gets kan returnere en verdi fra minnet. Sikkerhetsproblemet for ekstern kjøring av kode er i RDoc, og det skjer når du behandler .rdoc_options filen som en YAML fil siden det ikke er noen restriksjoner på klassene som kan gjenopprettes. Når du laster inn dokumentasjonsbuffer, objektinjeksjon og resulterende ekstern kjøring av kode er også mulig hvis det var et laget hurtiglager. Disse sårbarhetene har blitt tildelt CVE-2024-27280, CVE-2024-27281, og CVE-2024-27282.

For å fikse disse sårbarhetene, oppdater til Ruby-3.3.1 eller nyere ved å bruke instruksjoner fra Ruby (sysv) eller Ruby (systemd).

I Node.js-20.12.2, en sårbarhet ble fikset på Windows hvor kommandoer kan injiseres gjennom et Windows argumentbibliotek. (B)LFS er tilsynelatende upåvirket av dette sikkerhetsproblemet, men oppdatering anbefales fortsatt Denne sårbarheten er tildelt CVE-2024-27980.

For å (potensielt) fikse denne, oppdater til Node.js-20.12.2 eller senere ved å bruke instruksjoner for: Node.js (sysv) eller Node.js (systemd).

12.1 033 Thunderbird Dato: 17.04.2024 Alvorlighetsgrad: Høy

I Thunderbird-115.10.0, åtte sikkerhetssårbarheter ble fikset som kunne tillate kjøring av vilkårlig kode, fjernutnyttbar fornektelse av tjenesteforhold (ved bruk av HTTP/2 CONTINUATION rammer), som kan utnyttes eksternt krasjer og clickjacking. Noen av disse sårbarhetene oppstår ved bruk av JIT kompilatoren, men en av sårbarhetene er 32-bits spesifikk og tillater heltallsoverflyt ved behandling av en laget OpenType skrift. Oppdatering av Thunderbird anbefales på grunn av HTTP/2 CONTINUATION angrepet, siden noen HTML poster kan bruke denne protokollen. Disse sårbarhetene har blitt tildelt CVE-2024-3852, CVE-2024-3854, CVE-2024-3857, CVE-2024-2609, CVE-2024-3859, CVE-2024-3861, CVE-2024-3302, og CVE-2024-3864.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-115.10.0 eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Firefox-115.10.0esr, åtte sikkerhetssårbarheter ble fikset som kunne tillate kjøring av vilkårlig kode, fjernutnyttbar fornektelse av tjenesteforhold (ved bruk av HTTP/2 CONTINUATION rammer), som kan utnyttes eksternt krasjer og clickjacking. Noen av disse sårbarhetene oppstår ved bruk av JIT kompilatoren, men en av sårbarhetene er 32-bits spesifikk og tillater heltallsoverflyt ved behandling av en laget OpenType skrift. Oppdatering av Thunderbird anbefales på grunn av HTTP/2 CONTINUATION angrepet, siden noen HTML poster kan bruke denne protokollen. Disse sårbarhetene har blitt tildelt CVE-2024-3852, CVE-2024-3854, CVE-2024-3857, CVE-2024-2609, CVE-2024-3859, CVE-2024-3861, CVE-2024-3302, og CVE-2024-3864.

For å fikse disse sikkerhetsproblemene, oppdater til Firefox-115.10.0esr eller nyere ved hjelp av instruksjonene fra Firefox (sysv) eller Firefox (systemd).

I SpiderMonkey/mozjs-115.10.0, tre sikkerhetssårbarheter ble fikset i JIT kompilatoren som kan tillate at GetBoundName returnerer feil objekt, for krasj etter en feiloptimalisert brytersetning, og for feil JITting av argumenter som fører til krasj under søppelsamling. Dette kan tillate uventede krasj i enkelte programmer. Disse sårbarhetene har blitt tildelt CVE-2024-3852, CVE-2024-3854, og CVE-2024-3857.

For å fikse disse sårbarhetene, oppdater til SpiderMonkey/mozjs-115.10.0 eller senere ved å bruke instruksjonene fra SpiderMonkey (sysv) eller SpiderMonkey (systemd).

I PHP-8.3.6, tre sikkerhetssårbarheter ble fikset som kunne tillate for å sette usikre informasjonskapsler og dermed en omgåelse av __Host/__Secure cookies, samt for en angriper å bagatellmessig kompromittere et offers konto hvis et passord startes med en nullbyte, og for en uendelig sløyfe ved bruk av funksjonen mb_encode_mimeheader med visse utformede inndata. Hvis du bruker PHP for å kjøre et nettsted som godtar passord, bør du oppdatere umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2024-2756, CVE-2024-3096, og CVE-2024-2757.

For å fikse disse sårbarhetene, oppdater til PHP-8.3.6 eller nyere ved å bruke instruksjoner fra PHP (sysv) eller PHP (systemd).

I Linux-6.8.5, en utilstrekkelig reduksjon mot maskinvare sårbarheten kjent som Branch History Injection, eller BHI på enkelte Intel prosessorer ble fikset. Denne sårbarheten kan tillate en sensitiv informasjonslekkasje selv om BHI reduksjonen er utplassert. Det er gjort en demonstrasjon hvor en uprivilegert bruker utnytter denne sårbarheten for å få innholdet av/etc/shadow. Les hjemmesiden til dette sikkerhetsproblemet for detaljene. Denne sårbarheten er tildelt CVE-2024-2201.

Hvis du kjører LFS på en Intel CPU påvirket av BHI, for fullt å unngå den, oppdater til minst linux-6.8.5 (eller 6.6.26, 6.1.85, 5.15.154 for eldre systemer som bruker LTS stabile kjerner) ved å bruke instruksjoner fra LFS boken for Linux Kernel (sysv) eller Linux Kernel (systemd) med konfigurasjonsalternativet SPECTRE_BHI_ON=y, og fortsatt holde uprivilegert eBPF. Start deretter på nytt og kjør lscpu | grep 'BHI' for å verifisere om avbøtningen er i kraft. Hvis utdataen inneholder "BHI: Vulnerable" eller det ikke er utdata i det hele tatt, betyr det at avbøtningen ikke er riktig brukt og du må sjekke på nytt.

Begrensningen kan ha en betydelig ytelsespåvirkning på noen kjernemikrobenchmarks, men det vil neppe gjøre noe merkbart forskjell for reelle arbeidsbelastninger (for eksempel å bygge pakker fra kilde). Og hvis du kjører LFS på en Intel prosessor basert på mikroarkitekturene Alder Lake eller Catlow, anbefaler LFS redaktørene å oppdatere til den nyeste Intel mikrokoden ved å bruke instruksjonene i Om Fastvare (sysv) eller Om Fastvare (systemd) for å redusere ytelseseffekten.

I FontForge-20230101, to sikkerhetssårbarheter ble oppdaget som kunne tillate kommandoinjeksjon via ondsinnede filnavn og ondsinnet arkiv. Sikkerhetene ble løst ved å endre koden som skulle bruke g_spawn_sync/async() funksjonene i stedet for system() funksjonene, som fører til at kommandoer ikke blir utført gjennom et skall. Upstream har en oppdatering som BLFS teamet har lagt til i boken. Disse sårbarhetene har blitt tildelt CVE-2024-25081 og CVE-2024-25082.

For å fikse disse sårbarhetene, bruk oppdateringen til FontForge og gjenoppbygg pakken ved hjelp av instruksjonene fra FontForge (sysv) eller FontForge (systemd).

I Seamonkey-2.53.18.2, flere sikkerhetssårbarheter ble fikset som kan tillate fjernutnyttbare krasj, innholdsforfalskning, injeksjon av informasjonskapsler, kjøring av vilkårlig kode, timingangrep og omgå innholdssikkerhetsregler. Dette er de samme sårbarhetene løst i Firefox og Thunderbird 115.8.0 og 115.9.0. Disse sårbarhetene har blitt tildelt CVE-2024-1546, CVE-2024-1547, CVE-2024-1548, CVE-2024-1549, CVE-2024-1550, CVE-2024-1551, CVE-2024-1553, CVE-2024-0743, CVE-2024-2607, CVE-2024-2608, CVE-2024-2616, CVE-2024-5388, CVE-2024-2610, CVE-2024-2611, CVE-2024-2612, og CVE-2024-2614.

For å fikse disse sikkerhetsproblemene, oppdater til Seamonkey-2.53.18.2 eller nyere ved hjelp av instruksjonene fra Seamonkey (sysv) eller Seamonkey (systemd).

QtWebengine-6 utgivelser gir ingen oppsummering av feilrettinger. Sikkerhetsrettinger (inkludert CVE) er oppført i den aktuelle git undermodulen, men noen av "Update Chromium" forpliktelsene i QtWebEngine-6 grenene spesifisere ikke hvilke elementer som ble fikset og undermodulen commits har mange varierende datoer (vanligvis den originale chromium forpliktelsesdatoen, med mindre den måtte endres for Qt). Forpliktelsene i QtWebEngine-6.6.3 inkluderer noen rangert som kritisk av NVD. BLFS har nå flyttet til QtWebEngine-6.7.0 som inkluderer lignende forpliktelser. Dette forventes å være det endelige rådet for QtWebEngine, du bør flytte til den nyeste versjonen så snart den er til stede i BLFS QtWebEngine (sysv) eller QtWebEngine (systemd).

I libarchive-3.7.3, en mulig sikkerhetssårbarhet ble fikset som kunne tillate kommandoinjeksjon via terminale escape-sekvenser når et arkiv dekomprimeres eller vises. Denne sårbarheten oppstår når det rapporteres feil fra libarchives tar kommando. Ingen CVE er tildelt for dette problemet, men flere detaljer og et bevis på konseptet finner du i kommentarene til Libarchive PR #1609.

For å fikse dette sikkerhetsproblemet, oppdater til libarchive-3.7.3 eller senere ved å bruke instruksjoner fra libarchive (sysv) eller libarchive (systemd).

I QtWebEngine-5.15-20240403 snapshot, 16 sårbarheter, hvorav 2 ble vurdert som kritisk av NVD, har blitt rettet. Disse sårbarhetene har blitt tildelt CVE-2024-0808, CVE-2024-0807, CVE-2024-0519, CVE-2024-0518, CVE-2024-0333, CVE-2024-0224, CVE-2024-0222, CVE-2023-7104, CVE-2023-7024, CVE-2023-6702, CVE-2023-6510, CVE-2023-6347, CVE-2023-1283, CVE-2023-1077, CVE-2023-1060, og CVE-2023-1059.

Som alltid med QtWebEngine, kommer sårbarhetene fra Google Chrome og blir senere tilbakeført av Qt, som prioriterer sine nyere grener. BLFS utviklingen har nå gått over til å bruke Qt6 og det som finnes kan endre seg før vår neste utgivelse. Som en tjeneste til de som har installert QtWebEngine-5 er følgende elementer nå tilgjengelig:

En tarball av øyeblikksbildet, med README.BUILD
qtwebengine-5.15-20240403.tar.xz
størrelse 310 MB md5sum e83b2ac629ae059c6ad0f02d67fb7998

Et nødvendig oppdateringssett for å gjøre det mulig å bygge videre på BLFS
qtwebengine-5.15-20240403-build_fixes-1.patch
størrelse 106 KB md5sum f22e1753412936fbdd35dab0532e3f9e

En anbefalt oppdatering for å gjøre det mulig å bygge mot systemets ffmpeg-5 eller ffmpeg-6
qtwebengine-5.15-20240403-ffmpeg5_fixes-1.patch
størrelse 8.7 KB md5sum bfa30d1044f118d70164d0a04a76173e

Qt-5.15.17 forventes utgitt denne måneden (BLFS-12.1 versjonen var et tidlig øyeblikksbilde). Den endelige utgivelsen av 5.15.18 er ventet i oktober. Kilden er vanligvis bare klar til å hentes rett før en planlagt oppstrøms utgivelse og det er usannsynlig at det vil være flere BLFS øyeblikksbilder for 5.15. Du bør planlegge å flytte til Qt-6. I mellomtiden tarballen linket ovenfor inneholder en README.BUILD fil som beskriver hvordan den kompileres (noen av detaljene har endret seg siden BLFS-12.1), og oppdateringene fortsetter å dokumentere hvor de er kommet fra, og hva de skal gjøre.

I httpd-2.4.59, tre sikkerhetssårbarheter ble fikset som kunne tillate tjenestenekt og HTTP-responssplitting. En av disse sårbarheter er "HTTP/2 CONTINUATION-angrepet", og tillater eksternt utnyttbar minneutmattelse. Svakhetene i HTTP-responssplitting oppstå på grunn av feil som lar en angriper injisere ondsinnede svarhoder på grunn av feil inndatavalidering, og som forårsaker en HTTP-desynkronisering angrep. Hvis du kjører en webserver, anbefales det sterkt å oppdatere til httpd-2.4.59 umiddelbart for å beskytte deg mot "HTTP/2 CONTINUATION" angrep. Disse sårbarhetene har blitt tildelt CVE-2023-38709, CVE-2024-24795, og CVE-2024-27316.

Ytterligere detaljer finner du på CERT Vulnerability Note VU#421644.

For å fikse disse sikkerhetsproblemene, oppdater til httpd-2.4.59 eller senere ved å bruke instruksjoner fra Apache HTTPD (sysv) eller Apache HTTPD (systemd).

I nghttp2-1.61.0, en sikkerhetssårbarhet ble fikset som kunne tillate for en tjenestenekt (overdreven CPU-bruk og OOM-krasj) fordi nghttp2 fortsetter å lese et ubegrenset antall HTTP/2 CONTINUATION-rammer til og med etter at en strøm er tilbakestilt for å holde HPACK-konteksten synkronisert. Denne sårbarheten ble nylig fikset i Node.js så vel som httpd, og er en sårbarhet i selve HTTP/2-standarden. Hvis du er vert for en server, anbefales det at du oppdaterer denne pakken umiddelbart for å beskytte deg mot DoS angrep som kan skje. Problemet ble løst i nghttp2 ved å begrense antallet CONTINUATION-rammer som aksepteres per strøm. Denne sårbarheten er tildelt CVE-2024-28182.

Ytterligere detaljer finner du på CERT Vulnerability Note VU#421644.

For å fikse dette sikkerhetsproblemet, oppdater til nghttp2-1.61.0 eller senere ved å bruke instruksjoner fra nghttp2 (sysv) eller nghttp2 (systemd).

I Xwayland-23.2.5, tre sikkerhetssårbarheter ble fikset som kan tillate minnelekkasje, utnyttbare krasj (segmenteringfeil), og kjøring av vilkårlig kode. Krasj og minnelekkasje sårbarheter skyldes heap-baserte bufferoverlesninger i en rekke funksjoner, for eksempel ProcXIGetSelectedEvents() og ProcXIPassiveGrabDevice(). Merk at sårbarhetene som bruker disse funksjonene krever bytebytte å oppstå, som vanligvis brukes på plattformer der byte-rekkefølgen ikke er det det samme mellom systemene. Sårbarheten for kjøring av vilkårlig kode oppstår i ProcRenderAddGlyphs()-funksjonen, og skyldes en bruk-etter-fri. Dette lar en angriper sende en laget forespørsel som forårsaker angriperkontrollert kode som skal utføres. Disse sårbarhetene har blitt tildelt CVE-2024-31080, CVE-2024-31081, og CVE-2024-31083.

For å fikse disse sikkerhetsproblemene, oppdater til Xwayland-23.2.5 eller nyere ved hjelp av instruksjonene fra Xwayland (sysv) eller Xwayland (systemd).

I Xorg-Server-21.1.12, fire sikkerhetssårbarheter ble fikset som kan tillate minnelekkasje, utnyttbare krasj (segmenteringfeil), og kjøring av vilkårlig kode. Krasj og minnelekkasje sårbarheter skyldes heap-baserte bufferoverlesninger i en rekke funksjoner, for eksempel ProcXIGetSelectedEvents(), ProcXIPassiveGrabDevice(), og ProcAppleDRICreatePixmap(). Merk at sårbarhetene som bruker disse funksjonene krever bytebytte for å finne sted, noe som vanligvis brukes på plattformer der byte-rekkefølgen ikke er den samme mellom systemene. Sårbarhet for vilkårlig kjøring av kode oppstår i ProcRenderAddGlyphs() funksjon, og skyldes en bruk-etter-fri. Dette lar en angriper sende en laget forespørsel som får angriperkontrollert kode til å bli utført, og kan utnyttes eksternt på systemer som har SSH X Forwarding aktivert. Disse sårbarhetene har blitt tildelt CVE-2024-31080, CVE-2024-31081, CVE-2024-31082, og CVE-2024-31083.

For å fikse disse sikkerhetsproblemene, oppdater til Xorg-Server-21.1.12 eller nyere ved hjelp av instruksjonene fra Xorg-Server (sysv) eller Xorg-Server (systemd).

Hvis du har TigerVNC installert, bør du gjenoppbygge den mot Xorg-Server-21.1.12 ved å bruke instruksjonene fra Tigervnc (sysv) eller Tigervnc (systemd).

I Node.js-20.12.1, to sårbarheter ble fikset. En kunne tillate for et serverkrasj via en påstandsfeil i http-serveren. Og den andre kan føre til "forespørselssmugling" gjennom å tilsløre innholdslengden til en forespørsel. Denne sårbarheten har blitt tildelt CVE-2024-27983, og CVE-2024-27982.

For å fikse disse, oppdater til Node.js 20.12.1 eller nyere ved å bruke instruksjonene for: Node.js (sysv) eller Node.js (systemd).

I Samba-4.20.0, en sårbarhet ble løst ved å oppdatere den innebygde versjon av MIT Kerberos 5 til en nyere versjon. Denne sårbarheten kan tillate eskalering av privilegier ved å endre Privilege Attribute Certificate (PAC) signaturer. Denne sårbarheten er tildelt CVE-2022-37967.

For å fikse denne, oppdater til Samba-4.20.0 eller nyere ved å bruke instruksjonene for: Samba (sysv) eller Samba (systemd). Eller gjenoppbygg Samba med --with-system-mitkrb5 alternativet med en nyere MIT Kerberos-versjon enn 1.21 ved å bruke instruksjonene for: MIT Kerberos V5 (sysv) eller MIT Kerberos V5 (systemd).

I intel-microcode-20240312, to maskinvaresårbarheter er fikset. En av dem kan tillate tjenestenekt via nettverkstilgang, dette påvirker Intel CPUer med familie 6, modell 191, 190, 183 (bare trinn 1, og unntatt Xeon E-prosessorer), 154 (unntatt Atom-prosessorer), 151 eller 143 (unntatt prosessorer med kode kalt "Sapphire Rapids Edge Enhanced"). En annen kan tillate informasjonsavsløring via lokal tilgang, som påvirker Intel CPUer med familie 6, modell 191, 183, 154, 151 eller 143 (unntatt prosessorer med kode kalt "Sapphire Rapids Edge Enhanced"). Disse sårbarhetene har blitt tildelt CVE-2023-39368 og CVE-2023-38575.

Sjekk om din CPU er påvirket ved å kjøre lscpu og sammenligne de utgitte familie-, modell- og trinnverdiene med verdier gitt ovenfor. Hvis din CPU er sårbar, oppdater til intel-microcode-20240312 eller nyere ved å bruke instruksjonene fra Om Fastvare (sysv) eller Om Fastvare (systemd) for å fikse disse sårbarhetene.

Denne mikrokodeoppdateringen fikser også CVE-2023-28746, CVE-2023-22655, og CVE-2023-43490. For CVE-2023-28746 (kjent som "RFDS") konsulter 12.1-009. De to andre sårbarhetene påvirker bare Intel SGX og TDX, og LFS støtter ikke bruk av dem.

I Wireshark 4.2.0 til 4.0.3 og 4.0.0 til 4.0.13 en T.38 dissektorkrasj tillater tjenestenekt via pakkeinjeksjon eller en laget fangstfil. Detaljer på CVE-2024-2955.

For å fikse denne oppdater til wireshark-4.2.4 eller nyere ved å bruke instruksjonene for: Wireshark (sysv) eller Wireshark (systemd).

I Curl-8.6.0 og eldre, hvis libcurl avbryter en HTTP/2 server push på grunn av for mange overskrifter vil det ikke frigjøre alt minne. Det vil også ikke rapportere feilen til kalleren. Denne sårbarheten er tildelt CVE-2024-2398.

For å fikse det, oppdater til Curl-8.7.1 eller senere ved å bruke instruksjoner fra Curl (sysv) eller Curl (systemd).

I Emacs-29.3, fire sikkerhetssårbarheter ble fikset som kunne tillate for vilkårlig kjøring av Lisp-kode, kjøring av vilkårlig kode via visning av en LaTeX forhåndsvisning for e-postvedlegg og for upålitelig innhold som vises i organisasjonsmodus og ved behandling av e-poster. Hvis du bruker Emacs for å vise e-post eller bruke organisasjonsfunksjonaliteten for dokumentredigering, formatering, eller organisering, bør du oppdatere til Emacs-29.3 umiddelbart. Disse sårbarhetene har blitt tildelt CVE-2024-30205, CVE-2024-30204, CVE-2024-30203, og CVE-2024-30202.

For å fikse disse sikkerhetsproblemene, oppdater til Emacs-29.3 eller nyere ved å bruke instruksjoner fra Emacs (sysv) eller Emacs (systemd).

I firefox 115.9.1 en kritisk sårbarhet avslørt på denne ukens pwn2own ble fikset. Detaljer på mfsa-2024-16. Detaljer på CVE-2024-29944.

For å fikse denne oppdater til firefox-115.9.1esr eller nyere ved å bruke instruksjonene for: Firefox (sysv) eller Firefox (systemd).

12.1 012 gnutls Dato: 23.03.2024 Alvorlighetsgrad: Medium

In gnutls-3.8.4, to sikkerhetssårbarheter ble fikset. En fikser en feil der certtool krasjet ved verifisering av en sertifikatkjede med mer enn 16 sertifikater og den andre fikser en sidekanal i den deterministiske ECDSA. CVE-2024-28834, CVE-2024-28835.

I Thunderbird-115.9.0, ni sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, fjernutnyttbare krasjer, clickjacking (som lar en bruker ved et uhell gi tillatelser), RSA dekrypteringstidsangrep, omgåelser av innholdssikkerhet og vilkårlig kode henrettelse. Merk at hvis du bruker Thunderbird på et system med en ARMv7-A CPU, oppdatering til denne versjonen er kritisk på grunn av en enkel utnyttbar sårbarhet som gjør at returregistre kan overskrives. Disse sårbarhetene har blitt tildelt CVE-2024-0743, CVE-2024-2607, CVE-2024-2608, CVE-2024-2616, CVE-2024-5388, CVE-2024-2610, CVE-2024-2611, CVE-2024-2612, og CVE-2024-2614.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-115.9.0 eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I Expat-2.6.2, en sikkerhetssårbarhet ble fikset som kunne tillate tjenestenekt via et XML Entity Expansion angrep når det er isolert bruk av eksterne parsere (opprettet ved hjelp av XML_ExternalEntityParserCreate funksjon). Problemet har blitt klassifisert som et "milliard latter" angrep, også kjent som et XML bombeangrep. Denne sårbarheten er tildelt CVE-2024-28757.

For å fikse dette sikkerhetsproblemet, oppdater til Expat-2.6.2 ved å følge instruksjonene til Expat (sysv) eller Expat (systemd). Merk: Hvis du har installert docbook-utils fra BLFS, må du legge til "--without-docbook" for å omgå en feil i konfigureringen, siden vår installasjon av docbook-utils bruker SGML i stedet for XML.

I intel-microcode-20240312, en begrensning for en maskinvaresikkerhets sårbarhet kjent som RFDS eller Register File Data Sampling har blitt utgitt. Denne sårbarheten kan tillate en ondsinnet aktør og lokalt kjøre kode på et system for å utlede verdiene til hemmelige data som ellers er beskyttet av arkitektoniske mekanismer dersom dataene tidligere ble lagret i et register av noen Intel Atom prosessorer, eller en E-kjerne av Intel Core, Pentium Gold eller Celeron prosessorer basert på Alder Lake eller Raptor Lake mikroarkitekturer. Denne sårbarheten er tildelt CVE-2023-28746.

Vær oppmerksom på at mikrokodeoppdateringen bare er avbøtende og den må aktiveres av kjernen for å virkelig være nyttig. For å dempe dette sikkerhetsproblemet, oppdater til intel-microcode-20240312 eller senere ved hjelp av instruksjonene for Om Fastvare (sysv) eller Om Fastvare (systemd), og siste stabile kjerne eller 6.x LTS utgivelse (som 20. mars, 2024 er 6.8.1, 6.7.10, 6.6.22 og 6.1.82; merk at reduksjon ikke er tilgjengelig for 4.x eller 5.x LTS utgivelser) ved hjelp av instruksjoner for Linux Kjernen (sysv) eller Linux Kjernen (systemd) (se en tidligere versjon av LFS boken hvis du bygger 6.7.x eller tidligere) med CONFIG_MITIGATION_RFDS aktivert, og start systemet på nytt. Etter omstart, kjør lscpu | grep 'Reg file data sampling' for å sjekke om reduksjonen er i kraft. Hvis den ikke gir ut noe eller utdataen inneholder "Vulnerable", betyr det at avbøtningen ikke er riktig installert og du må sjekke på nytt.

I firefox 115.9.0 åtte sårbarheter som gjelder linux X86 ble fikset. Detaljer på mfsa-2024-13. Detaljer vil vises på CVE-2023-5388, CVE-2024-0743, CVE-2024-2608, CVE-2024-2610, CVE-2024-2611, CVE-2024-2612, CVE-2024-2614, og CVE-2024-2616.

NSS sårbarhetene gjelder for den sendte versjonen av nss som ble oppdatert til 3.90.2. CVE-2023-5388 ble fikset i nss-3.98 brukt i BLFS-12.1. Billetten til CVE-2024-0743 BMO-1867408 er foreløpig ikke offentlig, men dette er ikke oppført blant sikkerhetsproblemene som er løst i firefox-124.0 (som ble levert med inkludert nss-3.98) og derfor antas å ikke gjelde for BLFS der system-nss-3.98 ble brukt.

For å fikse disse oppdater til firefox-115.9.0esr eller nyere ved å bruke instruksjonene for: Firefox (sysv) eller Firefox (systemd).

I Unbound-1.19.3, en sikkerhetssårbarhet ble fikset som kunne la et angrep forårsake et tjenestenektangrep (DoS) som eksploderer en kodebane som kan føre til en uendelig sløyfe på grunn av feil kode i funksjonen som fjerner EDE poster. Denne sårbarheten er tildelt CVE-2024-1931.

For å fikse dette sikkerhetsproblemet, oppdater til Unbound-1.19.3 eller senere ved å bruke instruksjonene fra Unbound (sysv) eller Unbound (systemd).

I ghostscript-10.03.0, en sikkerhetssårbarhet ble fikset som kunne tillate kjøring av vilkårlig kode i den sendte grenen til tesseracten biblioteket brukt til OCR. Fra å lese gs blog re OCR ser det ut til at ghostscript kanskje må kompileres på nytt hvis OCR skal bli brukt. Hvis det er sant, vil ikke sårbarheten gjelde for BLFS med mindre du hadde fulgt disse instruksjonene.

For å være sikker på å unngå dette sikkerhetsproblemet, oppdater til ghostscript-10.03.0 eller nyere ved å bruke instruksjonene fra ghostscript (sysv) eller ghostscript (systemd).

I Seamonkey-2.53.18.1, flere sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, utnyttbare krasjer, sandkasseunntak, S/MIME-signaturer blir akseptert under omstendigheter der de ikke er gyldige, udefinert oppførsel, falske meldinger som skal aksepteres ved behandling av PGP/MIME nyttelast, HSTS-policy-omgåelser, rettighetseskalering, phishing, tillatelser forespørsler om omgåelse, og et krasj når skrivere listes opp på et system. Disse sårbarhetene er alle identiske med de som er løst i Firefox/Thunderbird 115.6 og 115.7.0esr. Hvis du bruker Seamonkey, anbefales det på det sterkeste du oppdaterer til denne utgivelsen. Disse sårbarhetene har blitt tildelt CVE-2024-0741, CVE-2024-0742, CVE-2024-0746, CVE-2024-0747, CVE-2024-0749, CVE-2024-0750, CVE-2024-0751, CVE_2024-0753, CVE-2024-0755, CVE-2023-50762, CVE-2023-50761, CVE-2023-6856, CVE-2023-6857, CVE-2023-6858, CVE-2023-6859, CVE_2023-6860, CVE-2023-6861, CVE-2023-6862, CVE-2023-6863, and CVE-2023-6864.

For å fikse disse sikkerhetsproblemene, oppdater til Seamonkey-2.53.18.1 eller nyere ved hjelp av instruksjonene fra Seamonkey (sysv) eller Seamonkey (systemd).

I Thunderbird-115.8.1, en sikkerhetssårbarhet ble fikset som kunne tillate å lekke et kryptert e-postemne til en annen samtale. Når dette problemet oppstår, kan en bruker ved et uhell lekke det konfidensielle emnet til en tredjepart. Denne oppdateringen fikser denne spesielle feilen, men hvis du har blitt påvirket, må du bruke Repair Folder funksjonaliteten, som er tilgjengelig fra kontekstmenyen til en e-postmappe, som vil slette disse ugyldige tildelingene. Denne sårbarheten er tildelt CVE-2024-1936.

For å fikse dette sikkerhetsproblemet, oppdater til Thunderbird-115.8.1 eller senere ved å bruke instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I OpenJPEG-2.5.2, en sikkerhetssårbarhet ble fikset som kunne tillate for kjøring av vilkårlig kode med tillatelsene til applikasjonen som bruker OpenJPEG. Dette problemet oppstår på grunn av en haug bufferoverflyt, og skjer når du dekomprimerer en laget .j2k-fil. Sårbarheten eksisterer i sycc420_to_rgb() funksjonen i OpenJPEG biblioteket. Denne sårbarheten er tildelt CVE-2021-3575.

For å fikse dette sikkerhetsproblemet, oppdater til OpenJPEG-2.5.2 eller nyere ved å bruke instruksjoner fra OpenJPEG (sysv) eller OpenJPEG (systemd).

I c-ares-1.27.0, en sikkerhetssårbarhet ble fikset som kunne tillate for en krasj når du leser en feilformet /etc/resolv.conf, /etc/nsswitch.conf, eller HOSTALIAS filer. Dette skjer når noen av disse konfigurasjonsfilene ha et innebygd NULL tegn som det første tegnet i en ny linje, og oppstår fordi c-ares vil forsøke å lese minnet før starten av en buffer, som vil resultere i en krasj. Denne sårbarheten er tildelt CVE-2024-25629.

For å fikse dette sikkerhetsproblemet, oppdater til c-ares-1.27.0 eller senere ved å bruke instruksjoner fra c-ares (sysv) eller c-ares (systemd).

I giflib-5.2.2, to sikkerhetssårbarheter ble fikset som kunne tillate en lokal angriper å få tak i sensitiv informasjon og for en krasj. Disse sårbarhetene finnes i DumpScreen2RGB() funksjonen i gif2rgb verktøyet, så det påvirker bare brukere hvis de kjører det verktøyet. Problemene er på grunn av haug bufferoverflyt. Disse sårbarhetene har blitt tildelt CVE-2022-28506 og CVE-2023-48161.

For å fikse disse sårbarhetene, oppdater til giflib-5.2.2 eller senere ved å bruke instruksjoner fra giflib (sysv) eller giflib (systemd).

Elementer mellom utgivelsene av 12.0 boken og 12.1 boken

I Procps-ng-4.0.4, en sikkerhetssårbarhet ble fikset som kan tillate tjenestenekt (programkrasj) når du kjører ps med en veldig lang verdi for -C alternativet. Bare 32-bits systemer er berørt. Denne sårbarheten har blitt tildelt CVE-2023-4016.

Du trenger bare å fikse dette sikkerhetsproblemet hvis du kjører et 32-bit system hvor en tjeneste kan påkalle ps -C med noe inndata som ikke er kvalitetssjekket. I dette tilfellet, oppdater til Procps-ng-4.0.4 eller nyere ved hjelp av instruksjonene for Procps (sysv) eller Procps (systemd).

I Thunderbird-115.8.0, flere sikkerhetssårbarheter ble fikset som kan tillate forfalskning, varsler blir skjult, skjuler tillatelsesdialog, utilsiktet tildeling av tillatelser, svaroverskrift injeksjon, og for vilkårlig kodeutførelse. Disse sårbarhetene ligner på de som ble løst i Firefox. Disse sårbarhetene ble tildelt CVE-2024-1546, CVE-2024-1547, CVE-2024-1548, CVE-2024-1549, CVE-2024-1550, CVE-2024-1551, og CVE-2024-1553.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-115.8.0 eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I firefox 115.8.0 syv sårbarheter ble fikset. Detaljer på mfsa-2024-06. Detaljer vil vises på CVE-2024-1546, CVE-2024-1547, CVE-2024-1548, CVE-2024-1549, CVE-2024-1550, CVE-2024-1551, og CVE-2024-1553.

For å fikse disse oppdater til firefox-115.7.0esr eller nyere ved å bruke instruksjonene for: Firefox (sysv) eller Firefox (systemd).

I Qt6-6.6.2, to sikkerhetssårbarheter ble fikset som kunne tillate for tjenestenekt og kjøring av vilkårlig kode. En av disse problemene oppstår ved lasting av KTX bilder, og er klassifisert som bufferoverløp. Den andre sårbarheten er klassifisert som et heltallsoverløp og er i HTTP/2 implementering i QtBase. På grunn av alvorlighetsgraden av HTTP/2 problemet, anbefales det at du oppdaterer denne pakken umiddelbart hvis du har den installert. Disse sårbarhetene har blitt tildelt CVE-2023-51714 og CVE-2024-25580.

For å fikse disse sikkerhetsproblemene, oppdater til Qt6-6.6.2 eller senere ved å bruke instruksjoner fra Qt6 (sysv) eller Qt6 (systemd).

I node.js-20.11.1, åtte sårbarheter ble fikset, noen av dem kan tillate en angriper å krasje serveren for ressurs utmattelse, eller vil tillate en angriper å gjøre et DoS angrep på en server, eller kan tillate kodeinjeksjon i serveren. Disse sårbarhetene har blitt tildelt CVE-2024-21892, CVE-2024-22019, CVE-2024-21816, CVE-2024-22017, CVE-2024-46809, CVE-2024-21891, CVE-2024-21890, CVE-2024-22025,

For å fikse disse sikkerhetsproblemene, oppdater til node.js-20.11.1 eller senere ved å bruke instruksjonene fra node.js (sysv) eller node.js (systemd).

I Qt5-5.15.12, en sikkerhetssårbarhet ble oppdaget som kunne tillate for bufferoverflyt når du leser en laget KTX bildefil. Dette problemet finnes i qtbase, og vil føre til tjenestenekt eller muligens annet innvirkning når du leser den utformede filen i et program. Qt5 utviklerne har gitt ut en offisiell oppdatering på deres FTP side som har blitt tilpasset for bruk i BLFS. Denne sårbarheten er tildelt CVE-2024-25580.

For mer informasjon, se Qt Security Advisory.

For å fikse dette sikkerhetsproblemet, gjenoppbygg Qt5 med oppdateringen ved å bruke instruksjoner fra Qt5 (sysv) eller Qt5 (systemd).

Hvis du foretrekker å bruke qt-alternate, vennligst bruk instruksjonene fra qt5-alternate (sysv) eller qt5-alternate (systemd).

I NSS-3.98, en sikkerhetssårbarhet ble fikset som kunne tillate RSA kryptografi informasjon som kan lekke, for eksempel om høy orden biter av RSA dekrypteringsresultatet er null. Denne informasjonen kan brukes til montere et Bleichenbacher eller Manger angrep mot all RSA dekrypterings operasjoner. Det påvirker alle polstringsmoduser og skjer før polstrings operasjoner. Sårbarheten har blitt klassifisert som et tidsangrep. Denne sårbarheten er tildelt CVE-2023-5388.

For å fikse dette sikkerhetsproblemet, oppdater til NSS-3.98 eller senere ved å bruke instruksjoner fra NSS (sysv) eller NSS (systemd).

ImageMagick ser ut til å ha blitt sin egen CVE nummereringsmyndighet. Endringsloggen mellom 7.1.1-15 og 7.1.1-28 på ChangeLog.md. nevner minst to GHSA råd, men de enten mangler eller er utilgjengelig. Nettstedets github sikkerhets/rådgivnings side inneholder ingenting for versjoner nyere enn 7.1.1-13. Det er en tidligere CVE reist av RedHat med en rettelse i 7.1.1-19, samt flere andre uten en git commit i lenkene fra NVD, så kanskje ikke enig. Denne kjente sårbarheten har blitt tildelt: CVE-2023-5341.

Oppdater til ImageMagick-7.1.1-28 eller senere ved å bruke instruksjonene for ImageMagick (sysv) eller ImageMagick (systemd). Det kan være lurt å se på ChangeLog.md lenken ovenfor fra tid til annen, fordi BLFS oppdaterer kun denne pakken hvis noen blir klar over en sårbarhet, eller før en BLFS utgivelse (fordi ImageMagick utgivelser er så hyppige).

I Exiv2-0.28.2, to sikkerhetssårbarheter ble fikset som kunne tillate en tjenestenekt (programkrasj og overdreven ressursforbruk) når du behandler QuickTime videoer. Sårbarhetene oppstår i QuickTimeVideo::NikonTagsDecoder() og QuickTimeVideo::multipleEntriesDecoder() funksjoner, og kan oppstå hvis Exiv2 brukes til å lese metadataene til en laget videofil. Disse sårbarhetene har blitt tildelt CVE-2024-24826 og CVE-2024-25112.

For å fikse disse sikkerhetsproblemene, oppdater til Exiv2-0.28.2 eller senere ved å bruke instruksjoner for Exiv2 (sysv) eller Exiv2 (systemd).

I wpa_supplicant-2.10, en sikkerhetssårbarhet ble oppdaget som kan tillate en angriper å lure et offer til å koble seg til en ondsinnet klone av en bedrifts WiFi nettverk, og i sin tur tillate dem å avskjære alle trafikk. BLFS utviklerne har laget en oppdatering for dette sikkerhetsproblemet basert på en oppstrøms fiks. Denne sårbarheten er tildelt CVE-2023-52160.

Ytterligere detaljer finner du på Blog Post fra teamet av forskere som oppdaget sårbarheten, og en Phoronix artikkel om emnet.

For å fikse dette sikkerhetsproblemet, bruk oppdateringen ved å bruke instruksjonene for wpa_supplicant (sysv) eller wpa_supplicant (systemd).

I Unbound-1.19.1, to sikkerhetssårbarheter ble fikset som tillater for DNSSEC verifisering som skal utnyttes til å krasje en forekomst (Keytrap). Og en sårbarhet i NSEC3 eksistensbeviset kan utmatte og krasje forekomsten. Disse sårbarhetene har blitt tildelt CVE-2023-50387 CVE-2023-50868

For å fikse disse sikkerhetsproblemene, oppdater til Unbound-1.19.1 ved å bruke instruksjoner for Unbound (sysv) eller Unbound (systemd).

I BIND-9.18.24, 6 sikkerhetssårbarheter ble fikset som kunne tillate overdreven CPU utnyttelse eller krasj ved parsing av store DNS-pakker; Påstandsfeil når nxdomain-redirect brukes som kan tillate krasj; Påstandsfeil på rekursive oppslag når DNS64 og foreldet server er aktivert; En utnyttelse uten minne forårsaket av spesifikke rekursive spørringsmønstre; Ekstrem CPU bruk ved forsøk på å validere DNSSEC (Keytrap); En feil der høy CPU utnyttelse kan forårsake krasj når du prøver å forberede et bevis. Disse sårbarhetene har blitt tildelt CVE-2023-4408 CVE-2023-5517 CVE-2023-5679 CVE-2023-6156 CVE-2023-50387 CVE-2023-50868

For å fikse disse sikkerhetsproblemene, oppdater til BIND-9.18.24 eller nyere ved å bruke instruksjoner fra BIND (sysv) eller BIND (systemd).

I libuv-1.48.0, en sikkerhetssårbarhet ble fikset som kunne tillate angripere til å lage nyttelaster som løser til utilsiktede IP-adresser, som omgår utviklersjekker. Sårbarheten oppstår på grunn av hvordan 'hostname_ascii'-variabelen håndteres i uv_getaddrinfo() og deretter uv__idna_toascii() funksjonen. Når vertsnavnet overskrider 256 tegn, blir den avkortet uten en avsluttende nullbyte. Som et resultat, angripere kan være i stand til å få tilgang til interne APIer for nettsteder og tjenester som gjennomsøker eller hurtiglagrer disse sidene kan bli utsatt for serversideforespørselsforfalskning hvis en ondsinnet bruker velger et langt sårbart brukernavn. Denne sårbarheten er tildelt CVE-2024-24806.

For å fikse dette sikkerhetsproblemet, oppdater til libuv-1.48.0 eller senere ved å bruke instruksjoner fra libuv (sysv) eller libuv (systemd).

I xdg-utils-1.2.1, en sikkerhetssårbarhet ble fikset som kunne tillate for at vedlegg diskret skal legges til e-poster sendt via 'xdg-email' kommandoen. En angriper kan sende et offer en URI som automatisk legger ved en sensitiv fil til en e-post, og hvis brukeren ikke legger merke til at vedlegg ble lagt til, kan dette føre til utlevering av sensitiv informasjon. Sårbarheten finnes i koden som håndterer mailto: URIer. Denne sårbarheten er tildelt CVE-2020-27748.

For å fikse dette sikkerhetsproblemet, oppdater til xdg-utils-1.2.1 eller senere ved å bruke instruksjoner fra xdg-utils (sysv) eller xdg-utils (systemd).

I Python-3.12.2, en sikkerhetssårbarhet ble fikset som kunne tillate for stille kjøring av vilkårlig kode via skjulte *.pth-filer. *.pth-filer kjøres automatisk, i motsetning til vanlige Python filer som trenger eksplisitt importering eller sendes som et argument til Python tolken. Problemet ble fikset oppstrøms ved å hoppe over *.pth-filer med navn som begynner med en prikk (eller det skjulte filattributtet på andre systemer). Denne sårbarheten har ikke blitt utstedt en CVE ennå, men flere detaljer kan bli funnet på Github Issue 113659.

For å fikse dette sikkerhetsproblemet, oppdater til Python-3.12.2 eller nyere ved hjelp av instruksjonene fra Python3 (sysv) eller Python3 (systemd).

Hvis du vil bli på Python-3.11.x, vennligst oppdater til Python-3.11.8 ved å bruke de samme instruksjonene, og erstatte 3.12.2 med 3.11.8.

I Expat-2.6.0, en sikkerhetssårbarhet ble fikset som kunne tillate en tjenestenekt fordi det kreves mange fullstendige reparasjoner i saken av et stort token som krever flere bufferfyllinger. Dette er klassifisert som et kvadratisk kjøretidsproblem, og dette problemet er mer vanlig ved håndtering med komprimert inndata. Merk at applikasjoner som kun kaller XML_Parse/XML_ParseBuffer en gang påvirkes ikke. Denne sårbarheten er tildelt CVE-2023-52425.

For å fikse dette sikkerhetsproblemet, oppdater til Expat-2.6.0 ved å følge instruksjonene til Expat (sysv) eller Expat (systemd). Merk: Hvis du har installert docbook-utils fra BLFS, må du legge til "--without-docbook" for å omgå en feil i konfigureringen, siden vår installasjon av docbook-utils bruker SGML i stedet for XML.

I PostgreSQL-16.2 en sårbarhet ble fikset som kunne tillate for vilkårlig kommandoutførelse gjennom å lokke en bruker til å kjøre en kommando (sjekk CVE for kommandoen). På grunn av dette anbefales å oppdatere til PostgreSQL på et hvilket som helst eldre system. Den tildelte CVE er CVE-2024-0985. Informasjon om problemet finner du på: PostgreSQL sin side.

For å fikse dette, oppdater til PostgreSQL-16.2 eller senere ved å bruke instruksjoner fra PostgreSQL (sysv) eller PostgreSQL (systemd).

I WebKitGTK-2.42.5, tre sikkerhetssårbarheter ble fikset som kunne tillate triviell ekstern kjøring av kode og for en nettside å fingeravtrykke en bruker. Svakhetene for ekstern kjøring av kode oppstår på grunn av typeforvirring problemer, og en av dem er kjent for å bli utnyttet. Begge disse ble håndtert med forbedrede kontroller og minnehåndtering. Fingeravtrykkene sårbarhet ble løst med forbedrede tilgangsbegrensninger. På grunn av sårbarheter for ekstern kjøring av kode anbefales det sterkt at du oppdater WebKitGTK umiddelbart for å beskytte systemet ditt. Disse sårbarhetene har blitt tildelt CVE-2024-23222, CVE-2024-23206, og CVE-2024-23213.

For å fikse disse sikkerhetsproblemene, oppdater til WebKitGTK-2.42.5 eller senere ved å bruke instruksjonene fra WebKitGTK (sysv) eller WebKitGTK (systemd).

I OpenLDAP-2.6.7, en sikkerhetssårbarhet ble fikset som kunne tillate en angriper å feilforme et LDAP-søk og dermed gi dem en høyere tilgangsmaske enn de burde ha. Denne sårbarheten er tildelt ITS#10139.

For å fikse dette sikkerhetsproblemet, oppdater til OpenLDAP-2.6.7 ved hjelp av instruksjoner fra OpenLDAP (sysv) eller OpenLDAP (systemd).

I libxml2-2.12.5, en sikkerhetssårbarhet ble fikset som kunne tillate for tjenestenekt (programkrasj) ved bruk av XML Reader grensesnitt med DTD-validering og XInclude-utvidelse aktivert. Problemet oppstår ved behandling av et laget XML-dokument, og fører til en bruk-etter-fri i xmlValidatePopElement. Denne sårbarheten er tildelt CVE-2024-25062.

For å fikse dette sikkerhetsproblemet, oppdater til libxml2-2.12.5 ved hjelp av instruksjoner fra libxml2 (sysv) eller libxml2 (systemd).

I sendmail-8.18.2, en sikkerhetssårbarhet ble fikset som åpner for SMTP smugling på offentlig tilgjengelige e-postservere. Eksterne angripere kan bruke en offentlig tilgjengelig utnyttelse for å injisere e-postmeldinger med en forfalsket MAIL FROM adresse, som også tillater å omgå SPF beskyttelsesmekanismer. I likhet med Exim og Postfix, skyldes dette også en forskjell i måten Sendmail håndterer linjeavslutninger. Hvis du har en offentlig vendt e-postserver som bruker Sendmail, anbefales det sterkt at du oppdaterer Sendmail til 8.18.2 så snart som mulig. De nye innstillingene som beskytter mot dette sikkerhetssårbarhet er aktivert som standard. Denne sårbarheten er tildelt CVE-2023-51765.

For å fikse dette sikkerhetsproblemet, oppdater til sendmail-8.18.2 eller senere ved å bruke instruksjoner fra sendmail (sysv) eller sendmail (systemd).

Disse sårbarhetene er tildelt CVE-2023-6246, CVE-2023-6779, og CVE-2023-6780. De påvirker Glibc 2.38, 2.37 og 2.36 (hvis en oppdatering å fikse CVE-2022-39046 er brukt som SA 11.2-075 foreslår).

For å fikse disse sikkerhetsproblemene, oppdater til Glibc-2.39 eller nyere ved å bruke instruksjonene fra LFS boken for Glibc (sysv) eller Glibc (systemd). For å oppdatere Glibc trygt på et kjørende system, noen ekstra forholdsregler er nødvendig som dokumentert i en "Viktig"-boks i bokdelen for Glibc. Følg den strengt, ellers kan du gjøre systemet fullstendig ubrukelig. DU ER ADVART.

I cURL-8.6.0, en sikkerhetssårbarhet ble fikset som kunne tillate en OCSP verifiseringsomgåelse på grunn av gjenbruk av TLS økter. Denne sårbarheten oppstår fordi cURL utilsiktet beholdt SSL sesjons IDen for tilkoblinger i bufferen selv når verifiseringsstatustesten (OCSP-stifting) mislyktes. En påfølgende overføring til samme vertsnavn kan da lykkes hvis økten ID-cachen fortsatt var fersk, noe som hopper over bekreftelsesstatuskontrollen. Noter dette problemet er begrenset til kun å bruke TLS 1.2, bruk av TLS 1.3 vil ikke utløse dette problemet. Denne sårbarheten er tildelt CVE-2024-0853.

For å fikse dette sikkerhetsproblemet, oppdater til cURL-8.6.0 eller senere ved å bruke instruksjoner fra cURL (sysv) eller cURL (systemd).

I OpenSSL-3.2.1, to sikkerhetssvakheter ble fikset. En av de kan føre til at programmer som laster filer i PKCS12 formatet fra upålitelige kilder avsluttes brått. En annen kan forårsake applikasjoner som sjekker de offentlige RSA nøklene med funksjonen EVP_PKEY_public_check() for å oppleve lange forsinkelser. Begge kan føre til en Denial of Service ved behandling av PKCS12 filer eller offentlige RSA nøkler fra upålitelige kilder. Disse sårbarhetene er tildelt CVE-2024-0727 og CVE-2023-6237.

For å fikse disse sikkerhetsproblemene, oppdater til OpenSSL-3.2.1 eller nyere ved å bruke instruksjonene fra LFS boken for OpenSSL (sysv) eller OpenSSL (systemd). Merk at CVE-2024-0727 også påvirker OpenSSL-1.1.1 og 1.0.2 serier, men de støttes ikke lenger offentlig av OpenSSL utviklere. Så hvis du fortsatt kjører et system med OpenSSL-1.1.1 eller 1.0.2 og du ønsker å fikse CVE-2024-0727, må du oppdatere til OpenSSL-3.2.1 og gjenoppbygg alt som er koblet mot OpenSSL.

For mer informasjon, se GnuPG Security Advisory.

Merk at kun brukere som har brukt GnuPG til å generere et smartkort ved hjelp av --edit-key parameteren er berørt.

For å fikse dette sikkerhetsproblemet, oppdater til GnuPG-2.4.4 eller nyere, og bruk deretter instruksjonene ovenfor for å se etter ubeskyttede kopier av nøkler. For å oppdatere GnuPG, bruk instruksjonene fra GnuPG (sysv) eller GnuPG (systemd).

I gst-plugins-bad-1.22.9, en sikkerhetssårbarhet ble fikset som kunne tillate ekstern kjøring av kode eller krasjer ved behandling av AV1 kodete videofiler med misformede strømmer. Sårbarheten oppstår på grunn av en heap bufferoverløp. Merk at denne sårbarheten kan utnyttes via en nettleser. På grunn av måten gstreamer-plugins håndteres på, trenger du å oppgradere hele gstreamer stakken for å fikse dette sikkerhetsproblemet. Denne sårbarheten er tildelt CVE-2024-0444.

For å fikse dette sikkerhetsproblemet, oppdater gstreamer stakken til 1.22.9 ved hjelp av instruksjonene fra gstreamer (sysv) eller gstreamer (systemd).

I Thunderbird-115.7.0, ni sikkerhetssårbarheter ble fikset som kan tillate fjernutnyttbare krasj, kjøring av vilkårlig kode, HSTS-policy-omgåelser, rettighetseskalering, omgåelse av tillatelsesforespørsel, phishing, og en omgåelse av innholdssikkerhetspolicyen hvis en er angitt. Mesteparten av disse sårbarhetene kan bare utnyttes gjennom HTML-post, men en av krasj-sårbarhetene kan oppstå når du prøver å liste skrivere på et system, og en annen sårbarhet kan utnyttes når du gir inndata til en dialogboks. Disse sårbarhetene har blitt tildelt CVE-2024-0741, CVE-2024-0742, CVE-2024-0746, CVE-2024-0747, CVE-2024-0749, CVE-2024-0750, CVE-2024-0751, CVE-2024-0753, og CVE-2024-0755.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-115.7.0 eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I firefox 115.7.0 ni sårbarheter ble fikset. Oppstrøms rangerer sårbarheten i Angle som høy, men den forrige Angle sårbarheten i mfsa-2021-06 ble senere endret til kun å gjelde MS Windows der Angle er en backend for Open GL så det ser ut til at denne også vil gjelde for MS Windows, Tidligere vurderte mozilla minnesikkerhetsfeil som høy effekt, med denne utgivelsen beskriver de dem nå som moderat effekt. Detaljer på mfsa-2024-02. Detaljer kan vises på CVE-2024-0741, CVE-2024-0742, CVE-2024-0746, CVE-2024-0747, CVE-2024-0749, CVE-2024-0750, CVE-2024-0751, CVE-2024-0753, og CVE-2024-0755.

For å fikse disse oppdater til firefox-115.7.0esr eller nyere ved å bruke instruksjonene for: Firefox (sysv) eller Firefox (systemd).

I Postfix-3.8.5 (og 3.7.10, 3.6.14, og 3.5.24), forbedringer av fiksen for CVE-2023-51764 (SMTP smuggling) ble laget som gir mer kompatibilitet med noen eksisterende SMTP klienter og for bedre logging. I tillegg er oppdateringer nå tilgjengelig for enkelte versjoner av Postfix som ikke støttes. For de fleste brukere er rettelser i Postfix-3.8.4 (og 3.7.9, 3.6.13 og 3.5.24) tilstrekkelig, men hvis du støter på problemer, er oppgradering til disse forbedrede versjonene sterkt anbefalt.

For å bruke den forbedrede løsningen for SMTP smuggling angrepet, oppdater til Postfix-3.8.5 eller nyere ved å bruke instruksjonene fra Postfix (sysv) eller Postfix (systemd).

I tillegg til å oppdatere Postfix, må du også legge til følgende linjer til /etc/postfix/main.cf konfigurasjonsfilen din hvis du ikke har gjort det ennå:

smtpd_forbid_bare_newline = yes
smtpd_forbid_bare_newline_exclusions = $mynetworks

På systemer som kjører Postfix 3.7, 3.6, eller 3.5, oppdater til Postfix 3.7.10, 3.6.14, eller 3.5.24.

I Jinja2-3.1.3, en sikkerhetssårbarhet i XML attributt filter ble fikset som kunne tillate et skriptangrep på tvers av nettsteder hvis du kjører en tjeneste som godtar brukerinndata og gjengir dem med Jinja2. Denne sårbarheten er tildelt CVE-2024-22195.

For å fikse dette sikkerhetsproblemet, oppdater til Jinja2-3.1.3 ved hjelp av instruksjoner fra LFS boken for Jinja2 (sysv) eller Jinja2 (systemd). Merk at --upgrade alternativet må sendes til pip3 install når du oppgraderer en Python modul.

I Ncurses-6.4-20230520, en sikkerhetssårbarhet ble fikset som kan tillate lokale brukere å utløse sikkerhetsrelevant minnekorrupsjon via misformede data i en terminfo databasefil funnet i $HOME/.terminfo eller nås via TERMINFO- eller TERM miljøvariabel når Ncurses brukes av en setuid applikasjon (for eksempel GNU-skjerm). I teorien er en lokal privilegie eskalering mulig, men veldig vanskelig, og et slikt angrep har ikke blitt utviklet. Denne sårbarheten er tildelt CVE-2023-29491.

For å fikse dette sikkerhetsproblemet, oppdater til Ncurses-6.4-20230520 ved å bruke instruksjoner fra LFS boken for Ncurses (sysv) eller Ncurses (systemd).

I Coreutils-9.4,en sikkerhetssårbarhet ble funnet i split programmet. En heap overflyt med brukerkontrollerte data på flere hundre byte i lengde kan forekomme, noe som potensielt kan føre til en programkrasj og tjenestenekt. Coreutils-9.3 som gitt av LFS 12.0 påvirkes også. Denne sårbarheten er tildelt CVE-2024-0684.

For å fikse dette sikkerhetsproblemet, gjenoppbygg Coreutils-9.4 eller 9.3 ved å bruke instruksjoner fra LFS boken for Coreutils-9.4 (sysv) eller Coreutils-9.4 (systemd); eller Coreutils-9.3 (sysv) eller Coreutils-9.3 (systemd); og sørg for at følgende kommando er utstedt før kjøringen av autoreconf -fiv kommandoen for å fikse koden:

sed -e '/n_out += n_hold/,+4 s|.*bufsize.*|//&|' \
          -i src/split.c

I OpenJDK-21.0.2, fem sikkerhetssårbarheter er fikset i Hotspot- og sikkerhetskomponenter som kan tillate uautorisert opprettelse, modifikasjon, og sletting av data på et system, samt for informasjon avsløring, tjenestenekt og ekstern kjøring av kode. Fire av disse sårbarheter kan utnyttes via nettverket, uten at det kreves noen forutsetninger og ingen brukerinteraksjon er heller nødvendig. Den femte sårbarheten kan bare utnyttes lokalt, og krever noen privilegier (men fortsatt uten noen brukerinteraksjon er nødvendig). Disse sårbarhetene har blitt tildelt CVE-2024-20918, CVE-2024-20952, CVE-2024-20919, CVE-2024-20921, og CVE-2024-20945.

For å fikse disse sikkerhetsproblemene, oppdater til OpenJDK-21.0.2 (eller bruk forhåndsbygde Java binærfiler) ved å bruke instruksjonene fra OpenJDK (sysv) eller OpenJDK (systemd).

I Linux-PAM-1.6.0, et sikkerhetsproblem ble fikset som kunne tillate for en lokal tjenestenekt (krasj) ved bruk av pam_namespace.so PAM modul. Merk at en standard BLFS-installasjon ikke vil bruke denne modulen, så de fleste systemer er upåvirket med mindre en bruker har lagt til denne modulen i systemet på egenhånd. Hvis du bruker denne modulen, anbefales oppdatering. Denne sårbarheten er tildelt CVE-2024-22365.

For å fikse dette sikkerhetsproblemet, oppdater til Linux-PAM-1.6.0 eller nyere ved å bruke instruksjoner fra Linux-PAM (sysv) eller Linux-PAM (systemd).

I Xwayland-23.2.4, fire sikkerhetssårbarheter ble fikset som kan tillate krasj og rettighetseskalering. Disse sårbarhetene er klassifisert som heap buffer overflows og out-of-bounds minnetilganger. Heapbufferoverløpene skjer i DisableDevice(), XISendDeviceHierarchyEvent(), DeviceFocusEvent() og ProcXIQueryPointer() funksjoner, mens minnetilgangen utenfor grensene skjer når du kobler til på nytt til en annen hovedenhet. Disse sårbarhetene har blitt tildelt CVE-2023-6816, CVE-2024-0229, CVE-2024-21885, og CVE-2024-21886.

For mer informasjon, se X.Org Security Advisory.

For å fikse disse sårbarhetene, oppdater til Xwayland-23.2.4 eller nyere ved hjelp av instruksjonene fra Xwayland (sysv) eller Xwayland (systemd).

I xorg-server-21.1.11, fire sikkerhetssårbarheter ble fikset som kan tillate krasj, rettighetseskalering og ekstern kjøring av kode på systemer der X11 videresending er i bruk. Disse sårbarhetene er klassifisert som heap buffer overflows og out-of-bounds minnetilganger. Heapbufferoverløpene skjer i DisableDevice(), XISendDeviceHierarchyEvent(), DeviceFocusEvent() og ProcXIQueryPointer() funksjoner, mens minnetilgangen utenfor grensene skjer når du kobler til på nytt til en annen hovedenhet. Disse sårbarhetene har blitt tildelt CVE-2023-6816, CVE-2024-0229, CVE-2024-21885, og CVE-2024-21886.

For mer informasjon, se X.Org Security Advisory.

For å fikse disse sikkerhetsproblemene, oppdater til xorg-server-21.1.11 eller nyere ved hjelp av instruksjonene fra xorg-server (sysv) eller xorg-server (systemd).

I GnuTLS-3.8.3, to sikkerhetssårbarheter ble fikset som kunne tillate et timing av sidekanalangrep (som fører til lekkasje av sensitive data), og for et programkrasj. Tidspunktet for sidekanalangrepet skjer når responstider på misformede chiffertekster i RSA-PSK ClientKeyExchange avviker fra responstider for chiffertekster med korrekt PKCS#1 v1.5-utfylling, og lar en ekstern angriper utføre et timing sidekanalangrep under RSA-PSK nøkkelutveksling. Denne sårbarheten er et resultat av en ufullstendig rettelse for CVE-2023-5981. Den andre sårbarheten gir rom for en ekstern klient eller angriper for å krasje programmer som kjører GnuTLS fordi en påstandsfeil som oppstår ved verifisering av en sertifikatkjede med en syklus av krysssignaturer. Disse sårbarhetene har blitt tildelt CVE-2024-0553 og CVE-2024-0567.

For å fikse disse sikkerhetsproblemene, oppdater til GnuTLS-3.8.3 eller nyere ved å bruke instruksjoner fra GnuTLS (sysv) eller GnuTLS (12.1-systemd).

I jasper-4.1.2, en sikkerhetssårbarhet ble fikset som kunne tillate kjøring av vilkårlig kode eller krasjer ved behandling av et laget bilde som bruk JPEG-2000 kodeken. Dette problemet oppstår ved behandling av ICC profil, og er klassifisert som en ugyldig minneskriving. Det er et bevis på konsept tilgjengelig for publikum. Denne sårbarheten er tildelt CVE-2023-51257.

For å fikse dette sikkerhetsproblemet, oppdater til jasper-4.1.2 eller nyere ved å bruke instruksjoner fra jasper (sysv) eller jasper (systemd).

Det ble funnet et sikkerhetsproblem i Systemd-resolved som godtar poster av DNSSEC-signerte domener, selv når de ikke har noen signatur. Dette vil tillate en mann-i-midt-angriper (eller oppstrøms DNS Resolver) for å manipulere DNS -poster på en måte sånn at systemet ville godta dem, selv om de er ugyldige. Standardinnstillingene for SystemD-resolved muliggjør ikke DNSSEC-støtte, så for å være sårbar, må du må ha aktivert DNSSEC -støtte i systemets konfigurasjon. Denne sårbarheten er tildelt CVE-2023-7008.

Hvis du har aktivert DNSSEC-støtte i systemd-resolved, bør du gjenoppbygge systemd ved å bruke instruksjonene fra systemd (systemd).

Hvis du ikke har aktivert DNSSEC-støtte på systemet ditt, er det ingen handling som er nødvendig.

I Postfix-3.8.4 (samt 3.7.9, 3.6.13 og 3.5.23), et sikkerhetssårbarhet ble fikset som tillater SMTP-smugling på offentlig tilgjengelige e-postservere. Eksterne angripere kan bruke en offentlig tilgjengelig utnyttelse til å injiser e-postmeldinger med en forfalsket MAIL FROM-adresse, som også tillater å omgå SPF-beskyttelsesmekanismer. I likhet med Exim er dette også pga en forskjell i måten Postfix håndterer linjeavslutninger på. Hvis du opprettholder en offentlig vendt e-postserver som bruker Postfix, anbefales det på det sterkeste at du oppdaterer Postfix til 3.8.4 (eller de andre versjonene beskrevet ovenfor) så snart som mulig. Merk at funksjonen som løser dette sikkerhetsproblemet må være slått på med ekstra konfigurasjon. Denne sårbarheten er tildelt CVE-2023-51764.

For å fikse dette sikkerhetsproblemet, oppdater til Postfix-3.8.4 eller senere ved å bruke instruksjoner fra Postfix (sysv) eller Postfix (systemd).

I tillegg til å oppdatere Postfix, må du også legge til følgende linjer til /etc/postfix/main.cf konfigurasjonsfilen din:

smtpd_forbid_bare_newline = yes
          smtpd_forbid_bare_newline_exclusions = $mynetworks

På systemer som kjører Postfix 3.7, 3.6 eller 3.5, vennligst oppdater til Postfix 3.7.9, 3.6.13, eller 3.5.23.

I Exim-4.97.1, en sikkerhetssårbarhet ble fikset som tillater SMTP smugling i visse konfigurasjoner. Eksterne angripere kan bruke en offentlig tilgjengelig utnyttelse for å injisere e-postmeldinger med en forfalsket MAIL FROM-adresse, som vil tillate å omgå SPF-beskyttelsesmekanismene. Dette skyldes en forskjell i måten Exim (og andre e-postservere) håndterer linjeavslutninger på, og påvirker de fleste implementeringer av SMTP-protokollen på grunn av at den er en svakhet i selve SMTP-standarden. Denne sårbarheten er tildelt CVE-2023-51766.

For mer informasjon, se SMTP Smuggling Blog Post.

For å fikse dette sikkerhetsproblemet, oppdater til Exim-4.97.1 eller senere ved å bruke instruksjoner fra Exim (sysv) eller Exim (systemd).

I gst-plugins-bad-1.22.8, en sikkerhetssårbarhet ble fikset som kunne tillate ekstern kjøring av kode eller krasjer ved behandling av AV1 kodet videofiler med misformede strømmer. Sårbarheten oppstår på grunn av en heap bufferoverløp. Merk at denne sårbarheten kan utnyttes via en nettleser. På grunn av måten gstreamer-plugins håndteres på, trenger du å oppgradere hele gstreamer stakken for å fikse dette sikkerhetsproblemet. Denne sårbarheten har ikke blitt tildelt en CVE ennå, men har en ZDI CAN nummer, som er ZDI-CAN-22300. Flere detaljer finner du på Gstreamer Security Advisory.

For å fikse dette sikkerhetsproblemet, oppdater gstreamer stakken til 1.22.8 ved hjelp av instruksjonene fra gstreamer (sysv) eller gstreamer (systemd).

I SpiderMonkey/mozjs-115.6.0, en sikkerhetssårbarhet ble fikset som kan tillate minnesikkerhetsproblemer. Denne sårbarheten kan tillate kjøring av vilkårlig kode og krasjer på grunn av minnekorrupsjon. Merk at dette sikkerhetsproblemet kan bare utnyttes gjennom en ondsinnet JavaScript fil. Denne sårbarheten er tildelt CVE-2023-6864.

For å fikse dette sikkerhetsproblemet, oppdater til SpiderMonkey-115.6.0 eller senere ved å bruke instruksjonene fra SpiderMonkey (sysv) eller SpiderMonkey (systemd).

I Thunderbird-115.6.0, elleve sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, utnyttbare krasjer, sandkasserømninger, S/MIME-signaturer blir akseptert til tross for feilaktige meldingsdatoer, udefinert oppførsel, og for at falske meldinger skal aksepteres ved behandling av PGP/MIME nyttelast. Disse sårbarhetene har blitt tildelt CVE-2023-50762, CVE-2023-50761, CVE-2023-6856, CVE-2023-6857, CVE-2023-6858, CVE-2023-6859, CVE-2023-6860, CVE-2023-6861, CVE-2023-6862, CVE-2023-6863, og CVE-2023-6864.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-115.6.0 eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I libssh2-1.11.0, det er oppdaget en sårbarhet som gir rom for stille kryptering nedgraderes på grunn av MITM angrep. Denne sårbarheten har blitt vurdert som kritisk, og er også kjent som "Terrapin"-angrepet. Fleste implementeringer av SSH protokollen påvirkes og må oppdateres både på klient- og serversiden. Libssh2 utviklerne har fikset sårbarheten, men har ikke gjort en ny utgivelse ennå. BLFS teamet har tilbakeporterte en oppdatering med en reparasjon for sårbarheten, og dette rådet vil bli oppdatert når en ny utgivelse er laget. For mer implementering, se OpenSSH- og ProFTPd-rådgivningene som er oppført nedenfor. Denne sårbarheten er tildelt CVE-2023-48795.

For å fikse dette sikkerhetsproblemet, gjenoppbygg libssh2 med oppdateringen i boken ved hjelp av instruksjonene fra libssh2 (sysv) eller libssh2 (systemd).

I OpenSSH-9.6p1, to sikkerhetssårbarheter ble fikset som kunne tillate at et MITM angrep forårsaker en nedgradering av stille kryptering, og for vilkårlig kommandoinjeksjon under noen omstendigheter (for eksempel når du bruker git undermoduler). MITM angrepet er vurdert som kritisk og har fått kodenavn «Trapin» angrepet. For å beskytte systemet ditt, både klienten og serversiden må oppdateres. Terrapin lar en ekstern angriper injisere SSH meldinger både før og etter nøkkelforhandling starter, og problemet er i ChaCha20-Poly1305 og Encrypt-then-MAC-implementeringene. Det anbefales sterkt at du oppdaterer til OpenSSH-9.6p1 eller senere så snart som mulig. Disse sårbarhetene har blitt tildelt CVE-2023-48795 og CVE-2023-51385. Flere detaljer finner du på Terrapin Attack website.

For å fikse disse sikkerhetsproblemene, oppdater til OpenSSH-9.6p1 eller senere ved å bruke instruksjoner fra OpenSSH (sysv) eller OpenSSH (systemd).

I ProFTPD 1.3.8b, en sikkerhetssårbarhet på kritisk nivå med kodenavn Terrapin (SSH) ble fikset. Dette kan i teorien tillate en angriper å nedgradere sikkerheten i SSH forbindelsen, noe som fører til en mindre sikker forbindelse fra «Man in the Middle» angrepet. Denne sårbarheten har blitt tildelt CVE-2023-48975.

For å fikse disse sikkerhetsproblemene, oppdater til ProFTPD-1.3.8b eller senere ved å bruke instruksjonene fra ProFTPD (sysv) eller ProFTPD (systemd).

I Seamonkey-2.53.18, flere sikkerhetssårbarheter ble fikset som kan tillate clickjacking, adresselinjeforfalskning, krasjer, utvidelser åpning av vilkårlige URL-er, minnetilgang utenfor grensene, innhold på utklippstavlen tyveri og stigjennomgang. Disse sårbarhetene er identiske med de løst i Firefox-115.4.0 og Firefox-115.5.0. Disse sårbarhetene har blitt tildelt CVE-2023-5721, CVE-2023-5732, CVE-2023-5724, CVE-2023-5725, CVE-2023-5728, CVE-2023-5730, CVE-2023-6204, CVE-2023-6205, CVE-2023-6206, CVE-2023-6207, CVE-2023-6208, CVE-2023-6209, og CVE-2023-6212.

For å fikse disse sikkerhetsproblemene, oppdater til Seamonkey-2.53.18 eller nyere ved å bruke instruksjonene fra Seamonkey (sysv) eller Seamonkey (systemd).

I WebKitGTK-2.42.4, en sikkerhetssårbarhet ble fikset som kunne tillate for et programkrasj ved behandling av et stort SVG bilde. Problemet var løst med forbedret minnehåndtering. Denne sårbarheten er tildelt CVE-2023-42883.

For å fikse dette sikkerhetsproblemet, oppdater til WebKitGTK-2.42.4 eller nyere ved å bruke instruksjoner for WebKitGTK (sysv) eller WebKitGTK (systemd).

I firefox 115.6.0 elleve sårbarheter ble fikset. Oppstrøms vurderer tre av disse som Høy. Detaljer på mfsa-2023-54. Detaljer kan vises på CVE-2023-6856, CVE-2023-6857, CVE-2023-6858, CVE-2023-6859, CVE-2023-6860, CVE-2023-6861, CVE-2023-6862, CVE-2023-6863, CVE-2023-6864, CVE-2023-6865, og CVE-2023-6867.

For å fikse disse, oppdater til firefox-115.6.0esr eller nyere ved å bruke instruksjonene for: Firefox (sysv) eller Firefox (systemd).

I Xwayland-23.2.2 og tidligere, spørre eller endre XKB knappens handlinger som å flytte fra en pekeplate til en mus kan resultere i minnelesing og minneskriving som er utenfor grensene. Dette kan tillate lokale privilegier eskalering eller mulig ekstern kjøring av kode i tilfeller hvor X11 videresending er involvert. En annen sikkerhetssårbarhet ble også fikset som gir mulighet for avsløring av informasjon når noe kaller RRChangeOutputProperty og RRChangeProviderProperty funksjoner. Disse sårbarhetene har blitt tildelt CVE-2023-6377 og CVE-2023-6478.

For å fikse dette, oppdater til Xwayland-23.2.3 eller senere ved å bruke instruksjoner fra utviklingsboken for Xwayland (sysv) eller Xwayland (systemd).

I xorg-server-21.1.9 og tidligere, spørre eller endre XKB knappens handlinger som å flytte fra en pekeplate til en mus kan resultere i minnelesing og minneskriving som er utenfor grensene. Dette kan tillate lokale privilegier eskalering eller mulig ekstern kjøring av kode i tilfeller hvor X11 videresending er involvert. Dette er tildelt CVE-2023-6377.

For å fikse dette, oppdater til xorg-server-21.1.10 eller senere ved å bruke instruksjoner fra utviklingsboken for xorg-server (sysv) eller xorg-server (systemd).

I Libreoffice-7.6.4.1, en sikkerhetssårbarhet i den medfølgende kopien av Skia ble fikset. Dette sikkerhetsproblemet er identisk med QtWebEngine/Chromium sårbarheten som tillater ekstern kjøring av kode ved å behandle et bilde som er for stor for en buffer. I dette tilfellet vil angrepsvektoren være et skadelig bilde inne i et dokument. Oppdatering til Libreoffice-7.6.4.1 anbefales så snart som mulig. Denne sårbarheten er tildelt CVE-2023-6345.

For å fikse dette sikkerhetsproblemet, oppdater til Libreoffice-7.6.4.1 eller senere ved å bruke instruksjonene fra Libreoffice (sysv) eller Libreoffice (systemd).

I cURL-8.5.0 to sikkerhetssårbarheter ble fikset; en som kunne tillate at curl informasjonskapsler som kan sendes til et annet domene eller nettsted, og dermed tillate kapring av informasjonskapsler; og en annen som sletter HSTS dataene hvis curl skriver til en fil med et langt navn, og dermed gjøre påfølgende forespørsler uvitende om HSTS status. Disse sårbarhetene har blitt tildelt CVE-2023-46218 og CVE-2023-46219 og

For å fikse disse sikkerhetsproblemene, oppdater til cURL-8.5.0 eller senere ved å bruke instruksjonene fra cURL (sysv) eller cURL (systemd).

I WebKitGTK-2.42.3, to sikkerhetssårbarheter ble fikset som kunne tillate avsløring av informasjon og kjøring av vilkårlig kode. Begge disse sårbarhetene kan utnyttes ved behandling av laget nettinnhold, og er kjent for å bli aktivt utnyttet. Informasjonsutleveringens sårbarheten skyldes en lesning utenfor grensene, og ble adressert med forbedret inndatavalidering. Svakheten ved kjøring av vilkårlig kode er på grunn av minnekorrupsjon, og ble adressert med forbedret låsing. Disse sårbarhetene har blitt tildelt CVE-2023-42916 og CVE-2023-42917.

For å fikse disse sikkerhetsproblemene, oppdater til WebKitGTK-2.42.3 eller senere ved å bruke instruksjonene fra WebKitGTK (sysv) eller WebKitGTK (systemd).

I MariaDB-10.11.6, en sikkerhetssårbarhet ble fikset som kunne tillate enhver angriper med nettverkstilgang til serveren effektivt DOS (krasj gjennom for mange forespørsler) serveren. Denne sårbarheten er tildelt CVE-2023-22084.

For å fikse dette sikkerhetsproblemet, oppdater til MariaDB-10.11.6 eller senere ved å bruke instruksjoner fra MariaDB (sysv) eller MariaDB (systemd).

I OpenSSL-3.2.0, en sikkerhetssårbarhet ble fikset som kunne tillate ytelsen å være veldig treg når du genererer for lange X9.42 DH-nøkler, samt ved kontroll av for lange X9.42 DH-nøkler eller parametere. Dette skjer fordi DH_ckeck_pub_key() ikke utfører størrelseskontroll på P og Q parametere. Som et resultat av dette, en applikasjon som bruker DH_generate_key() eller DH_check_pub_key() funksjoner, og leverer en nøkkel eller parametere fra eksterne kilder, kan være sårbare for tjenestenekt angrep. Andre berørte funksjoner inkluderer DH_check_pub_key_ex(), EVP_PKEY_public_check), og EVP_PKEY_generate(). Merk at OpenSSL pkey kommandolinjeapplikasjonen er også sårbar når du bruker "-pubcheck" alternativet. Denne sårbarheten er tildelt CVE-2023-5678.

For å fikse dette sikkerhetsproblemet, oppdater til OpenSSL-3.2.0 eller nyere ved å bruke instruksjoner fra LFS boken for OpenSSL (sysv) eller OpenSSL (systemd).

I Perl-5.38.2, en sikkerhetssårbarhet ble fikset som kunne tillate skriving forbi slutten av en buffer når en bruker sender en ulovlig Unicode uttrykk i et regulært uttrykk. Dette fører til en en-byte angrep kontrollert bufferoverløp i en heap allokert buffer. Denne sårbarheten er tildelt CVE-2023-47038.

For å fikse dette sikkerhetsproblemet, oppdater til Perl-5.38.2 eller nyere ved å bruke instruksjoner fra LFS boken for Perl (sysv) eller Perl (systemd).

I QtWebEngine-5.15.17, ni sikkerhetssårbarheter ble fikset som kan tillate fjernutnyttbare krasj og ekstern kjøring av kode. En av disse sårbarhetene er under aktiv utnyttelse og kan utløses når du gjengir en nettside som inneholder et bilde eller annet 2D-innhold. De andre sårbarheter kan utløses under navigasjon, VP8-koding, ved bruk av ZIP-filer, ved bruk av nettstedsisoleringsfunksjoner, ved bruk av nettsteder som bruker WebAudio API, og under søppelhenting. På grunn av alvorlighetsgraden av Skia-sårbarheten som kan utløses når du besøker nettsider med bilder og annet 2D-innhold, anbefales det at du oppdaterer til QtWebEngine-5.15.17 umiddelbart for å beskytte systemet ditt. Disse sårbarhetene har blitt tildelt CVE-2023-6345, CVE-2023-5482, CVE-2023-5849, CVE-2023-45853, CVE-2023-5218, CVE-2023-5217, CVE-2023-5996, CVE-2023-6112, og CVE-2023-5997.

For å fikse disse sikkerhetsproblemene, oppdater til QtWebEngine-5.15.17 eller nyere ved hjelp av instruksjonene fra QtWebEngine (sysv) eller QtWebEngine (systemd).

I Thunderbird-115.5.0, syv sikkerhetssårbarheter ble fikset som kan tillate ekstern kjøring av kode, fjernutnyttbare krasjer, clickjacking når tillatelsesmeldinger blir presentert for brukeren, minnedata lekkasje på et lerret, og for at tekst skal kopieres inn i det primære utvalget uventet når du kjører under X11. Merk at problemet med minnelekkasje er avhengig av grafikkinnstillinger og drivere. Disse sårbarhetene har blitt tildelt CVE-2023-6204, CVE-2023-6205, CVE-2023-6206, CVE-2023-6207, CVE-2023-6208, CVE-2023-6209, og CVE-2023-6212.

Mer informasjon om disse sårbarhetene finner du på Mozilla Security Advisory.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-115.5.0 eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I firefox 115.5.0 syv sårbarheter ble fikset. Oppstrøms vurderer fem av disse som høy. Detaljer på mfsa-2023-50. Detaljer kan vises på CVE-2023-6204, CVE-2023-6205, CVE-2023-6206, CVE-2023-6207, CVE-2023-6208, CVE-2023-6209, og CVE-2023-6212.

For å fikse disse oppdater til firefox-115.5.0esr eller nyere ved å bruke instruksjonene for: Firefox (sysv) eller Firefox (systemd).

I GnuTLS-3.8.2, en sikkerhetssårbarhet ble fikset som kunne tillate et timing sidekanalangrep. Dette sikkerhetsproblemet eksisterer fordi respons tiden til misformede chiffertekster i RSA-PSK ClientKeyExchange skiller seg fra responstider for chiffertekster med korrekt PKCS#1 v1.5-utfylling. Kun TLS chiffertekstbehandling påvirkes. Dette kan tillate ekstra informasjonsinnhenting fra det som opprinnelig var ment å bli avslørt. Denne sårbarheten er tildelt CVE-2023-5981.

Ytterligere informasjon finner du på GnuTLS Issue #1511.

For å fikse dette sikkerhetsproblemet, oppdater til GnuTLS-3.8.2 eller senere ved å bruke instruksjoner fra GnuTLS (sysv) eller GnuTLS (systemd).

I WebKitGTK-2.42.2, to sikkerhetssårbarheter ble fikset. Mens du behandler laget webinnhold, kan en av dem føre til en tjenestenekt og en annen kan føre til vilkårlig kode henrettelse. NVD vurderer problemet med kjøring av vilkårlig kode som høy alvorlighetsgrad. BLFS teamet anbefaler at du oppdaterer til WebKitGTK-2.42.2 eller nyere umiddelbart for å beskytte systemet ditt. Disse sårbarhetene er tildelt CVE-2023-41983 og CVE-2023-42852.

For å fikse disse sikkerhetsproblemene, oppdater til WebKitGTK-2.42.2 eller nyere ved hjelp av instruksjonene fra WebKitGTK (sysv) eller WebKitGTK (systemd).

I intel-microcode-20231114, en sårbarhet kjent som "Redundant prefiksproblem" ble løst. Det kan tillate et lokalt privilegium, en informasjonsavsløring og/eller tjenestenekt på Intel Xeon prosessorer basert på Ice Lake, Sapphire Rapids eller Rocket Lake mikroarkitekturer, eller Intel Core, Pentium Gold og Celeron prosessorer basert på Tiger Lake, Alder Lake, Rocket Lake eller Raptor Lake mikroarkitekturer. Denne sårbarheten er tildelt CVE-2023-23583. Flere detaljer finner du fra Intel-SA-00950, og the Intel technical paper.

Hvis du kjører systemet på en berørt prosessor, for å fikse denne sårbarheten, oppdater til intel-microcode-20231114 eller senere ved å bruke instruksjoner for Om Fastvare (sysv) eller Om Fastvare (systemd). For noen berørte prosessorer har denne sårbarheten allerede vært løst i en tidligere mikrokodeutgivelse, les Intels tekniske papir (lenket ovenfor) for den nøyaktige minimale mikrokoderevisjonen som trengs for reparasjonen.

I gst-plugins-bad-1.22.7, to sikkerhetssårbarheter ble fikset som kan tillate krasj eller vilkårlig kodekjøring. Krasj kan skje når du bruker MXF demuxer, og er klassifisert som en bruk-etter-fri. Sårbarhet for vilkårlig kjøring av kode oppstår ved parsing av misformede strømmer som bruker AV1 videokodeken, og er klassifisert som en heap-basert buffer overflow. Vær oppmerksom på at sikkerhetssårbarheten AV1 kan utnyttes via en nettleser. På grunn av måten gstreamer-plugins håndteres på, trenger du å oppgradere hele gstreamer stakken for å fikse disse sårbarhetene. Disse sårbarhetene er tildelt CVE-2023-44446 og CVE-2023-44429.

For å fikse disse sårbarhetene, oppdater gstreamer-stakken til 1.22.7 ved hjelp av instruksjonene fra gstreamer (sysv) eller gstreamer (systemd).

I PostgreSQL-16.1 (og 15.5), tre sikkerhetssårbarheter ble fikset som kan tillate minne og informasjonsavsløring, vilkårlig kode utførelse, signalisering av superbrukerprosesser og tjenestenekt. Minnet avsløringssårbarhet skjer i aggregerte funksjonskall når de motta argumenter av typen "unknown". Den vilkårlige kodeutførelsen og en annen minneavsløringssårbarhet oppstår på grunn av et bufferoverløp fra en heltallsoverløp i matrisemodifikasjon. Dette skyldes manglende overløp sjekker. Superbrukers signaleringssårbarhet oppstår ved bruk av tredjepartsutvidelser når en bruker har rollen pg_cancel_backend tilordnet. På grunn av vilkårlig kodeutførelse og informasjonsavsløring sårbarheter, anbefales det at du oppdaterer PostgreSQL serverne dine så snart som mulig. Disse sårbarhetene er tildelt CVE-2023-5868, CVE-2023-5869, og CVE-2023-5870.

For å fikse disse sårbarhetene, oppdater til PostgreSQL-16.1 (eller 15.5 hvis du ønsker å bli på 15.x) ved å bruke instruksjonene fra PostgreSQL (sysv) eller PostgreSQL (systemd).

For å fikse disse sikkerhetsproblemene, oppdater til GIMP-2.10.36 eller nyere ved å bruke instruksjoner fra GIMP (sysv) eller GIMP (systemd).

I FAAD2-2.11.0, to sikkerhetssårbarheter ble fikset som kunne tillate ekstern kjøring av kode eller tjenestenekt ved behandling av MP4 filer. Disse oppstår når du bruker mp4info kommandoen med null-sample input (eller ødelagt inngang), og også når du bruker feil mp4 rammeforskyvning beregninger. Flere ekstra minnesikkerhetsproblemer (inkludert heltall overløp, deling med null og tilgang utenfor grensene) ble fikset i denne versjon også, selv om de ikke ble tildelt CVE-er. Disse sårbarhetene er tildelt CVE-2023-38857 og CVE-2023-38858.

Ytterligere informasjon finner du fra utgivelsesnotatene på FAAD2-2.11.0 Release Notes.

For å fikse disse sikkerhetsproblemene, oppdater til FAAD2-2.11.0 eller senere ved å bruke instruksjoner fra FAAD2 (sysv) eller FAAD2 (systemd).

I Exiv2-0.28.1, en sikkerhetssårbarhet ble fikset som kunne tillate kjøring av vilkårlig kode ved lesing av metadata fra et laget bildefil. Denne sårbarheten er forårsaket av en utenfor grensene rett, og skjer i BmffImage::brotliUncompressed funksjonen. Denne sårbarheten er tildelt CVE-2023-44398.

For å fikse dette sikkerhetsproblemet, oppdater til Exiv2-0.28.1 eller senere ved å bruke instruksjoner fra Exiv2 (sysv) eller Exiv2 (systemd).

I Thunderbird-115.4.1, seks sikkerhetssårbarheter ble fikset som kan tillate fjernutnyttbare krasj, kjøring av vilkårlig kode, clickjacking, adresse bark spoofing og for utvidelser å åpne vilkårlig URL-er i bakgrunnen. De fleste av disse sårbarhetene er bare gjeldende for HTML e-post, men utvidelsessårbarheten kan tillate at disse nettadressene åpnes uten brukerens viten og kan skje hvor som helst i applikasjon. Disse sårbarhetene har blitt tildelt CVE-2023-5721, CVE-2023-5732, CVE-2023-5724, CVE-2023-5725, CVE-2023-5728, og CVE-2023-5730.

For å fikse disse sikkerhetsproblemene, oppdater til Thunderbird-115.4.1 eller nyere ved hjelp av instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

I OpenJDK-21.0.1, to sikkerhetssårbarheter ble fikset som kunne tillate en ekstern angriper å endre, legge til eller slette data som en Java applikasjonen har tilgang til, så vel som for en ekstern angriper å forårsake en tjenestenekt. Begge disse sårbarhetene er enkle å utnytte og krever ingen brukerautentisering. Den eksternt utnyttbare tjenestenekten kan også skje ved tilgang til data over HTTPS siden problemet er på grunn av et problem med sertifikatbanevalidering. Disse sårbarhetene har blitt tildelt CVE-2023-22081 og CVE-2023-22025.

For å fikse disse sikkerhetsproblemene, oppdater til OpenJDK-21.0.1 (eller bruk forhåndsbygde Java binærfiler) ved å bruke instruksjonene fra OpenJDK (sysv) eller OpenJDK (systemd).

I openssl-3.1.4, en sikkerhetssårbarhet ble fikset som kan føre til potensiell trunkering eller overskridelser under initialiseringen av noen symmetriske siffer. Dette kan resultere i ikke-unikhet, noe som kan resultere i tap av konfidensialitet for enkelte chiffermoduser. Denne sårbarheten er tildelt CVE-2023-5363.

For å fikse dette sikkerhetsproblemet, oppdater til openssl-3.1.4 eller nyere ved hjelp av instruksjonene fra openssl (sysv) eller openssl (systemd).

I tracker-miners-3.6.1, en sikkerhetssårbarhet ble fikset som tillater for en sandkasseflukt. Denne sårbarheten vil tillate en skadelig utformet fil å kjøre kode utenfor sandkassen hvis tracker-ekstraheringsprosessen har blitt kompromittert av en sårbarhet i en annen pakke. Denne spesielle sårbarheten har blitt utnyttet for å tillate en 0-klikk RCE hvis libcue er installert på systemet, og ble fikset ved å stramme seccomp sandkassen til å beskytte mot at flere systemanrop brukes. Den første implementeringen av denne oppdateringen resulterte i repeterbare krasj med en SIGSYS på i686-systemer, så vel som under visse omstendigheter på x86_64-systemer, så BLFS teamet anbefaler å oppdatere til tracker-miners-3.6.2 i stedet. Denne sårbarheten er tildelt CVE-2023-5557.

For å fikse dette sikkerhetsproblemet, oppdater til tracker-miners-3.6.2 og tracker-3.6.0 ved å bruke instruksjonene fra Tracker (sysv) og Tracker-miners (sysv), eller Tracker (systemd) og Tracker-miners (systemd).

Hvis du ønsker å bruke tracker-3.5.x, vennligst oppdater til tracker-miners-3.5.4 i stedet ved å bruke de samme instruksjonene.

I QtWebEngine-5.15.16, reparasjoner for åtte sikkerhetssårbarheter i Chromium ble tilbakeført til branchen. Alle er vurdert som høye. CVE-2023-4071, CVE-2023-4074, CVE-2023-4076, CVE-2023-4351, CVE-2023-4354, CVE-2023-4362, CVE-2023-4762, og CVE-2023-4863.

For å fikse disse sårbarhetene, oppdater til QtWebEngine-5.15.16 ved hjelp av instruksjoner for QtWebEngine (sysv) eller QtWebEngine (systemd).

I xorg-server-21.1.9 og xwayland-23.2.2 en sikkerhetssårbarhet var fikset på grunn av en skrivefeil utenfor grensene. Dette problemet oppstår på grunn av en feil beregning av en bufferforskyvning ved kopiering av data lagret i heap i XIChangeDeviceProperty funksjonen i Xi/xiproperty.c og i RRChangeOutputProperty funksjon i randr/rrproperty.c, gir mulighet for evt eskalering av privilegier eller tjenestenekt. Denne sårbarheten er tildelt CVE-2023-5367.

For å fikse dette sikkerhetsproblemet, oppdater til xorg-server-21.1.9 eller senere ved å bruke instruksjonene fra xorg-server (sysv) eller xorg-server (systemd), og oppdater til xwayland-23.2.2 eller senere ved å bruke instruksjonene fra xwayland (sysv) eller xwayland (systemd).

I xorg-server-21.1.9 en sikkerhetssårbarhet ble fikset som kunne tillate et X-serverkrasj i en veldig spesifikk og eldre konfigurasjon (et multiskjermoppsett med flere protokollskjermer, også kjent som Zaphod modus) hvis pekeren er vridd fra et vindu på en skjerm til rotvinduet til den andre skjermen og hvis det opprinnelige vinduet er ødelagt etterfulgt av et annet vindu som blir ødelagt. Denne sårbarheten er tildelt CVE-2023-5380.

For å fikse dette sikkerhetsproblemet, oppdater til xorg-server-21.1.9 eller senere ved å bruke instruksjonene fra xorg-server (sysv) eller xorg-server (systemd).

I Javascript koden til firefox-115.4.0 er det en løsning for en potensielt utnyttbar krasj. Oppstrøms rangerer dette som middels, men BLFS vurderer det som høyt i påvente av ekstern analyse, se CVE-2023-5728 i mfsa-2023-46. Ytterligere detaljer kan vises på CVE-2023-5728.

For å fikse dette, oppdater til SpiderMonkey-115.4.0 eller senere ved å bruke instruksjonene for SpiderMonkey (sysv) eller SpiderMonkey (systemd).

I firefox 115.4.0 ble seks sårbarheter for Linux brukere rettet. Oppstrøms vurderer to av disse som Høy, men to andre kan føre til en krasj og blir derfor vurdert som Høy av BLFS inntil det foreligger en ekstern analyse. Detaljer på mfsa-2023-46. Detaljer kan vises på CVE-2023-5721, CVE-2023-5724, CVE-2023-5725, CVE-2023-5728, CVE-2023-5730, og CVE-2023-5732.

For å fikse dette oppdater til firefox-115.4.0 eller nyere ved å bruke instruksjonene for: Firefox (sysv) eller Firefox (systemd).

Disse sårbarhetene har blitt tildelt CVE-2019-9232, CVE-2019-9325, CVE-2019-9327, CVE-2019-9433, CVE-2023-5217, og CVE-2023-44488.

For å fikse disse sårbarhetene, oppdater til Seamonkey-2.53.17.1 pluss consolidated_fixes-1.patch, eller til en senere utgivelse, ved å bruke instruksjonene fra Seamonkey (sysv) eller Seamonkey (systemd).

I httpd-2.4.58, tre sikkerhetssårbarheter ble fikset. Flere detaljer på Apache 2.4 Vulnerabilities og ytterligere forklaring på avbøtende tiltak fra oppdatering til nghttp2-1.57.0 på icing blog. Disse sårbarhetene har blitt tildelt CVE-2023-45802, CVE-2023-43622 og CVE-2023-31122.

For å fikse disse sikkerhetsproblemene, oppdater til httpd-2.4.58 eller senere ved å bruke instruksjonene fra Apache HTTPD (sysv) eller Apache HTTPD (systemd).

I node.js-18.18.2, fire sårbarheter ble fikset, hvorav to er vurdert som høy. En av disse er i den leverte versjonen av nghttp2, så hvis du følger boken ved å bruke system nghttp2 bør du bruke sa 12.0 022 samt oppdatere node.js.

Oppstrøms detaljer er på CHANGELOG 18.18.2 og de har blitt tildelt CVE-2023-44487, CVE-2023-45143, CVE-2023-38552, og CVE-2023-39333.

For å fikse disse sikkerhetsproblemene, oppdater til node.js-18.18.2 eller senere ved å bruke instruksjonene fra node.js (sysv) eller node.js (systemd).

I exim-4.96.1 og exim-4.96.2 var fem sikkerhetssårbarheter fikset, tre av dem er vurdert høyt. De kunne tillate for ekstern kjøring av kode eller avsløring av sensitiv informasjon. Disse sårbarhetene er tildelt CVE-2023-42114, CVE-2023-42115, CVE-2023-42116, CVE-2023-42117, and CVE_2023-42119.

For å fikse disse sikkerhetsproblemene, oppdater til exim-4.96.2 eller nyere ved å bruke instruksjoner fra exim (sysv) eller exim (systemd).

I cURL-8.4.0 ble to sikkerhetssårbarheter fikset som kunne tillate for injeksjon av informasjonskapsler, og for ekstern kjøring av kode eller krasjer ved bruk av SOCKS5 proxy funksjonen. SOCKS5 problemet skjer under proxy håndtrykket, og oppstår hvis vertsnavnet oppdages å være lengre enn 255 byte i løpet av et sakte håndtrykk. Disse sårbarhetene har blitt tildelt CVE-2023-38545 og CVE_2023-38546.

For å fikse disse sikkerhetsproblemene, oppdater til cURL-8.4.0 eller senere ved å bruke instruksjoner fra cURL (sysv) eller cURL (systemd).

I libnotify-0.8.3 ble det fikset et sikkerhetsproblem som kunne tillate for en lokal bruker å krasje et program som kjører hvis visse parametere var tilstede når når du genererer et varsel. Dette påvirker først og fremst brukere som bruker applikasjoner som bruker Electron rammeverket, for eksempel Discord eller Spotify. Denne sårbarheten har ikke blitt tildelt en CVE, men mer informasjon kan bli funnet på libnotify Issue #34 og NEWS file.

For å fikse dette sikkerhetsproblemet, oppdater til libnotify-0.8.3 eller senere ved å bruke instruksjoner fra libnotify (sysv) eller libnotify (systemd).

I nghttp2-1.57.0 var en sikkerhetssårbarhet i HTTP/2-protokollen løst som gir mulighet for et eksternt utnyttbart tjenestenektangrep. Denne sårbarheten blir utnyttet i ville for å utløse distribuert Denial of Service angrep mot ulike tjenester. Hvis du er vert for et nettsted og har nghttp2 installert på systemet ditt, anbefales det at du oppdater systemet til nghttp2-1.57.0 umiddelbart. Dette problemet har fått navn "HTTP/2 Rapid Reset". Denne sårbarheten er tildelt CVE-2023-44487.

Ytterligere informasjon finner du på United States Government Advisory, oss-security Mailing List posting, og Google Blog Post.

For å fikse dette sikkerhetsproblemet, oppdater til nghttp2-1.57.0 eller senere ved å bruke instruksjoner fra nghttp2 (sysv) eller nghttp2 (systemd).

I samba-4.19.10 ble flere sikkerhetssårbarheter fikset som kunne tillate at en angriper å utløse tjenestenekt, krasje tjenester, eller potensielt kompromittere den. CVE-2023-3961, CVE-2023-4091, CVE-2023-4154, CVE-2023-42669 og CVE-2023-42670.

For å fikse disse sårbarhetene, oppdater til samba-4.19.1 ved hjelp av instruksjoner fra Networking Programs (sysv) eller Networking Programs (systemd).

In libXpm-3.5.17 ble to sikkerhetssårbarheter fikset som kunne tillate en angriper å lese innholdet i minnet på et system ved å åpne et ondsinnet XPM bilde. En av disse sårbarhetene oppstår når et bilde har en ødelagt fargekartseksjon, og den andre oppstår når du kaller XpmCreateXpmImageFromBuffer(). Disse er begge klassifisert som out-of-bounds leser, og har vært til stede siden minst 1998. Det anbefales at du oppdaterer også libX11 til 1.8.7 for å løse flere problemer. Disse sårbarhetene har blitt tildelt CVE-2023-43788 og CVE-2023-43789.

Ytterligere informasjon finner du på Xorg Security Advisory.

For å fikse disse sårbarhetene, oppdater til libXpm-3.5.17 ved hjelp av instruksjoner fra Xorg Libraries (sysv) eller Xorg Libraries (systemd).

I libX11-1.8.7 ble tre sikkerhetssårbarheter fikset som kunne tillate et tjenestenekt (programkrasj), eller for ekstern kode kjøring på systemer der X11 kjører som root eller på systemer med X11 Videresending aktivert. Den første sårbarheten kan utløses ved å koble til til en X-server som sender spesiallagde svar til X11-protokollen forespørsler. Den aktuelle X11-protokollforespørselen er XkbGetMap-forespørselen. Denne sårbarheten er klassifisert som en lesning utenfor grensene, og ble introdusert i X11R6.1 (utgitt i mars 1996). De to andre sårbarhetene skjer når du åpner eller behandler XPM-bilder. En av dem forårsaker stabelutmattelse på grunn av uendelig rekursjon, og den andre forårsaker et haugbufferoverløp pga til et heltallsoverløp. Begge disse har eksistert siden X11R2 (februar 1988). Merk at du bør oppdatere libXpm også siden det har vært ekstra herding utført i det biblioteket på grunn av disse problemene. Disse sårbarhetene har blitt tildelt CVE-2023-43785, CVE-2023-43786, og CVE-2023-43787.

Ytterligere informasjon finner du på Xorg Security Advisory.

For å fikse disse sårbarhetene, oppdater til libX11-1.8.7 ved hjelp av instruksjoner fra Xorg Libraries (sysv) eller Xorg Libraries (systemd).

Etter utgivelsen av Glibc-2.38 er det et bufferoverløp i den dynamiske lasteren som kan tillate en lokal privilegieeskalering funnet. Denne sårbarheten er tildelt CVE-2023-4911. Glibc-2.34, 2.35, 2.36, 2.37 og 2.38 er berørt.

Teamet som oppdaget denne sårbarheten har hevdet at det er veldig trivielt å utnytte, så ethvert LFS system som kjører de sårbare Glibc versjoner (LFS 11.0, 11.1, 11.2, 11.3 og 12.0) bør oppdateres.

• For Glibc-2.38, gjenoppbygg den med instruksjonene fra Glibc-2.38, men med glibc-2.38-memalign_fix.patch erstattet med glibc-2.38-upstream_fixes-3.patch. Denne oppdateringen inkluderer også memalign fiksen, CVE-2023-4527 (se SA 12.0-004) fiks, og CVE-2023-4806 (se SA 12.0-005) fiks.
• For Glibc-2.34 til 2.37, gjenoppbygg den med instruksjonene fra Glibc-2.34, Glibc-2.35, Glibc-2.36, eller Glibc-2.37, med glibc-2.34-cve_2023_4911-1.patch og rettelsene gitt i SA 12.0-005, SA 12.0-004 (for 2.34, 2.35, og 2.36), SA 11.2-075 (for 2.36), og SA 11.0-069 (for 2.34) anvendt.

Etter å ha testet pakken med make check, i stedet for å installere den direkte, utfør en DESTDIR installasjon med make install DESTDIR=$PWD/dest. Nå som root bruker, erstatte den sårbare dynamiske lasteren:

install -vm755 dest/usr/lib/ld-linux* /usr/lib

Hvis feilsøkingssymbolene for Glibc fjernes fra den dynamiske lasteren og lagret i en separat ld-linux*.so.2.dbg fil (som demonstrert i Stripping), bruk følgende kommandoer i stedet for å erstatte den dynamiske lasteren og feilsøkingssymbolfilen:

ldso=$(echo /usr/lib/ld-linux*[^g])
          objcopy --only-keep-debug dest/${ldso}{,.dbg}
          strip   --strip-unneeded  dest/${ldso}
          objcopy --add-gnu-debuglink=${ldso}.dbg dest/${ldso}
          install -vm755 dest/${ldso}     /usr/lib
          install -vm644 dest/${ldso}.dbg /usr/lib

I libvpx-1.13.0, er det funnet en sikkerhetssårbarhet som kan føre til store bufferoverløp hvis en ondsinnet HTML-side åpnes i en nettleser ved å bruke libvpx for å støtte VP8. Google er klar over at en utnyttelse av denne sårbarheten finnes. Denne sårbarheten er tildelt CVE-2023-5217.

For å fikse dette sikkerhetsproblemet, oppdater til (eller gjenoppbygg) libvpx-1.13.0 med libvpx-1.13.0-security_fix-1.patch brukt ved å bruke instruksjoner fra libvpx (sysv) eller libvpx (systemd).

In WebKitGTK+-2.42.1, a critical security vulnerability was fixed that could lead to remote code execution when processing crafted web content. The vulnerability was resolved with additional checks when processing JavaScript. Apple is aware of reports that this vulnerability is being actively exploited, and does not require any user interaction to exploit. The BLFS team recommends that you upDato to WebKitGTK+-2.42.1 immediately to protect your system. This vulnerability has been assigned CVE-2023-41993.

To fix this vulnerability, upDato to WebKitGTK+-2.42.1 or later using the instructions from WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

In Thunderbird-115.3.0, three security vulnerabilities were fixed that could allow for remotely exploitable crashes and arbitrary code execution. Note that these vulnerabilities only apply when using HTML mail. These vulnerabilities have been assigned CVE-2023-5169, CVE-2023-5171, and CVE-2023-5176.

To fix these vulnerabilities, upDato to Thunderbird-115.3.0 or later using the instructions from Thunderbird (sysv) or Thunderbird (systemd).

In Seamonkey-2.53.17.1, several security vulnerabilities were fixed that could allow for fullscreen window spoofing, denial of service, remote code execution, URL spoofing, push notifications being saved to disk unencrypted, and certificate exception bypasses. This upDato brings Seamonkey up to Dato with the security fixes in Firefox 115.3.0 and Thunderbird 115.3.0. These vulnerabilities have been assigned CVE-2023-34414, CVE-2023-34416, CVE-2023-3482, CVE-2023-37201, CVE-2023-37202, CVE-2023-37203, CVE-2023-37204, CVE-2023-37205, CVE-2023-37206, CVE-2023-37207, CVE-2023-37208, CVE-2023-32709, CVE-2023-37210, CVE-2023-37211, CVE-2023-3417, CVE-2023-3600, CVE-2023-4045, CVE-2023-4046, CVE-2023-4047, CVE-2023-4048, CVE-2023-4049, CVE-2023-4050, CVE-2023-4055, CVE-2023-4056, CVE-2023-4057, CVE-2023-4073, CVE-2023-4573, CVE-2023-4574, CVE-2023-4575, CVE-2023-4576, CVE-2023-4577, CVE-2023-4051, CVE-2023-4578, CVE-2023-4053, CVE-2023-4580, CVE-2023-4581, CVE-2023-4583, CVE-2023-4584, CVE-2023-4585, CVE-2023-5169, CVE-2023-5171, and CVE-2023-5176.

To fix these vulnerabilities, upDato to Seamonkey-2.53.17.1 or later using the instructions from Seamonkey (sysv) or Seamonkey (systemd).

In firefox 115.3.0 four vulnerabilities rated as Høy were fixed, Details at mfsa-2023-42. Details may appear at CVE-2023-5168, CVE-2023-5169, CVE-2023-5171, and CVE-2023-5176.

To fix these upDato to firefox-115.3.0esr or later using the instructions for: Firefox (sysv) or Firefox (systemd).

This vulnerablity has been assigned CVE-2023-4813 and many Glibc releases before 2.36 (at least 2.17 through 2.35) are affected.

Because this issue can be only triggered with an unsupported configuration in /etc/nsswitch.conf, we are not providing a patch for Glibc here. Instead you need to remove [SUCCESS=continue] and [SUCCESS=merge] from the hosts: line in /etc/nsswitch.conf if they are included there. Using them in the hosts: line is not supported and if they "worked" it's completely by coincidence. The LFS /etc/nsswitch.conf file does not contain such an unsupported configuration, so a by-the-book LFS installation is not affected.

I BIND-9.18.19, to sikkerhetssårbarheter ble fikset som kunne tillate en eksternt-utnyttbar tjenestenekt (krasj av navngitte serverprosesser). En av disse sårbarhetene oppstår under behandling av DNS-over-TLS spørringer, og oppstår på grunn av en påstandsfeil når interne datastrukturer blir feilaktig gjenbrukt under betydelig belastning. Den andre sårbarheten oppstår ved behandling av DNS-spørringer, og kan utløses ved å sende en spesiallaget melding over kontrollkanalen. Det vil føre til at pakkeparsingskoden går tom for tilgjengelig stabelminne, og dermed føre til at den navngitte serverprosessen avsluttes uventet. Disse sårbarhetene har blitt tildelt CVE-2023-3341 og CVE-2023-4236.

For å fikse disse sikkerhetsproblemene, oppDator til BIND-9.18.19 eller senere ved å bruke instruksjoner fra BIND (sysv) eller BIND (systemd).

I gst-plugins-bad-1.22.6, tre sikkerhetssårbarheter ble fikset som kan tillate kjøring av vilkårlig kode ved behandling av MXF filer eller H.265 videoer. De to sårbarhetene som oppstår ved behandling av MXF filer skjer når du åpner en fil med ukomprimert video, eller med AES3 lyd. De sårbarhetene med H.265 videoer oppstår ved parsing av misformet H.265 video streamer. Alle disse tre sårbarhetene har blitt klassifisert som heltall overløp som fører til haug- eller stabeloverskrivinger. På grunn av måten gstreamer-plugins håndteres, må du oppgradere hele gstreameren stabelen for å fikse disse sårbarhetene. Disse sårbarhetene har blitt tildelt CVE-2023-40474, CVE-2023-40475, og CVE-2023-40476.

For å fikse disse sårbarhetene, oppDator gstreamer stabelen til 1.22.6 ved hjelp av instruksjonene fra gstreamer (sysv) eller gstreamer (systemd).

I CUPS-2.4.7, en sikkerhetssårbarhet ble fikset som kunne tillate ekstern kjøring av kode eller tjenestenekt (CUPS-tjenestekrasj) pga en ondsinnet utskriftsjobb. Dette oppstår på grunn av feil validering av lengden levert av et CUPS-dokument, og sårbarheten er i scan_ps funksjonen. Dette problemet forårsaker et heap-basert bufferoverløp. Denne sårbarheten er tildelt CVE-2023-4504.

For å fikse dette sikkerhetsproblemet, oppdater du til CUPS-2.4.7 eller senere ved å bruke instruksjoner fra CUPS (sysv) eller CUPS (systemd).

I libarchive-3.7.2, flere sikkerhetssårbarheter ble fikset som kan tillate kjøring av vilkårlig kode og tjenestenekt når du skriver et PAX-arkiv ved hjelp av libarchive API. Ingen CVEer er tildelt for dette problemet, men flere detaljer finner du på libarchive upstream commit.

For å fikse disse sårbarhetene, oppdater du til libarchive-3.7.2 eller senere ved å bruke instruksjonene fra libarchive (sysv) eller libarchive (systemd).

I cURL-8.3.0, en sikkerhetssårbarhet ble fikset som kunne tillate et tjenestenekt ved behandling av HTTP deklarasjoner. Dette skjer fordi cURL lagrer innkommende HTTP deklarasjoner slik at de kan nås senere via libcurl deklarasjons API, men det var ingen begrensning på hvor mange deklarasjoner det kunne hurtiglagre, eller hvor store deklarasjoner vil bli håndtert, noe som tillater en ondsinnet server å strømme en endeløs serie med deklarasjoner og til slutt forårsake cURL å gå tom for haugminne. Dette ble fikset ved å sette en grense på total størrelse på deklarasjoner i et enkelt HTTP svar - grensen er 300KB. Denne sårbarheten er tildelt CVE-2023-38039.

For å fikse dette sikkerhetsproblemet, oppdater til cURL-8.3.0 eller senere ved å bruke instruksjoner fra cURL (sysv) eller cURL (systemd).

I Thunderbird-115.2.2, en kritisk sikkerhetssårbarhet i pakken libwebp ble fikset som kunne tillate ekstern kjøring av kode ved lasting av en ondsinnet HTML post som inneholder et webp bilde innebygd i den. Versjonen av Thunderbird som ble levert med BLFS 12.0 brukte den medfølgende libwebp, men dette er endret til å bruke systemversjonen av libwebp i utviklings versjonen av boken. På grunn av dette bør du oppgradere til både Thunderbird-115.2.2, og følg instruksjonene for å bruke systemversjonen av libwebp etter at den har blitt oppdatert ved å bruke instruksjonene fra SA-12.0-003. Det anbefales at du oppdaterer til den faste versjonen av libwebp og Thunderbird umiddelbart for å beskytte ditt system.

For å fikse dette sikkerhetsproblemet må du oppdatere til Thunderbird-115.2.2 eller nyere ved å bruke instruksjonene fra Thunderbird (sysv) eller Thunderbird (systemd).

Etter Glibc-2.38-utgivelsen, ble en bruk etter gratis fikset i getaddriinfo() funksjonen som kan tillate et tjenestenekt (krasj) med tilpassede NSS moduler en ekstremt sjelden situasjon. Denne sårbarheten er tildelt CVE-2023-4806. Mange Glibc utgivelser (minst 2.17 til 2.38) er berørt.

/etc/nsswitch.conf filen opprettet etter LFS instruksjon inneholder ikke tilpassede NSS moduler, så en LFS installasjon som følger boken er ikke sårbar.

Hvis du bruker en egendefinert nsswitch.conf, sikkerhetskopier systemet først, deretter gjenoppbygge Glibc (samme versjon som du har installert i LFS):

• For Glibc-2.38, gjenoppbygg den med instruksjonene fra Glibc-2.38, men med glibc-2.38-memalign_fix.patch erstatter glibc-2.38-upstream_fixes-1.patch. Denne oppdateringen inkluderer også memalign-fiksen og CVE-2023-4527 (se SA 12.0-004) fiks;
• For Glibc-2.36 eller 2.37, gjenoppbygg den med instruksjonene fra Glibc-2.36 eller Glibc-2.37, med glibc-2.36-cve_2023_4806-1.patch og rettelsene gitt i SA 12.0-004 og SA 11.2-075 (bare for 2.36) anvendt.
• For Glibc-2.35, bygge den på nytt med instruksjonene fra Glibc-2.35 med glibc-2.35-cve_2023_4806-1.patch og rettelsene gitt i SA 11.0-069 anvendt.
• For Glibc-2.34, bygge den på nytt med instruksjonene fra Glibc-2.34 med glibc-2.34-cve_2023_4806-1.patch og rettelsene gitt i SA 11.0-069 anvendt.
• Glibc-2.33 og tidligere støttes ikke lenger av oppstrøms, så ingen løsning er tilgjengelig. Hvis en reparasjon virkelig er nødvendig, må du bygge LFS på nytt etter LFS 12.0 (eller 12.0-systemd) med denne veiledningen brukt for kapittel 8 Glibc.

Etter å ha testet pakken med make check, i stedet for å installere den direkte, utfør en DESTDIR installasjon med make install DESTDIR=$PWD/dest. Nå som root bruker, erstatt de sårbare bibliotekfilene:

install -vm755 dest/usr/lib/libc.so.6 /usr/lib
install -vm644 dest/usr/lib/libc.a    /usr/lib

Hvis feilsøkingssymbolene for Glibc fjernes fra bibliotekfilene og lagret i en separat libc.so.6.dbg fil (som demonstrert i Stripping), bruk følgende kommandoer i stedet for å erstatte bibliotekfilene og feilsøkingssymbolfilen:

objcopy --only-keep-debug dest/usr/lib/libc.so.6{,.dbg}
strip   --strip-unneeded  dest/usr/lib/libc.{a,so.6}
objcopy --add-gnu-debuglink=/usr/lib/libc.so.6.dbg dest/usr/lib/libc.so.6
install -vm755 dest/usr/lib/libc.so.6         /usr/lib
install -vm644 dest/usr/lib/libc.{a,so.6.dbg} /usr/lib

Etter at filene er erstattet, start systemet på nytt umiddelbart.

Etter Glibc-2.38 utgivelsen ble en sikkerhetssårbarhet rettet i DNS-løser som kan tillate tjenestenekt (krasj) eller potensiell informasjonsavsløring med lang DNS-respons hvis no-aaaa er spesifisert i /etc/resolv.conf. Denne sårbarheten er tildelt CVE-2023-4527. De berørte Glibc utgivelsene er 2.36, 2.37 og 2.38.

/etc/resolv.conf fil opprettet ved å følge LFS Generell nettverkskonfigurasjon (sysv eller systemd) inneholder ikke no-aaaa så en LFS installasjon som følger boken er ikke sårbar.

Hvis du bruker no-aaaa, sikkerhetskopiere systemet først, bruk deretter rettelsen for Glibc-2.36, 2.37 eller 2.38 (bruk det samme Glibc-versjonen slik du har installert i LFS) med følgende kommando:

sed \
  -E "/__res_context_search/\
      {N;N;s/(search \(([^,]*,){6}[^,]*)NULL/\1\&alt_dns_packet_buffer/}" \
  -i resolv/nss_dns/dns-host.c

og gjenoppbygg den med instruksjonene fra Glibc-2.36 (med SA 11.2-075 oppdateringen anvendt), Glibc-2.37, eller Glibc-2.38. Etter å ha testet pakken med make check, i stedet for å installere det direkte, utfør en DESTDIR installasjon med make install DESTDIR=$PWD/dest. Nå som root bruker, erstatt bibliotekfilene som inneholder DNS-løser:

install -vm755 dest/usr/lib/libc.so.6 /usr/lib
install -vm644 dest/usr/lib/libc.a    /usr/lib

Hvis feilsøkingssymbolene for Glibc fjernes fra bibliotekfilene og lagres i en separat libc.so.6.dbg fil (som demonstrert i Stripping), bruk følgende kommandoer i stedet for å erstatte bibliotekfilene og feilsøkingssymbolfilen:

objcopy --only-keep-debug dest/usr/lib/libc.so.6{,.dbg}
strip   --strip-unneeded  dest/usr/lib/libc.{a,so.6}
objcopy --add-gnu-debuglink=/usr/lib/libc.so.6.dbg dest/usr/lib/libc.so.6
install -vm755 dest/usr/lib/libc.so.6         /usr/lib
install -vm644 dest/usr/lib/libc.{a,so.6.dbg} /usr/lib

Etter at filene er erstattet, start systemet på nytt umiddelbart.

Chromium og Apple har annonsert en kritisk sårbarhet i libwebp som blir aktivt utnyttet. Denne sårbarheten er tildelt CVE-2023-4863.

Dette sikkerhetsproblemet er rettet i libwebp-1.3.2 publisert 14.09.2023. Oppdater til libwebp-1.3.2 eller nyere ved å bruke instruksjonene for LibWebP (sysv) eller Libwebp (systemd).

For å fikse denne oppdater til mutt-2.2.12 eller senere ved å bruke instruksjonene til Mutt (sysv) eller Mutt (sysv).

I Python-3.11.5, en sikkerhetssårbarhet ble fikset som kan tillate å omgå TLS- åndtrykk i SSL sockets. Denne sårbarheten er tildelt CVE-2023-40217.

For å fikse dette sikkerhetsproblemet, oppdater du til Python-3.11.5 eller nyere ved hjelp av instruksjonene fra Python3 (sysv) eller Python3 (systemd).

Items between the releases of the 11.3 and 12.0 books

In Thunderbird-115.2.0, twelve security vulnerabilities were fixed that could allow for potentially exploitable crashes, spoofing attacks, out of memory exceptions, leakage of sensitive information, for the browsing context to not be cleared, and for remote code execution. Most of these vulnerabilities are only applicable to HTML mail. These vulnerabilities have been assigned CVE-2023-4051, CVE-2023-4053, CVE-2023-4573, CVE-2023-4574, CVE-2023-4575, CVE-2023-4577, CVE-2023-4578, CVE-2023-4580, CVE-2023-4581, CVE-2023-4583, CVE-2023-4584, and CVE-2023-4585.

To fix these vulnerabilities, update to Thunderbird-115.2.0 or later using the instructions from Thunderbird (sysv) or Thunderbird (systemd).

In firefox 115.2.0 twelve vulnerabilities applicable to BLFS were fixed, six of them rated as High. Details at mfsa-2023-36 and at CVE-2023-4051, CVE-2023-4053, CVE-2023-4573, CVE-2023-4574, CVE-2023-4575, CVE-2023-4577, CVE-2023-4578, CVE-2023-4580, CVE-2023-4581, CVE-2023-4583, CVE-2023-4584, and CVE-2023-4585.

To fix these update to firefox-115.2.0esr or later using the instructions for: Firefox (sysv) or Firefox (systemd).

In PHP-8.2.9, two security vulnerabilities were fixed which could allow for unauthorized disclosure of local files on a server, for remote code execution, and for remotely exploitable denial of service. The unauthorized disclosure of local files vulnerability occurs in the libxml module, which allows for external entities to be loaded even if the server's configuration does not have external entity loading enabled. This can occur when using other modules that depend on libxml such as ImageMagick, where the state of the libxml module is process-global. Note that the vulnerable state may persist in the same process across many requests, continuing until the process is shut down. In the case of the critical remote code execution vulnerability, it occurs in the Phar module, and happens due to insufficient length checking when reading PHAR directory entries leading to a stack buffer overflow. If you use the libxml or Phar modules in PHP, it's recommended that you upgrade to PHP-8.2.9 immediately. These vulnerabilities have been assigned CVE-2023-3823 and CVE-2023-3824.

To fix these vulnerabilities, update to PHP-8.2.9 or later using the instructions from PHP (sysv) or PHP (systemd).

In Thunderbird-115.1.1, several security vulnerabilities were fixed that could allow for file extension spoofing using the Text Direction Override Character, cross-origin restriction bypasses, remote code execution, remotely exploitable crashes, bypass of permissions requests, and for notifications to be obscured. These vulnerabilities have been assigned CVE-2023-3417, CVE-2023-3600, CVE-2023-4045, CVE-2023-4046, CVE-2023-4047, CVE-2023-4048, CVE-2023-4049, CVE-2023-4050, CVE-2023-4055, CVE-2023-4056, CVE-2023-4057, CVE-2023-37201, CVE-2023-37202, CVE-2023-37207, CVE-2023-37208, and CVE-2023-37211.

To fix these vulnerabilities, update to Thunderbird-115.1.1 or later using the instructions from Thunderbird (sysv) or Thunderbird (systemd).

If you wish to stay on the Thunderbird 102 series, update to Thunderbird 102.14.0, but note that this series is discontinued on August 30th.

In krb5-1.21.2, two security vulnerabilities were fixed that could allow for crashes of the KDC process and of the kadm5 process. The KDC process crash occurs due to a double-free in KDC's TGS processing, and the kadm5 process crash happens due to an uninitialized pointer being freed when performing XDR parsing. These vulnerabilities can be exploited remotely. These vulnerabilities have been assigned CVE-2023-36054 and CVE-2023-39975.

To fix these vulnerabilities, update to krb5-1.21.2 or later using the instructions from MIT Kerberos V5 (sysv) or MIT Kerberos V5 (systemd).

In Screen-4.9.1, a security vulnerability was fixed that could allow for local users to send a privileged SIGHUP signal to any PID on the system, which could cause a denial of service or disruption of the target process. If you are on a multi-user system and use Screen, you should upgrade. This vulnerability has been assigned CVE-2023-24626.

To fix this vulnerability, update to Screen-4.9.1 or later using the instructions from Screen (sysv) or Screen (systemd).

A side channel vulnerability in the AMD Zen/Zen2/Zen3/Zen4 CPUs has been publicised with the name "Inception" or "Speculative Return Stack Overflow" (SRSO). This vulnerability may allow an attacker to influence the return address prediction, causing speculative execution at an attacker-controlled instruction pointer register, potentially leading to information disclosure. This vulnerability has been assigned CVE-2023-20569. More details can be found at the home page for this vulnerability.

To mitigate this vulnerability, update to Linux kernel 6.4.9 or later using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd); or 6.1.44 or later if you prefer to stick with the 6.1 LTS series using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd). The kernel update is enough to mitigate the issue for Zen/Zen2 CPUs. For Zen3/Zen4 CPUs, the kernel update only partially mitigate the issue and a full mitigation requires a microcode update besides the kernel update. For Zen3/Zen4 EPYC CPUs, update to amd-microcode-20230808 or later using the instructions for About Firmware (sysv) or About Firmware (systemd). For Zen3/Zen4 non-EPYC CPUs, a microcode update is planned by AMD to be shipped in this month (Aug 2023). But we are not sure if the update would be available for end users as a kernel-loadable microcode file. If a kernel-loadable microcode update is available, we'll issue a new security advisory for it. Otherwise, you'll need to contact the vendor of your motherboard (or laptop) for a BIOS update including the new microcode.

In node.js-18.17.1, three security vulnerabilities were fixed that could allow for permission policy bypass via the Module._load function, the module.constructor.createRequre function, and the process.binding function. In the case of using Module._load and module.constructor.createRequire, it's possible to bypass the policy mechanism and require modules outside of the policy.json definition for a given module. In the case of the process.binding function, it's possible to bpyass the policy mechanism by requiring internal modules and eventually take advantage of process.binding('spawn_sync') to run arbitrary code outside of the limits defined in the policy.json file. Note that at this time, the policies are experimental features of Node.js, but they are still enabled by default. These vulnerabilities have been assigned CVE-2023-32002, CVE-2023-32006, and CVE-2023-32559.

To fix these vulnerabilities, update to node.js-18.17.1 or later using the instructions from node.js (sysv) or node.js (systemd).

In PostgreSQL-15.4, two security vulnerabilities were fixed that could allow for SQL Injection when using extension scripts, and for security policy bypasses when row security policies are in effect. In the case of the SQL Injection vulnerability, this occurs when an extension script uses the @extowner@, @extschema@, or @extschema:...@ tokens inside a quoting construct, such as dollar quoting, or quotation marks. This vulnerability allows an attacker having database-level CREATE privileges to execute arbitrary code as the bootstrap superuser. This update disables it by blocking the attack in the core server, so no modification of any existing extensions is required. In the case of the policy bypass vulnerability, PostgreSQL 15 introduced the MERGE command, which fails to test new rows against row security policies defined for UPDATE and SELECT. If UPDATE and SELECT policies forbid a row that INSERT policies do not, a user could be allowed to store such rows, and further consequences are possible depending on the application in use. These vulnerabilities have been assigned CVE-2023-39417 and CVE-2023-39418.

To fix these vulnerabilities, update to PostgreSQL-15.4 or later using the instructions from PostgreSQL (sysv) or PostgreSQL (systemd).

In intel-microcode-20230808, three hardware vulnerabilities were fixed. All of them may potentially allow information disclosure. The first one known as "Gather Data Sampling" (GDS) affects Intel processors with AVX2 capability based on Skylake, Kaby Lake, Cascade Lake, Cooper Lake, Ice Lake, or Tiger Lake microarchitectures (the latest 12th and 13th generations of Core processors are not affected). The second one only affects Intel Xeon processors based on Cooper Lake microarchitecture. The third one affects Intel Xeon processors based on Cooper Lake or Sapphire Rapids microarchitectures if SGX is utilized; this is actually rated as "High" severity by Intel but LFS does not support utilizing SGX so we still rated this advisory as "Medium". These vulnerabilities has been assigned CVE-2022-40982, CVE-2023-23908, and CVE-2022-41804.

If you are running the system on an affected processor, to fix these vulnerabilitites, update to intel-microcode-20230808 or later using the instructions for About Firmware (sysv) or About Firmware (systemd). Note that the GDS fix will make "gathering" AVX2 and AVX512 instructions much slower, so if you are building the system for a CPU affected by GDS with -march= setting in CFLAGS or CXXFLAGS (note that we do not encourage to do so at all), append -mtune-ctrl=^use_gather_2parts,^use_gather_4parts,^use_gather after the -march= option to disable these instructions.

In rustc-1.71.1, a security vulnerability was fixed in the Cargo portion of rustc which could allow a local user to change the source code compiled and executed by another user. This problem occurs because Cargo did not respect the umask value when extracting crates on a UNIX-like system, which allowed other users to modify source code in the cache directory for Cargo without another user's knowledge. Note that the cache will be cleared the next time Cargo is run once rustc has been updated to prevent existing cached extractions from being exploitable. This vulnerability has been assigned CVE-2023-38497.

To fix this vulnerability, update to rustc-1.71.1 or later using the instructions from rustc (sysv) or rustc (systemd).

In WebKitGTK+-2.41.6 (with a patch developed by the BLFS team applied), several security vulnerabilities were fixed that could allow for remote code execution, sensitive information disclosure, and bypasses of the Same Origin Policy. These vulnerabilities have also been fixed in WebKitGTK-2.40.5 if you prefer to stay on the 2.40 series. Some of these vulnerabilities can be exploited while processing crafted web content, such as advertisements, and can be exploited with no user interaction required. These vulnerabilities have been assigned CVE-2023-38133, CVE-2023-38572, CVE-2023-38592, CVE-2023-38594, CVE-2023-38595, CVE-2023-38597, CVE-2023-38599, CVE-2023-38600, and CVE-2023-38611.

To fix this vulnerability, rebuild WebKitGTK+-2.41.6 with the patch applied using the instructions from WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

If you are on the WebKitGTK+-2.40.x series, you may prefer to update to WebKitGTK+-2.40.5 instead.

In Seamonkey-2.53.17, several security patches up to Firefox and Thunderbird 102.11.0esr were applied to Seamonkey. This includes fixes for remote code execution, arbitrary code execution, denial of service, invalid GPG key verification, browser spoofing attacks, and for unauthorized downloads of files. Updating to Seamonkey-2.53.17 is recommended immediately. These vulnerabilities have been assigned CVE-2023-29533, CVE-2023-29535, CVE-2023-29536, CVE-2023-29539, CVE-2023-1945, CVE-2023-29548, CVE-2023-29550, CVE-2023-28427, CVE-2023-0547, CVE-2023-29479, CVE-2023-32205, CVE-2023-32206, CVE-2023-32207, CVE-2023-32211, CVE-2023-32212, CVE-2023-32213, and CVE-2023-32215.

To fix these vulnerabilities, update to Seamonkey-2.53.17 or later using the instructions from Seamonkey (sysv) or Seamonkey (systemd).

In MariaDB-10.11.4 (and MariaDB-10.6.14), a security vulnerability was fixed that could allow for a denial of service. The vulnerability occurs due to it being possible for the function spider_db_mbase::print_warnings to dereference a null pointer, which will result in a crash. BLFS has moved onto MariaDB-10.11.x for BLFS 12.0, and while upgrading and running 'mariadb-upgrade' will not result in any ill effects, MariaDB-10.6.14 has been tested and is confirmed to work if you prefer to stay on the 10.6 series. This vulnerability has been assigned CVE-2022-47015.

To fix this vulnerability, update to MariaDB-10.11.4 (or 10.6.14) using the instructions from MariaDB (sysv) or MariaDB (systemd).

If you upgrade to MariaDB-10.11 from MariaDB-10.6, make sure that you run the mariadb-upgrade command.

In QtWebEngine-5.15.15, fixes for seven Chromium security vulnerabilities were backported to the branch. All are rated as High. CVE-2023-2721, CVE-2023-2931, CVE-2023-2932, CVE-2023-2933, CVE-2023-2935, CVE-2023-3079, and CVE-2023-3216.

To fix these vulnerabilities, update to QtWebEngine-5.15.15 using the instructions for QtWebEngine (sysv) or QtWebEngine (systemd).

In OpenSSL-3.1.2 (and OpenSSL-1.1.1v), three security vulnerabilities were fixed that could allow for applications which use the AES-SIV implementation in OpenSSL to be misled by empty associated data entries, excessive slowdown when checking DH keys and parameters, and for excessive slowdown when checking the 'q' parameter value in a DH key. This could lead to a denial of service condition due to excessive usage of resources. These vulnerabilities have been assigned CVE-2023-2975, CVE-2023-3446, and CVE-2023-3817.

To fix these vulnerabilities, update to OpenSSL-3.1.2 (or OpenSSL-1.1.1v if you prefer to say on the 1.1 series) using the instructions from OpenSSL (sysv) or OpenSSL (systemd).

In firefox 115.1.0 seven vulnerabilities applicable to BLFS and rated as High were fixed. Details at mfsa-2023-31 and at CVE-2023-4045, CVE-2023-4047, CVE-2023-4048, CVE-2023-4049, CVE-2023-4050, CVE-2023-4056, and CVE-2023-4057.

To fix these update to firefox-115.1.0esr or later using the instructions for: Firefox (sysv) or Firefox (systemd).

A High-severity vulnerability (information disclosure in 16-byte chunks by a non-privileged user) has been publicised. Update the linux kernel to version 6.4.6 or later (6.1.41 or later if you use the LTS 6.1 version). This hardware vulnerability is known as zenbleed and allows disclosure of sensitive information. This vulnerability has been assigned CVE-2023-20593. More details can be found at the article written by the discoverer of this vulnerability.

AMD made an unexpectely early release of microcode for a few of the higher-end affected CPUs, confusion about which led to an initial recommendation to update the microcode because the fix in the kernel could slow down some usages. It has now become clear that AMD are intending to ship updated AGESA for other affected CPUs in October to December, and past experience suggests that updates to linux firmware will only happen after that. See amd-sb-7008 while noting that AMD downplay the severity.

When a fixed kernel has been booted, look for a one-time message using 'dmesg | grep -i zenbleed'. If that shows 'Zenbleed: please update your microcode for the most optimal fix' then you know that the kernel has worked around the issue, and you can update to the new microcode (or update the AGESA via a 'bios' update from the motherboard manufacturer) when available.

If the fixed kernel does not mention Zenbleed then either you are not on a Zen2 CPU, or alternatively you are on one of the EPYC Zen2 variants for which the family 17 microcode has been released (currently only Rome/Castle Peak and Mendocino). More details in the thread and sub-threads starting at oss-security

In cURL-8.2.1, a security vulnerability was fixed that could allow for accidental overwriting of data due to a TOCTOU race condition when libcurl is told to save cookies, HSTS, or alt-svc data to a file. When exploiting this flaw, an attacker can trick a victim into creating or overwriting protected files holding this data in ways it was not intended to. The race condition modifies the behavior of symbolic links in affected components, allowing them to be followed instead of overwritten. This vulnerability impacts libcurl itself rather than just the cURL utility, and thus can be exploited in many different applications. This vulnerability has been assigned CVE-2023-32001.

To fix this vulnerability, update to cURL-8.2.1 or later using the instructions from cURL (sysv) or cURL (systemd).

This advisory was based on incomplete information from upstream and has been replaced by SA 11.3-067 above.

In amd-microcode-20230719, one hardware vulnerability known as "zenbleed" has been fixed. The vulnerability may allow sensitive information disclosure on all Zen 2 class processors. This vulnerability has been assigned CVE-2023-20593. More details can be found at the article written by the discoverer of this vulnerability.

If you are running LFS on a Zen 2 processor, update AMD Microcode to 20230719 or later using the instructions for About Firmware (sysv) or About Firmware (systemd) to fix the issue. Alternatively, a software mitigation has been developed for Linux kernel. But the software mitigation can cause performance degradation, so we highly recommend to update the microcode instead of relying on the software mitigation.

In gst-plugins-ugly-1.22.5, two security vulnerabilities were fixed that could allow for arbitrary code execution or denial of service. These vulnerabilities are in the RealMedia plugin, and occur due to integer overflows which lead to heap overwrites. If you use RealMedia files, you should update the gstreamer stack to 1.22.5 immediately. These vulnerabilities do not have CVEs assigned yet, but details are available upstream at ZDI-CAN-21443 and ZDI-CAN-21444.

To fix these vulnerabilities, update the gstreamer stack to 1.22.5 using the instructions from gstreamer (sysv) or gstreamer (systemd).

In librsvg-2.56.3, a security vulnerability was fixed that could allow for arbitrary file reads when an xinclude href has special characters in it. These special characters include '?', '#', and '@'. A proof of concept is public which allows for reading /etc/passwd on a system when loading an SVG image using librsvg. This vulnerability has been assigned CVE-2023-38633. Additional information can be found at the librsvg Gitlab issue.

To fix this vulnerability, update to librsvg-2.56.3 or later using the instructions from librsvg (sysv) or librsvg (systemd).

In OpenJDK-20.0.2, six security vulnerabilities were fixed that could allow for unauthorized access to data on a system and for a denial of service. These vulnerabilities were found in the Hotspot, Libraries, Utility, and Networking components, and all but one of them can be exploited remotely without any user interaction and without authentication. These vulnerabilities have been assigned CVE-2023-22041, CVE-2023-22044, CVE-2023-22045, CVE-2023-22049, CVE-2023-22036, and CVE-2023-22006.

To fix these vulnerabilities, update to OpenJDK-20.0.2 (or use the prebuilt Java binaries) using the instructions from OpenJDK (sysv) or OpenJDK (systemd).

In WebKitGTK+-2.41.6, a critical security vulnerability was fixed that could lead to remote code execution. This vulnerability occurs when processing crafted web content, and is known to Apple to be actively exploited. The BLFS team has created a patch on top of 2.41.6, but if you are using WebKitGTK+-2.40.x, WebKitGTK+-2.40.4 has been released with the patch already included. This vulnerability has been issued CVE-2023-37450.

To fix this vulnerability, update to WebKitGTK+-2.41.6 or later with the patch from WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

A temporary workaround is to export the following environment variable prior to running a program that uses WebKitGTK+ from the terminal: export JSC_useWebAssembly=0. Note that this is known to break some websites which rely off WASM.

In Samba-4.18.5, five security vulnerabilities were fixed that could allow for remotely exploitable crashes, packet signatures not being enforced, and for the absolute path of files on a server to be disclosed to a remote attacker. The denial of service vulnerabilities occur if you are using winbind for NTLM authentication and if you are using the mdssvc RPC service for Spotlight. Note that one of the vulnerabilities in Spotlight can result in 100% CPU usage on the server. The packet signature enforcement bypass occurs when using SMB2 packet signing, and the absolute path disclosure occurs when the Spotlight protocol is used. The vulnerability that allows for packet signature enforcement bypass also is known to cause issues with systems running the July 2023 Security Updates for Windows 10, Windows 11, and Windows Server 2012 R2 through Windows Server 2022, as those versions of Windows request packet signature enforcement when using SMBv2. On those versions of Windows, intermittent connection failures to servers without this update will occur. It is thus recommended to update Samba if you use it on a network with Windows systems present, even if you do not use winbindd or Spotlight. These vulnerabilities have been assigned CVE-2022-2127, CVE-2023-3347, CVE-2023-34966, CVE-2023-34967, and CVE-2023-34968.

To fix these vulnerabilities, update to Samba-4.18.5 or later using the instructions from Samba (sysv) or Samba (systemd).

In OpenSSH-9.3p2, a security vulnerability was fixed that could allow for remote code execution in some cases when using the PKCS#11 feature in ssh-agent. The PKCS#11 feature in ssh-agent has a search path that is not trustworthy, and will load any library in /usr/lib and cause remote code execution if the agent is forward to an attacker-controlled system. This is due to an incomplete fix for CVE-2016-10009. Note that this fix does introduce incompatible behavior. The defaults have been changed to refuse requests to load PKCS#11 modules issued by remote clients. If this impacts you, you must add the "-Oallow-remote-pkcs11" flag to your ssh-agent command. Note that this vulnerability only impacts users who use the ssh-agent command. This vulnerability has been assigned CVE-2023-38408, and further details are available from Qualys from Qualys Security Advisory.

To fix this vulnerability, update to OpenSSH-9.3p2 or later using the instructions from OpenSSH (sysv) or OpenSSH (systemd).

In nghttp2-1.55.1, a security vulnerability was fixed that could allow for denial of service through memory exhaustion. This vulnerability has been assigned: wnpa-sec-2023-22.

To fix this vulnerability, update to nghttp2-1.55.1 or later using the instructions from nghttp2 (sysv) or nghttp2 (systemd).

In Wireshark-4.0.7, two security vulnerabilities were fixed that could allow for denial of service via packet injection or crafted capture files. These can occur when using a malformed packet trace file or by injecting a malformed packet onto the wire. These vulnerabilities cause a crash or cause Wireshark to go into an infinite loop. These vulnerabilities have been assigned: wnpa-sec-2023-21 and wnpa-sec-2023-22.

To fix these vulnerabilities, update to Wireshark-4.0.7 or later using the instructions from Wireshark (sysv) or Wireshark (systemd).

In firefox 115.0.2 a vulnerability rated as High was fixed. Details at mfsa-2023-26 and CVE-2023-3600.

To fix these update to firefox-115.0.2esr or later using the instructions for: Firefox (sysv) or Firefox (systemd).

In LWP-Protocol-https-6.11, a security vulnerability was fixed that could for attackers to disable server certificate validation via passing the HTTPS_CA_DIR or HTTPS_CA_FILE environment variable. This vulnerability has been assigned CVE-2014-3230.

To fix this vulnerability, update to LWP-Protocol-https-6.11 or later using the instructions from LWP::Protocol::https (sysv) or LWP::Protocol::https (systemd).

In gst-plugins-base and gst-plugins-good 1.22.4, three security vulnerabilities were fixed that could allow for arbitrary code execution and application crashes. These happen due to heap overwrites and integer overflows when processing subtitles (using the subparse and PGS subtitle parsers), and when processing malformed image tags in the FLAC parser. If you use subtitles or FLAC files, it's recommended that you update the gstreamer stack to 1.22.4 immediately. These vulnerabilities have not been assigned CVEs yet, but more details can be found at ZDI-CAN-20775, ZDI-CAN-20968, and ZDI-CAN-20994.

To fix these vulnerabilities, update the gstreamer stack to 1.22.4 using the instructions from gstreamer (sysv) or gstreamer (systemd).

In OpenJDK-20.0.1, six security vulnerabilities were fixed that could allow for unauthorized creation, modification, or deletion of data on a system, as well as for denial of service. These vulnerabilities occur in the TLS, HTTPS, Swing, core libraries, and networking components, and can be exploited remotely with no authentication required. These vulnerabilities have been assigned CVE-2023-21930, CVE-2023-21967, CVE-2023-21939, CVE-2023-21938, CVE-2023-21968, and CVE-2023-21937.

To fix these vulnerabilities, update to OpenJDK-20.0.1 (or the prebuilt Java binaries) using the instructions from OpenJDK (sysv) or OpenJDK (systemd).

In Linux Kernel 6.4.1 (as well as 6.1.31), a security vulnerability was fixed that allows for trivial privilege escalation. The vulnerability occurs due to the updated memory management subsystem starting in Linux 6.1, where the maple tree (which is responsible for managing virtual memory areas) can undergo node replacement without properly acquiring a write lock. This allows for use-after-free issues which allow unprivileged local users to compromise the kernel and escalate their privileges. This vulnerability has been called "StackRot". This vulnerability has been assigned CVE-2023-3269. A detailed technical explanation can be found at StackRot post on seclists.org.

To fix these vulnerabilities, update to Linux kernel 6.4.1 or later using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd); or 6.1.31 or later if you prefer to stick with the 6.1 LTS series using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd).

In ghostscript-10.01.2, a security vulnerability was fixed that could allow for arbitrary code execution and a denial of service. This problem occurs due to mishandling permission validation, and can allow for PS files to execute commands on the system if the files use the %pipe% prefix or the "|" pipe character prefix. Note that this can be exploited by sending a print job to a print server as well as when viewing/editing PostScript and PDF files in most applications. This vulnerability has been assigned CVE-2023-36664.

To fix this vulnerability, update to ghostscript-10.01.2 or later using the instructions from ghostscript (sysv) or ghostscript (systemd).

In libjpeg-turbo-3.0.0, a security vulnerability was fixed that could allow for a denial of service when processing certain 12-bit lossless JPEG images which contain samples that were out-of-range. An application which attempts to decompress such an image would lead to a buffer overflow which causes an application to crash. This vulnerability has been assigned CVE-2023-2804.

To fix this vulnerability, update to libjpeg-turbo-3.0.0 or later using the instructions from libjpeg (sysv) or libjpeg (systemd).

Since ImageMagick-7.1.0-61 several vulnerabilites have come to light, one rated as High. These were fixed between 7.1.0-62 and 7.1.1-10. These vulnerabilities have been assigned CVE-2023-1289, CVE-2023-1906, CVE-2023-2157, CVE-2023-34151 and CVE-2023-34153.

To fix these, update to ImageMagick-7.1.1-12 or later using the instructions for ImageMagick (sysv) or ImageMagick (systemd).

In both firefox 115.0 and 102.13.0 several vulnerabilities were fixed, of which three were rated high, as well as others only applicable to versions after 102esr. Details at mfsa-2023-22 (115.0) and mfsa-2022-23 (102.13.0). The high severity CVEs common to 102esr and 115esr are CVE-2023-37201, CVE-2023-37202, CVE-2023-37121.

To fix these update to firefox-115.0esr or later using the instructions for: Firefox (sysv) or Firefox (systemd).

Alternatively, update to firefox-102.13.0 as a short-term fix which does not require updated dependencies. See the Editor Notes in the development book for guidance on required minimum dependencies for 115esr. Please note that firefox 102esr will have two more releases and then become unsupported at the end of August.

In the Javascript code of firefox-102.13.0 there is a fix for a potential use after free, see CVE-2023-37202 in mfsa-2023-23. Further details may appear at CVE-2023-37202.

To fix this, update to JS-102.13.0 or later using the instructions for JS102 (sysv) or JS102 (systemd).

In BIND-9.18.16, two security vulnerabilities were fixed that could allow for a denial of service (application crash and system memory exhaustion). On systems where there is a lot of cached information, it was possible to significantly exceed the configurable cache limit by sending requests for RRsets in a certain order. Note that this impacts the default configuration for BIND, and can lead to the system running out of memory quickly. The other vulnerability occurs due to the 'recursive-clients' quota on some resolvers. If the server is configured with both 'stale-answer-enable yes' and 'stale-anser-client-timeout 0', a sequence of serve-stale-related lookups will cause the server to loop infinitely and terminate unexpectedly due to a stack overflow. If you're using BIND's DNS server instead of just the client utilities, it is recommended that you update to BIND-9.18.16 immediately as the first denial-of-service vulnerability can be exploited by any system which contacts the DNS server when using the default configuration in BLFS. This does not affect the client utilities, it only affects the server. These vulnerabilities have been assigned CVE-2023-2911 and CVE-2023-2828.

To fix these vulnerabilities, update to BIND-9.18.16 or later using the instructions from BIND (sysv) or BIND (systemd).

In node.js-18.16.1, four security vulnerabilities were fixed that could allow for policy mechanism bypasses, denial of service, HTTP Request Smuggling, and keys not being properly generated. The policy mechanism bypass happens when using the process.mainModule.proto.require() function and can allow for modules to be downloaded from outside of the policy.json definition. In terms of the denial of service vulnerability, it can occur when an invalid public key is provided to the crypt function and can allow for modules to be downloaded from outside of the policy.json definition. In terms of the denial of service vulnerability, it can occur when an invalid public key is provided to the crypto.X509Certificate() API and will result in process termination. The HTTP Request Smuggling vulnerability is very similar to the one fixed in Python. It was fixed by changing the API to use the CRLF sequence to delimit HTTP requests. The vulnerability where keys were not being properly generated occurs due to invalid documentation, where there is an inconsistency between implementation and documented design. The documentation said that crypto.createDiffieHellman() will generate keys, while the implmentation in the module does not. These vulnerabilities have been assigned CVE-2023-30581, CVE-2023-30588, CVE-2023-30589, and CVE-2023-30590.

To fix these vulnerabilities, update to node.js-18.16.1 or later using the instructions from node.js (sysv) or node.js (systemd).

In CUPS-2.4.6, a security vulnerability was fixed that could allow for denial of service or information disclosure. The problem occurs due to a use-after-free bug that affects the 'cupsd' process, and occurs in the cupsdAcceptClient() function. On systems where the cupsd process is running in a privileged mode, it is possible to exfiltrate sensitive information from the server, as well as cause a remotely exploitable crash and loss of all print jobs stored in the queue as a result. It's highly recommended to update CUPS if you print regularly or if you share printers with other computers on your network. This vulnerability has been assigned CVE-2023-34241.

To fix this vulnerability, update to CUPS-2.4.6 or later using the instructions from CUPS (sysv) or CUPS (systemd).

In cups-filters-1.28.16, a security vulnerability exists that allows for remote code execution when using an IPP printer with the 'beh' backend. Upstream has resolved the problem, but has not cut a new release yet, so the BLFS team has developed a patch for it. The remote code execution vulnerability occurs due to calling the system command with an unsanitized user-provided command line when sending print jobs to the printer. This update is extremely important if you're hosting a print server which uses the 'beh' printer backend (beh standing for Backend Error Handler). This vulnerability has been assigned CVE-2023-24805.

To fix this vulnerability, apply the patch to cups-filters using the instructions from cups-filters (sysv) or cups-filters (systemd).

In Thunderbird-102.12.0, several security vulnerabilities were fixed that could allow for crashes, browser outputs to be obscured by popups, memory corruption, spoofing, unauthorized certificate exceptions, and remote code execution. Most of these vulnerabilities are only exploitable via HTML mail. These vulnerabilities have been assigned CVE-2023-32205, CVE-2023-32206, CVE-2023-32207, CVE-2023-32211, CVE-2023-32212, CVE-2023-32213, CVE-2023-32215, CVE-2023-34414, and CVE-2023-34416.

To fix this vulnerability, update to Thunderbird-102.12.0 or later using the instructions from Thunderbird (sysv) or Thunderbird (systemd).

In dbus-1.14.8, a security vulnerability was fixed that could allow for unprivileged users to crash the dbus-daemon. Note that this could cause serious problems on systemd systems, but can lead to desktop environments crashing on SysV systems. If a privileged user with control over the dbus daemon is using the org.freedesktop.DBus.Monitoring interface to monitor message bus traffic (such as QDbusViewer from Qt), an unprivileged user can trigger a crash of the dbus-daemon process by sending an unreplyable message. This vulnerability has been assigned CVE-2023-34969.

To fix this vulnerability, update to dbus-1.14.8 or later using the instructions from the BLFS book for dbus (sysv) or dbus (systemd).

In Python-3.11.4, three security vulnerabilities were fixed that could allow for directory traversal, location exposure over HTTP, and for policy bypasses. The directory traversal vulnerability occurs when using the uu.decode function when no out_file was specified. The location exposure over HTTP vulnerability occurs when using the http.client.SimpleHTTPRequestHandler function. The policy bypass happens due to not correctly following the WHATWG standard, and was resolved by modifying the urllib.parse.urlsplit function to strip leading C0 control and space characters. Note that this is the only vulnerability to have a CVE assigned to it. This vulnerability has been assigned CVE-2023-24329, and more details are available at LFS Ticket #5271.

To fix this vulnerability, update to Python-3.11.4 or later (or Python-3.8.17 or later, Python-3.9.16 or later, Python-3.10.12 or later if you decide not to update the minor version) using the instructions from the BLFS book for Python (sysv) or Python (systemd).

In CUPS-2.4.5, a security vulnerability was fixed that could allow for a remote attacker to trigger a denial-of-service attack against a CUPS server. It offurs due to a heap buffer overflow vulnerability, and the vulnerable function has to do with logging (the format_log_line function). This would also cause all current print jobs to be canceled. If you share printers with other users, it's highly recommended to update to CUPS-2.4.5 or later. This vulnerability has been assigned CVE-2023-32324.

To fix this vulnerability, update to CUPS-2.4.5 or later using the instructions for CUPS (sysv) or CUPS (systemd).

In LibX11-1.8.6, a security vulnerability was fixed. A malicious X server (or a malicious proxy-in-the-middle) may corrupt client memory and at least cause the client to crash. This vulnerability has been assigned CVE-2023-3138.

To fix this vulnerability, update to LibX11-1.8.6 or later using the instructions for Xorg Libraries (sysv) or Xorg Libraries (systemd).

In Firefox-102.12.0esr, two security vulnerabilities rated as High by upstream were fixed. Details at mfsa-2023-19. These vulnerabilities have been assigned CVE-2023-34414, CVE-2023-34416.

To fix these vulnerabilities, update to Firefox-102.12.0esr or later using the instructions for Firefox (sysv) or Firefox (systemd).

In WebKitGTK+-2.40.2, two security vulnerabilities were fixed that could allow for sensitive information disclosure and remote code execution. These vulnerabilities are caused by out-of-bounds reads and use-after-frees, and can be exploited trivially with no user interaction necessary. Apple is aware of several reports of active exploitation of these vulnerabilities, and it is critical that you update your system immediately. These vulnerabilities have been assigned CVE-2023-28204 and CVE-2023-32373.

To fix these vulnerabilities, update to WebKitGTK+-2.40.2 or later using the instructions from WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

In Exiv2-0.28.0, several security vulnerabilities were fixed that could allow for denial of service and arbitrary code execution when processing image metadata. Some of these occured due to Out-of-bounds reads, while others occured due to infinite loops and memory management problems. These vulnerabilities primarily occur in the library, though they are exploitable through the command line utility. Most of these vulnerabilities can be triggered automatically when processing an image. These vulnerabilities have been assigned CVE-2021-29473, CVE-2021-31761, CVE-2021-37620, CVE-2021-34334, CVE-2021-37622, and CVE-2021-37623.

Additional information can be found at the Exiv2 release notes.

To fix these vulnerabilities, update to Exiv2-0.28.0 using the instructions from Exiv2 (sysv) or Exiv2 (systemd).

In PostgreSQL-15.3, two security vulnerabilities were fixed that could allow for arbitrary code execution and for incorrect policies to be applied on rows. The arbitrary code execution vulnerability occurs due to CREATE SCHEMA ... schema_element defeating protective search_path changes, enabling attackers having database-level CREATE privilege to execute commands as root. The incorrect security policy application on rows occurs due to Row security policies disregarding user ID changes after inlining. These vulnerabilities were assigned CVE-2023-2454 and CVE-2023-2455.

To fix these vulnerabilities, update to PostgreSQL-15.3 or later using the instructions from PostgreSQL (sysv) or PostgreSQL (systemd).

In OpenSSL-3.1.1, five security vulnerabilities were fixed that could allow for denial of service, invalid certificate policies being silently ignored, certificate policy checks not being enabled, crashes on 64-bit ARM platforms, and for significantly degraded performance. The denial of service vulnerability occurs due to excessive resource consumption when verifying X.509 policy constraints in certificate chains. The invalid certificate policies being silently ignored occurs due to leaf certificates being processed incorrectly when checking certificates. However, this vulnerability requires the nonstandard "-policy" argument to be passed to command line utilities, or by calling the X509_VERIFY_PARAM_set1_policies() function, and must be exploited by a malicious CA. The certificate policy checks not being enabled is caused by improper documentation of the X509_VERIFY_PARAM_add0_policy() function, and might require upstreams to modify applications to enable the policy check, since it's not done automatically. The ARM64-specific crash occurs because the AES-XTS cipher decryption implementation for this platform has a problem that causes it to read past its input buffer, leading to an instant crash. The performance degredation occurs when processing some ASN.1 object identifiers through the OBJ_obj2txt() function or any subsystems with no message size limit. These vulnerabilities have been assigned CVE-2023-2650, CVE-2023-1255, CVE-2023-0466, CVE-2023-0465, and CVE-2023-0464.

To fix these vulnerabilities, update to OpenSSL-3.1.1 or later (or 1.1.1u or later if you decide not to update from OpenSSL-1.1 to OpenSSL-3) using the instructions from the LFS book for OpenSSL (sysv) or OpenSSL (systemd).

In libcap-2.69, two security vulnerabilities were fixed that could allow for denial of service. One of the denial of service vulnerabilities occurs when an application calls the __real_pthread_create() function in libcap, and is caused by a memory leak. It can occur when an attacker purposely causes an error to return, and memory is not properly released. The other vulnerability is caused by an integer overflow, which happens in the _libcap_strdup() function and can occur when an attacker provides an input string that is close to 4 GiB. These vulnerabilities have been assigned CVE-2023-2602 and CVE-2023-2603.

To fix these vulnerabilities, update to libcap-2.69 or later using the instructions from the LFS book for libcap (sysv) or libcap (systemd).

In cURL-8.1.0, several security vulnerabilities were fixed that could allow for expected behavior violations, IDN wildcard matches, race conditions (causing improper synchronization in multi-threaded applications), and for an information leak due to a use-after-free. These vulnerabilities are limited in their scope and exploitability due to cURL's design, but can still be exploited on normal systems in some circumstances. The information leak occurs in the SSH SHA256 fingerprint check, and the race condition occurs due to libcurl using a global buffer that isn't mutex protected. The vulnerability is exploitable if cURL is built to use a synchronous resolver, which would allow for name resolves to timeout slow operations using alarm() and siglongjmp(). The IDN wildcard matching applies to TLS server certificates, and the expected behavior violations apply to POST-after-PUT commands in HTTP(S) transfers. These vulnerabilities have been assigned CVE-2023-28322, CVE-2023-28321, CVE-2023-28320, and CVE-2023-28319.

To fix these vulnerabilities, update to cURL-8.1.2 or later using the instructions from cURL (sysv) or cURL (systemd).

In Wireshark-4.0.6, nine security vulnerabilities were fixed that could allow for denial of service via packet injection or crafted capture files. These can occur when using a malformed packet trace file or by injecting a malformed packet onto the wire. These vulnerabilities cause a crash or cause Wireshark to go into an infinite loop. These vulnerabilities have been assigned: CVE-2023-2855, CVE-2023-2857, wnpa-sec-2023-14, CVE-2023-2858, CVE-2023-2856, CVE-2023-2854, CVE-2023-0666, CVE-2023-0668, and wnpa-sec-2023-20.

To fix these vulnerabilities, update to Wireshark-4.0.6 or later using the instructions from Wireshark (sysv) or Wireshark (systemd).

In Requests-2.31.0, a security vulnerability was fixed, rated as moderate. This has been assigned CVE-2023-32681.

To fix this, update to requests-2.31.0 or later using the instructions for requests (sysv), or requests (systemd).

In c-ares-1.19.1, three security vulnerabilities were fixed, one of them rated as high (and one other regarding cross-compilation using autotools, which is not how BLFS builds this package). Details can be found at c-ares vulnerabilities. These have been assigned CVE-2023-32067, CVE-2023-31147 and CVE-2023-31130.

To fix this, update to c-ares-1.19.1 or later using the instructions for c-ares (sysv), or c-ares (systemd).

In QtWebEngine-5.15.14, fixes for several recent Chromium security vulnerabilities were backported to the branch used for 5.15. One of these is rated as Critical, 11 others are rated as High. CVE-2023-1215, CVE-2023-1219, CVE-2023-1220, CVE-2023-1222, CVE-2023-1529, CVE-2023-1530, CVE-2023-1531, CVE-2023-1534, CVE-2023-1810, CVE-2023-1811, CVE-2023-2033, CVE-2023-2137, and CVE-2023-29469.

Qt-5.15 reaches End of Life on 2023-05-26, it is unclear if any further vulnerability fixes will be available. To fix these vulnerabilities, update to QtWebEngine-5.15.14 using the instructions for QtWebEngine (sysv) or QtWebEngine (systemd).

In Firefox-102.11.0esr, six security vulnerabilities applicable to linux systems were fixed, four of them rated as High by upstream. Details at mfsa-2023-17. These vulnerabilities have been assigned CVE-2023-32205, CVE-2023-32206, CVE-2023-32207, CVE-2023-32211, CVE-2023-32213, CVE-2023-32215.

To fix these vulnerabilities, update to Firefox-102.11.0esr or later using the instructions for Firefox (sysv) or Firefox (systemd).

In the Javascript code of firefox-102.11.0 there are various changes, including what appears to be the fix for a type-checking bug reported against firefox, see CVE-2023-32211 in mfsa-2023-17. Further details may appear at CVE-2023-32211.

To fix this, update to JS-102.11.0 or later using the instructions for JS102 (sysv) or JS102 (systemd).

Revision: details now at LuaTeX Security Vulnerabilities with an example exploit (it runs the last command on the lualatex command line). Now rated as High because the public exploit looks like an easy step towards privilege escalation, either by persuading you to run an untrusted file, or for a user on a multiuser system. This is CVE-2023-32700. Note that ConTeXt was not vulnerable because the debug module is disabled there, and that the vulnerability applies to LuaTeX versions 1.04 to 1.16.1 (TeXLive 2017 to 2023). There are no fixes for versions of Texlive before 2023.

In texlive_bugs (Known issues in TeX Live 2023) all users of the luatex programs were advised to update to v1.17.0 (and for the binary, that includes users of ConTeXt which uses the luametatex binary: in texlive-source we only support ConTeXt using the mkiv backend - that also needs a fix). The issue was described as "obscure ways to work around some security features".

Users of install-tl-unx who have installed lualatex should check the version using 'lualatex --version' and use tlmgr to update if the version is less than 1.17.0.

To fix this using texlive-source-2023 reinstall using the security-fixes-1 patch and applying a sed to mtxrun.lua (if you use ConTeXt) following the instructions from texlive (sysv) or texlive (systemd). Unfortunately, you will need to reinstall any of asymptote, biber, dvisvgm or xindy which you have installed.

In several versions up to Git-2.40.0, three security issues were identified and fixed in Git-2.40.1. They allowed to write outside a working tree when applying a specially crafted patch, allowed for malicious placement of crafted messages under certain circumstances, and arbitrary configuration injection. These vulnerabilities have been assigned CVE-2023-25652, CVE-2023-25815, and CVE-2023-29007.

To fix these vulnerabilities, update to Git-2.40.1 or later using the instructions from Git (sysv) or Git (systemd).

In WebKitGTK+-2.40.1, six security vulnerabilities were fixed that could allow for remote code execution, remotely exploitable denial of service, Same Origin Policy bypass, and sensitive user information tracking. One of these vulnerabilities resulted in emergency updates from Apple and is known to be actively exploited, and can be triggered through malicious advertisements on web pages or other crafted web content. It's recommended that you update WebKitGTK+ immediately to protect yourself and your system. These vulnerabilities have been assigned CVE-2023-25358, CVE-2022-0108, CVE-2022-32885, CVE-2023-27932, CVE-2023-27954, and CVE-2023-28205.

To fix these vulnerabilities, update to WebKitGTK+-2.40.1 or later using the instructions from WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

When updating to WebKitGTK+-2.40.1, you will need to install the 'unifdef' package. You only need the GTK+-3 version of WebKitGTK+, so set -DUSE_GTK4=OFF. If you do not want to install the new libavif package and it's dependency, pass -DUSE_AVIF=OFF.

We are currently aware of reports that this package fails to run properly when used on Intel GPUs between Skylake and Coffee Lake. If you have one of these GPUs, please wait until the next release of WebKitGTK+.

In Wireshark-4.0.5, three security vulnerabilities were fixed that could allow for denial of service via packet injection or crafted capture files. These can occur when using RPCoRDMA packets, LISP packets, or GQUIC packets. Two of these vulnerabilities cause a crash, and the other causes a huge loop that can run your system out of resources. If you're using RPCoRDMA, LISP, or GQUIC packets in your network, it's recommended to update Wireshark. These vulnerabilities have been assigned CVE-2023-1992, CVE-2023-1993, and CVE-2023-1994.

To fix these vulnerabilities, update to Wireshark-4.0.5 or later using the instructions from Wireshark (sysv) or Wireshark (systemd).

In libxml2-2.10.4, three security vulnerabilities were fixed that could cause crashes. One of these is because hashing of empty dict strings wasn't deterministic, but the other two vulnerabilities are due to null pointer dereferences when using the xmlSchemeFixupComplexType and the xmlSchemaCheckCOSSTDerivedOK functions. Note that only two of these vulnerabilities were assigned CVE IDs. These vulnerabilities have been assigned CVE-2023-29469 and CVE-2023-28484.

To fix these vulnerabilities, update to libxml2-2.10.4 or later using the instructions for libxml2 (sysv) or libxml2 (systemd).

In ghostscript-10.01.1, a critical security vulnerability was fixed that allows for arbitrary code execution when loading crafted PostScript files. A proof of concept for this vulnerability is public, and it is known to be exploited. The vulnerability was fixed with ghostscript-10.01.1, but was not known to be part of this update until a posting was released to oss-security on 04-13-2023 making it public. This vulnerability is called "Shell in the Ghost", and is due to a buffer overflow. It is imperative that you update ghostscript on all systems which have it installed immediately. This vulnerability has been assigned CVE-2023-28879.

To fix this vulnerability, update to ghostscript-10.01.1 or later using the instructions for ghostscript (sysv) or ghostscript (systemd).

In Thunderbird-102.10.0, several security vulnerabilities were fixed that could allow for user confusion/spoofing attacks, potentially exploitable crashes, memory corruption, denial of service, security control bypasses (revocation status of S/MIME certificates were not checked), user interface hangs, remote code execution through download reflection and mishandling of .desktop files on Linux systems, and arbitrary code execution. Updating Thunderbird is highly recommended, and is crucial if you are using S/MIME encrypted email. These vulnerabilities have been assigned CVE-2023-29533, CVE-2023-29535, CVE-2023-29536, CVE-2023-0457, CVE-2023-29479, CVE-2023-29539, CVE-2023-29541, CVE-2023-1945, CVE-2023-29548, and CVE-2023-29550.

To fix these vulnerabilities, update to Thunderbird-102.10.0 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In Firefox-102.10.0esr, seven security vulnerabilities applicable to linux systems were fixed, four of them rated as High by upstream (also a vulnerability fixed for the shipped libwebp - BLFS uses system libwebp see SA 11.3-015). Details at mfsa-2023-14. These vulnerabilities have been assigned CVE-2023-1945, CVE-2023-29533, CVE-2023-29535, CVE-2023-29536, CVE-2023-29539, CVE-2023-29541, CVE-2023-29550.

To fix these vulnerabilities, update to Firefox-102.10.0esr or later using the instructions for Firefox (sysv) or Firefox (systemd).

In the Javascript code of firefox-102.10.0 there is a fix for a potentially exploitable invalid free, rated as High by Mozilla - see CVE-2023-29536 in mfsa-2023-14. Further details may appear at CVE-2023-29536.

To fix this, update to JS-102.10.0 or later using the instructions for JS102 (sysv) or JS102 (systemd).

The update to firefox-102.10.0 makes public a double-free vulnerability in libwebp which the mozilla developers say could lead to memory corruption and a potentially exploitable crash. See the MFSA-TMP-2001-001 entry in mfsa-2023-14.

To fix this in the absence of a newer libwebp reliease. apply the libwebp-1.3.0-upstream_fix-1.patch using the instructions for LibWebP (sysv) or Libwebp (systemd).

In Seamonkey-2.53.16, three versions worth of Firefox and Thunderbird security vulnerabilities were resolved. This includes fixes for issues that could cause remotely exploitable crashes, remote code execution, invalid JavaScript execution, arbitrary file reads, content security policy bypass, screen hijacking, and content spoofing. These vulnerabilities have been assigned CVE-2022-46871, CVE-2023-23598, CVE-2023-23601, CVE-2023-23602, CVE-2022-46877, CVE-2023-23603, CVE-2023-23605, CVE-2023-23728, CVE-2023-0767, CVE-2023-25735, CVE-2023-25737, CVE-2023-25739, CVE-2023-25729, CVE-2023-25732, CVE-2023-25742, CVE-2023-25744, CVE-2023-25751, CVE-2023-28164, CVE-2023-28162, CVE-2023-25752, CVE-2023-28176, CVE-2023-0616, and CVE-2023-28427.

To fix these vulnerabilities, update to Seamonkey-2.53.16 or later using the instructions from Seamonkey (sysv) or Seamonkey (systemd).

In Ruby-3.2.2, two security vulnerabilities were fixed that could allow for a denial of service when using the Time or URI gems bundled with Ruby. These issues happen due to mishandling URLs with special characters, and mishandling invalid strings that have specific characters. In both cases, it results in a significantly longer execution time when parsing strings to URI or Time objects. These vulnerabilities have been officially classified as Regular Expression Denial of Service vulnerabilities. If you do not want to update Ruby to version 3.2.2, you can update the gems manually using 'gem update uri' and 'gem update time' as a workaround. These vulnerabilities have been assigned CVE-2023-28755 and CVE-2023-28756.

To fix these vulnerabilities, update to Ruby-3.2.2 or later using the instructions from Ruby (sysv) or Ruby (systemd).

In xwayland-23.1.1, a security vulnerability was fixed that could allow for local privilege escalation on systems where the X server is running privileged, and for remote code execution when using SSH X Forwarding. This vulnerability occurs due to a Use-After-Free, which happens if a client explicitly destroys the overlay window. The X server would leave a dangling pointer to that overlay window in the CompScreen structure, which would trigger a use-afre-free later. This vulnerability has been assigned CVE-2023-1393.

To fix this vulnerability, update to xwayland-23.1.1 or later using the instructions from xwayland (sysv) or xwayland (systemd).

In Linux 6.2.3 through 6.2.9, eleven vulnerabilies were fixed which could potentially allow a Denial of Service (deadlock or kernel panic), information leak (network filter bypass) or local priviledge escalation. These vulnerabilities have been assigned CVE-2022-4269, CVE-2023-1032, CVE-2023-1076, CVE-2023-1077, CVE-2023-1079, CVE-2023-1118, CVE-2023-1583, CVE-2023-1670, CVE-2023-25012, CVE-2023-28466 CVE-2023-28866

To fix these vulnerabilities, update to Linux kernel 6.2.9 or later using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd); or 6.1.22 or later if you prefer to stick with the 6.1 LTS series using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd).

In Thunderbird-102.9.1, a security vulnerability was fixed that could allow for a remotely exploitable denial-of-service when using the Matrix chat protocol in Thunderbird. This was fixed by updating the 3rd-party Matrix SDK that is bundled with Thunderbird to a more recent version. This vulnerability has been assigned CVE-2023-28427.

To fix this vulnerability, update to Thunderbird-102.9.1 or later using the instructions from Thunderbird (sysv) or Thunderbird (systemd).

In xorg-server-21.1.8, a security vulnerability was fixed that could allow for local privilege escalation on systems where the X server is running privileged, and for remote code execution when using SSH X Forwarding. This vulnerability occurs due to a Use-After-Free, which happens if a client explicitly destroys the overlay window. The X server would leave a dangling pointer to that overlay window in the CompScreen structure, which would trigger a use-afre-free later. This vulnerability has been assigned CVE-2023-1393.

To fix this vulnerability, update to xorg-server-21.1.8 or later using the instructions from xorg-server (sysv) or xorg-server (systemd).

In Samba-4.18.1, three security vulnerabilities were fixed that could allow for unauthorized attribute deletion, password resets where the new password is transmitted in plaintext, and for confidential attribute disclosure. Note that all three of these vulnerabilities require LDAP/AD DC to exploit, and while this isn't the default configuration of Samba in BLFS, some users are known to use it. The most serious vulnerability of the three is the confidential attribute disclosure. It has been discovered to be used to exfiltrate TPM owner passwords, certificate secret keys, and Bitlocker recovery keys. For users who have Active Directory Domain Controllers using Samba and use these features on Windows clients, the Samba team states that you should assume that this information has been compromised, and steps should be made to ensure that data that may have been leaked from confidential or otherwise access-controlled attributes is no longer useful. For example, drives should be re-encrypted if they are using BitLocker, TPM passwords should be changed, certificates should be re-issued, etc. Note that a successful exploitation will not show anything in the logs unless the logs are set to a level of 10 (which is highly verbose). If you are using Samba as an AD DC, you should take immediate action. In addition to applying this update, you will need to take actions to protect any data that may have been potentially compromised. See the information on CVE-2023-0614 for more information. These vulnerabilities have been assigned CVE-2023-0225, CVE-2023-0922, and CVE-2023-0614.

To fix these vulnerabilities, update to Samba-4.18.1 or later using the instructions from Samba (sysv) or Samba (systemd).

In cURL-8.0.1, six security vulnerabilities were fixed that could allow for authentication bypasses, remotely exploitable crashes, content filtering circumvention or arbitrary file writes, and command injection. These vulnerabilities occur due to improper reusage of connections when using GSS delegation, SSH, or FTP. The double-free remotely exploitable crash occurs when using HSTS, and the command injection occurs whenever using the TELNET protocol. The content filtering circumvention and arbitrary file writes occur when using SFTP, and happen due to a discrepancy when resolving the ~ (tilde) character. It's important to update cURL if you're using it to resolve HTTP URLs that redirect to HTTPS, or if you use TELNET/SSH/FTP/SFTP or GSS delegation with cURL. These vulnerabilities have been assigned CVE-2023-27538, CVE-2023-27537, CVE-2023-27536, CVE-2023-27535, CVE-2023-27534, and CVE-2023-27533.

To fix these vulnerabilities, update to cURL-8.0.1 or later using the instructions from cURL (sysv) or cURL (systemd).

In Thunderbird-102.9.0, five security vulnerabilities applicable to Linux systems were resolved, and two of them were rated as High by upstream. These vulnerabilities are only applicable if you are reading mail with HTML in it, and can allow for potentially exploitable crashes, spoofing attacks, and potentially remote code execution. It's important to update if you receive HTML mail. These vulnerabilities have been assigned CVE-2023-25751, CVE-2023-25752, CVE-2023-28162, CVE-2023-28164, and CVE-2023-28176.

To fix these vulnerabilities, update to Thunderbird-102.9.0 or later using the instructions from Thunderbird (sysv) or Thunderbird (systemd).

In Firefox-102.9.0esr, five security vulnerabilities applicable to linux systems were fixed, two of them rated as High by upstream. Details at mfsa-2023-10. These vulnerabilities have been assigned CVE-2023-25751, CVE-2023-25752, CVE-2023-28162, CVE-2023-28164 and CVE-2023-28176.

To fix these vulnerabilities, update to Firefox-102.9.0esr or later using the instructions for Firefox (sysv) or Firefox (systemd).

In the Javascript code of firefox-102.9.0 there is a fix for a potentially exploitable crash when invalidating JIT code, rated as High by Mozilla - see CVE-2023-25751 in mfsa-2023-10. Further details may appear at CVE-2023-25751.

To fix this, update to JS-102.9.0 or later using the instructions for JS102 (sysv) or JS102 (systemd).

In QtWebEngine-5.15.13, fixes for several recent Chromium security vulnerabilities rated as High were backported to the branch used for 5.15. CVE-2022-4437, CVE-2022-4438, CVE-2023-0129, CVE-2023-0472, CVE-2023-0698, CVE-2023-0931, and CVE-2023-0933.

To fix these vulnerabilities, update to QtWebEngine-5.15.13 or later using the instructions for QtWebEngine (sysv) or QtWebEngine (systemd).

In httpd-2.4.56, two security vulnerabilities were fixed that could allow for HTTP Request Smuggling attacks. These can occur on servers where the mod_proxy and mod_rewrite modules are enabled, or where mod_proxy_uwsgi is enabled. Request splitting or smuggling could result in bypass of access controls in the proxy server, proxying unintended URLs to existing origin servers, and for cache poisoning. Special characters in the origin response header can truncate/split the response forwarded to the client. Configurations are affected when mod_proxy is enabled along with some form of RewriteRule or ProxyPassMatch in which a non-specific pattern matches some portion of the user supplied request-target (URL) data, and it is re-inserted into the proxied request-target using variable substitution. You should update Apache HTTPD if you are using the mod_proxy and mod_rewrite modules in combination, or if you are using the mod_proxy_uwsgi module. These vulnerabilities have been assigned CVE-2023-27522 and CVE-2023-25690. Additional information regarding example configurations which are affected can be found in BLFS Ticket #17764.

To fix these vulnerabilities, update to httpd-2.4.56 or later using the instructions from Apache HTTPD (sysv) or Apache HTTPD (systemd).

In Linux 6.2.2 five vulnerabilies were fixed which could potentially allow a Denial of Service (kernel panic) or sensitive information leak (insufficient protection against hardware vulnerabilities). These vulnerabilities have been assigned CVE-2022-2196, CVE-2022-27672, CVE-2023-1075, CVE-2023-1078, and CVE-2023-26545.

To fix these vulnerabilities, update to Linux kernel 6.2.2 or later using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd); or 6.1.14 or later if you prefer to stick with the 6.1 LTS series using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd).

Items between the releases of the 11.2 and 11.3 books

In HTTP-Daemon-6.15 a vulnerability was fixed which could potentially be exploited to gain privileged access to APIs or poison intermediate caches. It is uncertain how large the risks are, most Perl based applications are served on top of Nginx or Apache, not on the HTTP::Daemon. This library is commonly used for local development and tests. The vulnerability has been assigned CVE-2022-31081.

To fix this vulnerability, update to HTTP-Daemon-6.15 using the instructions for perl module HTTP::Daemon (sysv) or perl module HTTP::Daemon (systemd).

In Epiphany-43.1, a security vulnerability was fixed that could allow for untrusted web content to trick user into exfiltrating passwords. This occurs because autofill occured in sandboxed contexts, and was worked around by disabling the password manager entirely when running inside of a sandbox. Google Security Research discovered this vulnerability and reported that it also impacts Safari, Bitwarden, and Dash Lane, and allows for credentials to be automatically filled into untrusted pages without the master password, and allows for complete account compromise for any users who use the password management functionality. A proof-of-concept exploit has been made public. If you are using this function, you should update Epiphany immediately, even if you don't use the sandbox mode. This vulnerability has been assigned CVE-2023-26081. Additional information can be found at Google Security Advisory in GitHub.

To fix this vulnerability, update to Epiphany-43.1 using the instructions for Epiphany (sysv) or Epiphany (systemd).

In OpenJDK-19.0.2, two security vulnerability were fixed that could allow for unauthorized ability to cause a partial Denial of Service, or compromise some JAVA VM data. It applies to Java deployements, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. Those vulnerabilities have been assigned CVE-2023-21835 and CVE-2023-21843.

To fix these vulnerabilities, update to OpenJDK-19.0.2 using the instructions from OpenJDK (sysv) or OpenJDK (systemd).

In WebKitGTK+-2.38.5, a security vulnerability was fixed that could allow for remote code execution. It occurs when processing maliciously crafted web content. A proof of concept exists and is public, and Apple is aware of reports that this vulnerability is under active exploitation. This occurs due to type confusion, and was addressed with improved logic checks. A temporary workaround would be to set the environment variable JSC_useDFGJIT=0 to force WebKitGTK+ to not use the Just-In-Time JS compiler. If you have WebKitGTK+ installed on your system, it is imperative that you apply this update immediately. This vulnerability has been assigned CVE-2023-23529. Further information can be found in Apple's security advisory for iPadOS 16.3.1, which uses the same version of the WebKit rendering engine: Apple Security Advisory.

To fix these vulnerabilities, update to WebKitGTK+-2.38.5 using the instructions from WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

When using these instructions, you must pass -DENABLE_DOCUMENTATION=OFF to the CMake command. The instructions in the development book are incompatible with packages which use WebKitGTK+ in BLFS 11.2 due to a difference in libsoup versions.

In cURL-7.88.1, three security vulnerabilities were fixed that could allow for denial of service and HSTS bypass. The denial of service issue occurs when transferring data which is compressed. The problem happens when data is compressed multiple times, since cURL supports chained HTTP compression algorithms. Due to a logic flaw, it was possible for malicious servers to insert a virtually unlimited number of compression steps simply by using many headers. This can cause a "malloc bomb", where cURL spends enormous amounts of heap memory and eventually running out of system resources. In the case of the two HSTS bypass vulnerabilities, these vulnerabilities occur due to cURL's cache saving behaving incorrectly when using multiple URLs in parallel, and the other vulnerability allows for HSTS bypass because cURL's HSTS mechanism would ignore subsequent transfers when done on the same command line (due to the state not being properly carried on.). Note that the last HSTS vulnerability only affects the cURL command line utility, and not the library. These vulnerabilities have been assigned CVE-2023-23916, CVE-2023-23915, and CVE-2023-23914.

To fix these vulnerabilities, update to cURL-7.88.1 using the instructions from cURL (sysv) or cURL (systemd).

In Thunderbird-102.8.0, several security vulnerabilities were fixed that could allow for user interface lockups, content security policy leaks, screen hijacks, arbitrary memory writes, crashes, undefined behavior, extensions opening applications and executing code without a user's knowledge, and remote code execution. As is the case for most Thunderbird vulnerabilities, exploiting these takes specially crafted emails, or installation of a third party extension which has been compromised. These vulnerabilities have been assigned CVE-2023-0616, CVE-2023-25728, CVE-2023-25730, CVE-2023-0767, CVE-2023-25735, CVE-2023-25737, CVE-2023-25739, CVE-2023-25729, CVE-2023-25732, CVE-2023-25742, and CVE-2023-25746.

To fix these vulnerabilities, update to Thunderbird-102.8.0 using the instructions from Thunderbird (sysv) or Thunderbird (systemd).

In node.js-18.14.1, five security vulnerabilities were fixed. One of these is rated as High. See node.js blog. These vulnerabilities have been assigned CVE-2023-23918, CVE-2023-23919, CVE-2023-23920, CVE-2023-23936, and CVE-2023-24807.

To fix this vulnerability, update to node.js-18.14.1 or later using the instructions from Node.js (sysv) or Node.js (systemd).

These also apply to node v16 from the 11.2 book, for that you could alternatively update to v16.19.1 using the instructions from the 11.2 book, but BLFS will not be tracking v16.

In PHP-8.2.3, three security vulnerabilities were fixed that could allow for trivial authentication bypass and denial-of-service (application crashes). The authentication bypass occurs in the Password_verify() function, where it was determined that it would always return true with some hashes, which would allow for a trivial authentication bypass. One of the denial of service vulnerabilities is caused by a 1-byte array overrun in common path resolution code, and the other denial of service vulnerability can be triggered when parsing multipart request bodies. It's imperative that you update PHP to 8.2.3 immediately if you are using the Password_verify() function. These security vulnerabilities have been assigned CVE-2023-0567, CVE-2023-0568, and CVE-2023-0662.

To fix these vulnerabilities, update to PHP-8.2.3 using the instructions from PHP (sysv) or PHP (systemd).

In git-2.39.2, two security vulnerabilities were fixeed that could allow for data exfiltration and path traversal through abusing symbolic links in repositories. One of these relies on the user feeding a crafted input to the 'git apply' command (and the path outside the working tree will be overwritten as long as that user has the authority to do so), and the other relies off the usage of submodules. Note that the data exfiltration vulnerability can be worked around by not cloning repositories with '--recurse-submodules', and running 'git submodule update' at each layer of a repository using submodules. When doing this, it's also important to inspect all .gitmodules files to ensure that it does not contain suspicious module URLs. These vulnerabilities have been assigned CVE-2023-22490 and CVE-2023-23946.

To fix these vulnerabilities, update to git-2.39.2 or later using the instructions from git (sysv) or git (systemd).

In intel-microcode-20230214, three hardware vulnerabilities were fixed. Two of them allows a local privileged user to access disclose the information in a SGX (Intel Software Guard Extensions) enclave, affecting 9th Generation Intel Core desktop processors, 10th Generation Intel Core mobile processors, Intel Pentium Silver, J, and N Series processors, 3rd Generation Intel Xeon Scalable processors, and Intel Xeon D processors. Another one allows a privileged user to enable escalation of privilege via adjacent network access, affecting 3rd Generation Intel Xeon Scalable processors and Intel Atom P59xx, P53xx, and C53xx processors. These vulnerabilities has been assigned CVE-2022-21216, CVE-2022-33196, and CVE-2022-38090.

If you are running the system on an affected processor, to fix these vulnerabilitites, update to intel-microcode-20230214 or later using the instructions for About Firmware (sysv) or About Firmware (systemd).

In Firefox-102.8.0esr, eleven security vulnerabilities applicable to linux systems were fixed, eight of them rated as High by upstream. Details at mfsa-2023-06. These vulnerabilities have been assigned CVE-2023-0767 which only applies if using the shipped NSS instead of system NSS, CVE-2023-25728, CVE-2023-25729, CVE-2023-25730, CVE-2023-25732, CVE-2023-25737, CVE-2023-25737, CVE-2023-25739, CVE-2023-25742, CVE-2023-25744 and CVE-2023-25746.

To fix these vulnerabilities, update to Firefox-102.8.0esr or later using the instructions for Firefox (sysv) or Firefox (systemd).

In the Javascript code of firefox-102.8.0 there is a fix for a Use After Free, which could cause a potentially exploitable crash, rated as High by Mozilla - see CVE-2023-25735 in mfsa-2023-06. Further details may appear at CVE-2023-25735.

To fix this, update to JS-102.8.0 or later using the instructions for JS102 (sysv) or JS102 (systemd).

This has been assigned CVE-2023-0767 and is mentioned in the mozilla advisory for the firefox-102.8.0 release, mfsa-2023-06.

To fix this, update to at least NSS-3.88.1 using the instructions for NSS (sysv) or NSS (systemd).

BLFS updated to ImageMagick-7.1.0-61 from 7.1.0-46. Belatedly, two CVEs have been raised against 7.1.0-49 (each with the same one-line fix in 7.1.0-52). These were for a Denial of Service and possible information disclosure on png files. The relevant code in 7.1.0-49 was identical in 7.1.0-46. These vulnerability have been assigned CVE-2022-44267 and CVE-2022-44268.

To fix these, update to ImageMagick-7.1.0-61 or later using the instructions for ImageMagick (sysv) or ImageMagick (systemd).

In GnuTLS-3.8.0, a security vulnerability which allowed a remote attacker to perform a man-in-the-middle attack was fixed. An error in TLS RSA key exchange allowed a remote attacker to perform Bleichenbacher oracle attacks using malformed TLS RSA keys, and potentially decrypt information. This vulnerability has been assigned CVE-2023-0361.

To fix this vulnerability, update to GnuTLS-3.8.0 or later using the instructions for GnuTLS (sysv) or GnuTLS (systemd).

In Seamonkey-2.53.15, several security vulnerabilities that were fixed in Firefox and Thunderbird's 102.x series were fixed. These could allow for remote code execution, email spoofing, content security bypasses, UI spoofing, DNS redirection, remotely exploitable crashes, and keystroke leakage. Update to Seamonkey-2.53.15 immediately. These vulnerabilities have been assigned CVE-2022-36319, CVE-2022-36318, CVE-2022-2505, CVE-2022-38472, CVE-2022-38473, CVE-2022-38476, CVE-2022-38477, CVE-2022-3033, CVE-2022-3032, CVE-2022-3034, CVE-2022-36059, CVE-2022-3266, CVE-2022-40959, CVE-2022-40960, CVE-2022-40958, CVE-2022-40956, CVE-2022-40597, CVE-2022-40692, CVE-2022-39249, CVE-2022-39250, CVE-2022-39251, CVE-2022-39236, CVE-2022-42927, CVE-2022-42928, CVE-2022-42929, CVE-2022-42932, CVE-2022-45403, CVE-2022-45404, CVE-2022-45405, CVE-2022-45406, CVE-2022-45408, CVE-2022-45409, CVE-2022-45410, CVE-2022-45411, CVE-2022-45412, CVE-2022-45416, CVE-2022-45418, CVE-2022-45420, CVE-2022-45421, CVE-2022-46874, CVE-2022-46880, CVE-2022-46872, CVE-2022-46881, CVE-2022-46874, CVE-2022-46882, CVE-2022-46878.

To fix these vulnerabilities, update to Seamonkey-2.35.15 or later using the instructions from Seamonkey (sysv) or Seamonkey (systemd).

In Thunderbird-102.7.2, several security vulnerabilities were fixed that could allow for arbitrary file reads, spoofing attacks, content security policy bypasses, notification bypasses, remote code execution, and invalid signature verification of emails (due to the revocation status of S/MIME signature certificates not being checked). Update to Thunderbird-102.7.2 as soon as possible, especially if you are using the signature verification functionality. These vulnerabilities have been assigned CVE-2022-46871, CVE-2023-23958, CVE-2023-23601, CVE-2023-23602. CVE-2023-23603, CVE-2023-23605, and CVE-2023-0430.

To fix these vulnerabilities, update to Thunderbird-102.7.2 or later using the instructions from Thunderbird (sysv) or Thunderbird (systemd).

In Samba-4.17.5, a significant improvement to a prior security fix for a high severity security vulnerability was released. This vulnerability allowed for elevation of privilege to root through the Netlogon RPC subsystem, and also affected Windows. Note that this version of Samba fixes several other bugs when using macOS clients wtih Samba. This vulnerability has been assigned CVE-2022-38023.

To fix this vulnerability, update to Samba-4.17.5 using the instructions from Samba (sysv) or Samba (systemd).

In PostgreSQL-15.2, a security vulnerability was fixed that could allow for an unauthenticated server to send an unterminated string during the establishment of Kerberos transport encryption. When this occurs, and a libpq client application has a Kerberos credential cache setup that doesn't explicitly disable the gssencmode option, a server can cause libpq to over-read and report an error message containing uninitialized bytes from and following it's receive buffer. If the caller somehow makes that message accessible to the attacker, it'll achieve a disclosure of over-read bytes. It has not been confirmed that a crash or leakage of confidential information can be achieved. It is important that you update PostgreSQL if you are using Kerberos transport encryption in your configuration. Alternatively, you can disable the gssencmode option as a workaround on any clients. Note that no dump/restore is required if upgrading from another version in the 15 series, and 14.7 has been released for PostgreSQL-14 users. This vulnerability has been assigned CVE-2022-41862.

To fix this vulnerability, update to PostgreSQL-15.2 or later using the instructions from PostgreSQL (sysv) or PostgreSQL (systemd).

In Xwayland before version 22.1.8, a dangling pointer in DeepCopyPointerClasses can be exploited by ProcXkbSetDeviceInfo() and ProcXkbGetDeviceInfo() to read/write into freed memory. This issue can lead to local privileges elevation on systems where Xwayland is running privileged and remote code execution for ssh X forwarding sessions. This vulnerability has been assigned CVE-2023-0494.

To fix this, update to at least Xwayland-21.1.8 using the instructions for Xwayland (sysv) or Xwayland (systemd).

In e2fsprogs-1.46.6, a security vulnerability was fixed that could allow for a segmentation fault or arbitrary code execution when mounting or running fsck on a specially crafted filesystem. This occurs due to an out-of-bounds read/write. This vulnerability has been assigned CVE-2022-1304.

To fix this vulnerability, update to e2fsprogs-1.46.6 or later using the instructions from e2fsprogs (sysv) or e2fsprogs (systemd).

In OpenSSL-3.0.8, eight security vulnerabilities were fixed that could allow for remotely exploitable denial of service, arbitrary reading of memory (including the ability to harvest private keys), plaintext data recovery, and side channel attacks. These vulnerabilities occur when performing PKCS7 data verification, validating DSA public keys, decrypting RSA data, using X.509 certificates, and when using various different OpenSSL API functions. Since OpenSSL is used in a variety of different contexts and applications for cryptography operations, it is imperative that you update OpenSSL on all affected systems immediately. For older systems which do not use OpenSSL-3 (LFS 11.1 for example), you should upgrade to 1.1.1t instead of 3.0.8. These vulnerabilities have been assigned CVE-2023-0286, CVE-2022-4304, CVE-2022-4203, CVE-2023-0215, CVE-2022-4450, CVE-2023-0216, CVE-2023-0217, and CVE-2023-0401. Additional information can be found at OpenSSL Security Advisory.

To fix these vulnerabilities, update to OpenSSL-3.0.8 or later using the instructions from OpenSSL (sysv) or OpenSSL (systemd).

In Linux-6.1.9 (and 5.15.91), three security vulnerabilities were fixed that could allow for remotely exploitable system crashes, leakage of stack/heap addresses, local privilege escalation, and arbitrary code execution. These vulnerabilities existed in the Netfilter subsystem (buffer overflow), IPv6 subsystem (NULL pointer dereference in rawv6_push_pending_frames), and the kernel's NTFS3 driver (NULL pointer dereference). The IPv6 vulnerability can be exploited during normal system usage, and the NTFS vulnerability requires the user to mount a filesystem with NTFS Extended Attributes. The most serious of these vulnerabilities is the Netfilter buffer overflow, and a mitigation is possible by running "sysctl -w kernel.unprivileged_userns_clone = 0". Note that this will break desktop environments and any other applications which use User Namespaces though, such as QtWebEngine. These vulnerabilities have been assigned CVE-2023-0179, CVE-2023-0394, and CVE-2022-4842.

To fix these vulnerabilities, update to Linux-6.1.9 (or Linux-5.15.91) or later using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd).

In WebKitGTK+-2.38.4, three security vulnerabilities were fixed that could allow for remote code execution when processing maliciously crafted web content. All three of these issues are related to memory management problems. Note that since WebKitGTK+ is used to process HTML content in emails when using Evolution, it is possible for malicious HTML emails to exploit these vulnerabilities. These vulnerabilities may also be exploited via malicious advertisements. These vulnerabilities have been assigned CVE-2023-23517, CVE-2023-23518, and CVE-2022-42826. Further information can be found in Apple's security advisory for Safari 16.3, which uses the same version of the WebKit rendering engine: Apple Security Advisory.

To fix these vulnerabilities, update to WebKitGTK+-2.38.4 using the instructions from WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

When using these instructions, you must pass -DENABLE_DOCUMENTATION=OFF to the CMake command. The instructions in the development book are incompatible with packages which use WebKitGTK+ in BLFS 11.2 due to a difference in libsoup versions.

In Wireshark-4.0.3, several security vulnerabilities were fixed that could allow for crashes, memory leaks, and excessive CPU resource consumption. These vulnerabilities all occur when dissecting different types of packets during a packet capture or analysis, and can be exploited by running Wireshark on a network which has crafted EAP, NFS, GNW, iSCSI, TIPC, BPv6, NCP, or RTPS packets passing through it. This can also occur by reading a malformed packet trace file. These vulnerabilities have not been assigned CVEs, but more details about them can be found at WNPA-SEC-2023-01, WNPA-SEC-2023-02, WNPA-SEC-2023-03, WNPA-SEC-2023-04, WNPA-SEC-2023-05, WNPA-SEC-2023-06, and WNPA-SEC-2023-07.

To fix these vulnerabilities, update to Wireshark-4.0.3 using the instructions from Wireshark (sysv) or Wireshark (systemd).

In Xorg-Server before version 21.1.7, a dangling pointer in DeepCopyPointerClasses can be exploited by ProcXkbSetDeviceInfo() and ProcXkbGetDeviceInfo() to read/write into freed memory. This issue can lead to local privileges elevation on systems where the X server is running privileged and remote code execution for ssh X forwarding sessions. This vulnerability has been assigned CVE-2023-0494.

To fix this, update to at least Xorg-Server-21.1.7 using the instructions for Xorg-Server (sysv) or Xorg-Server (systemd).

This could allow for denial of service or remote code execution. These vulnerabilities have been assigned CVE-2022-24963, CVE-2022-28331, and CVE-2021-35940.

To fix these vulnerabilities, update to apr-1.7.2 using the instructions from Apr (sysv) or Apr (systemd).

In apr-util-1.6.1 and prior, an integer overflow or wraparound vulnerability in apr_base64 functions allows an attacker to write beyond bounds of a buffer. This could allow for denial of service or arbitrary code execution. This vulnerability has been assigned CVE-2022-25147.

To fix this vulnerability, update to apr-util-1.6.3 using the instructions from Apr-Util (sysv) or Apr-Util (systemd).

In Glibc-2.37, a security vulnerability was fixed in the syslog function that could allow an information disclosure with a long (> 1024 bytes) input. This vulnerability has been assigned CVE-2022-39046. The only Glibc release affected is 2.36.

To fix this vulnerability, backup the system first, then apply the patch for Glibc-2.36 and rebuild it with the instructions from Glibc. After testing the package with make check, instead of installing it directly, perform a DESTDIR installation with make install DESTDIR=$PWD/dest. Now as the root user, replace the library files containing the syslog function:

install -vm755 dest/usr/lib/libc.so.6 /usr/lib
install -vm644 dest/usr/lib/libc.a    /usr/lib

If the debug symbols for Glibc is stripped from the library files and saved in a separate libc.so.6.dbg file (as demonstrated in Stripping), use the following commands instead to replace the library files and the debug symbol file:

objcopy --only-keep-debug dest/usr/lib/libc.so.6{,.dbg}
strip   --strip-unneeded  dest/usr/lib/libc.{a,so.6}
objcopy --add-gnu-debuglink=/usr/lib/libc.so.6.dbg dest/usr/lib/libc.so.6
install -vm755 dest/usr/lib/libc.so.6         /usr/lib
install -vm644 dest/usr/lib/libc.{a,so.6.dbg} /usr/lib

After the files are replaced, reboot the system immediately.

Alternatively, update to the latest LFS stable release if you can afford a system rebuild.

In Sudo-1.9.12p2, a flaw in sudo's -e option (aka sudoedit) was fixed that could allow a malicious user with sudoedit privileges to edit arbitrary files. This vulnerability has been assigned CVE-2023-22809.

To fix this vulnerability, update to Sudo-1.9.12p2 using the instructions from Sudo.

In PHP-8.2.1, a security vulnerability was fixed in the PDO_SQLite module that could allow for an unquoted string to be returned due to an uncaught integer overflow in PDO::quote(). This is due to PHP's implementation of sqlite3_snprintf(), where it's possible to force the function to return a single apostrophe if the function is called on user supplied input without any length restrictions in place. Upgrading to PHP-8.2.1 is only necessary if you use the PDO_SQLite function. This vulnerability has been assigned CVE-2022-31631.

To fix this vulnerability, update to PHP-8.2.1 using the instructions from PHP (sysv) or PHP (systemd).

In httpd-2.4.55, three security vulnerabilities were fixed in the mod_proxy, mod_proxy_ajp, and mod_dav modules which could allow for remotely exploitable crashes, HTTP Response Splitting, and Request Smuggling. These vulnerabilities only affect BLFS users who have those modules enabled in their HTTPD configuration. These vulnerabilities have been assigned CVE-2006-20001, CVE-2022-36370, and CVE-2022-37436.

To fix these vulnerabilities, update to httpd-2.4.55 using the instructions from Apache (sysv) or Apache (systemd).

In git-2.39.1, two security vulnerabilities were fixed which could allow for arbitrary heap reads and writes, which can allow for remote code execution. The git project advises all users to upgrade immediately as no workarounds are available for the issues. The issues can occur when using the 'git log' and 'git archive' commands, especially when using the --format option, and they can also occur when a .gitattributes file exists within a repository. These issues are all classified as integer overflows. These vulnerabilities have been assigned CVE-2022-41903 and CVE-2022-23521.

To fix these vulnerabilities, update to git-2.39.1 using the instructions from git (sysv) or git (systemd).

In Linux-6.1.6 (and Linux-5.15.89), several security vulnerabilities were fixed that could allow for information disclosure, remote code execution, remotely-triggered denial of service, and for data loss. These vulnerabilities occur in a variety of places, including the core network stack, namespaces (Net/User namespaces), the BPF subsystem, the SGI-GRU subsystem, the NFS Daemon, the multimedia subsystem (for digital video recorders), the VMWare and Intel graphics drivers, the network scheduler, the /proc filesystem, the Xen subsystem, the sysctl subsystem, and the Bluetooth subsystem. Because of the amount of vulnerabilities and their severities, it's recommended to upgrade your kernel as soon as possible. These vulnerabilities have been assigned CVE-2022-4378, CVE-2022-3435, CVE-2022-45934, CVE-2022-42329, CVE-2022-3643, CVE-2022-42328, CVE-2022-3531, CVE-2022-3532, CVE-2022-3534, CVE-2022-3424, CVE-2022-4379, CVE-2022-36280, CVE-2022-41218, CVE-2023-23454, CVE-2022-3707, CVE-2022-23455, and CVE-2023-0210.

To fix these vulnerabilities, update to Linux-6.1.6 (or Linux-5.15.89) or later using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd).

In rxvt-unicode-9.31, a critical security vulnerability was fixed that could allow for remote code execution in the Perl background extension, when an attacker can control the data written to the user's terminal and certain options are set. Note that the default configuration supplied in BLFS 11.2 is vulnerable due to it's usage of the Perl extension. This vulnerability has been assigned CVE-2022-4170.

To fix this vulnerability, update to rxvt-unicode-9.31 or later using the instructions from rxvt-unicode (sysv) or rxvt-unicode (systemd).

In WebKitGTK+-2.38.3, several security vulnerabilities were fixed that could allow for remote code execution, disclosure of process memory, Same Origin Policy bypass, sensitive user information disclosure, and denial of service. These vulnerabilities all occur when processing crafted web content, and may be exploited via malicious advertisements on pages as well as embedded HTML content in mails, and standard visits to malicious webpages. Most of these issues were fixed with improved input validation, improved memory handling, and improved state handling. These vulnerabilities have been assigned CVE-2022-42852, CVE-2022-42856, CVE-2022-42867, CVE-2022-46692, CVE-2022-46698, CVE-2022-46699, and CVE-2022-46700.

To fix these vulnerabilities, update to WebKitGTK+-2.38.3 using the instructions from WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

When using these instructions, you must pass -DENABLE_DOCUMENTATION=OFF to the CMake command. The instructions in the development book are incompatible with packages which use WebKitGTK+ in BLFS 11.2 due to a difference in libsoup versions.

In Firefox-102.7.0esr, seven security vulnerabilities were fixed, three of them rated as High by upstream. Details at mfsa-2023-02. These vulnerabilities have been assigned CVE-2023-23598, CVE-2023-23601, CVE-2023-23602, CVE-2023-23603, CVE-2023-23605, CVE-2023-46871 and CVE-2023-46877.

To fix these vulnerabilities, update to Firefox-102.7.0esr or later using the instructions for Firefox (sysv) or Firefox (systemd).

The rust security advisory is https://blog.rust-lang.org/2023/01/10/cve-2022-46176.html. At the moment it appears that most rust users do not explicitly use SSH, the usage of SSH by developers who use rust is not known. For those who do explicitly use SSH in rust the severity should be regarded as High.

Please see CVE-2022-46176.

To fix this vulnerability, update to rustc-1.66.1 (or a later version) using the instructions for Rust (sysv) or Rust (systemd).

In QtWebEngine-5.15.12, many Chromium security vulnerabilities were fixed, including two rated as Critical that allow a remote attacker who has compromised the render to escape the sandbox, as well as many rated High allowing a remote attacker to potentially exploit heap corruption. Most of these are via a crafted HTML page, two are via a crafted PDF file, a few require the user to install a malicious extension (which might not apply to users of qtwebengine). CVE-2022-4262, CVE-2022-4181, CVE-2022-4180, CVE-2022-4174, CVE-2022-3890, CVE-2022-3887, CVE-2022-3885, CVE-2022-3573, CVE-2022-3446, CVE-2022-3445, CVE-2022-3373, CVE-2022-3370, CVE-2022-3304, CVE-2022-3201, CVE-2022-3200, CVE-2022-3199, CVE-2022-3198, CVE-2022-3197, CVE-2022-3196, CVE-2022-3075, CVE-2022-3046, CVE-2022-3041, CVE-2022-3040, and CVE-2022-3038.

To fix these vulnerabilities, update to QtWebEngine-5.15.11 or later using the instructions for QtWebEngine (sysv) or QtWebEngine (systemd).

In libtiff-4.5.0, ten security vulnerabilities were fixed that could allow for a denial-of-service or arbitrary code execution when using the tiffcrop utility, as well as when an application checks for a codec-specific tag using the _TIFFCheckFieldIsValidForCodec() function. These occur due to memory allocation problems, floating-point exceptions, buffer overflows, and invalid behavior. Note that the _TIFFCheckFieldIsValidForCodec() function can be exploited by any application that uses Libtiff, including thumbnailers. These vulnerabilities have been assigned CVE-2022-3599, CVE-2022-34526, CVE-2022-3570, CVE-2022-3598, CVE-2022-3627, CVE-2022-3597, CVE-2022-3626, CVE-2022-2056, CVE-2022-2057, and CVE-2022-2058.

To fix these vulnerabilities, update to libtiff-4.5.0 using the instructions from libtiff (sysv) or libtiff (systemd).

In cURL-7.87.0, two security vulnerabilities were fixed that could allow for HSTS bypasses and for secure tunneling to fail when using TELNET and SMB. In the case of the HSTS bypass, this can lead to plaintext transmission of sensitive information, and in the case of the secure tunnel failure, it can allow for either a crash or unintended behavior. Note that you must use internationalized domain names (IDN) for the HSTS bypass to work, and you must use SMB/TELNET through cURL and stunnel for the stunnel failure to work. These vulnerabilities have been assigned CVE-2022-43551 and CVE-2022-43552.

To fix these vulnerabilities, update to cURL-7.87.0 or later using the instructions from cURL (sysv) or cURL (systemd).

In glib-2.74.4, several security vulnerabilities in the GVariant subsystem when processing untrusted data, as well as adding some input validation in the 'GDBusMenuModel'. Upstream has declared these as security fixes, but no CVEs have been assigned, and there are a variety of impacts such as denial of service, arbitrary code execution, and undesirable application behavior. Please check the forum post for more details: GNOME Discourse Forum Post.

To fix these vulnerabilities, update to glib-2.74.4 or later using the instructions from glib (sysv) or glib (systemd).

In systemd-246 and higher, a security vulnerability was discovered that could allow for a local information leak and for privilege escalation. This vulnerability exists in the systemd-coredump program, and is caused by systemd-coredump not respecting the fs.suid_dumpable kernel setting. The BLFS team has developed a patch for systemd-251 and systemd-252 that fixes this vulnerability. Note that this vulnerability theoretically could be exploited any time an application crashes, and can even be exploited by users who intentionally crash programs (such as the 'su' command). There is a proof-of-concept available publicly that allows for the root user's password hash to be leaked through the usage of the 'su' command by an unprivileged user. If you do not wish to patch systemd, a workaround would be to set the fs.suid_dumpable flag to 0, using the following command: "sysctl -w fs.suid_dumpable=0", but note that you will be unable to debug application crashes from other users (including from root). This vulnerability has been assigned CVE-2022-4415, and more information is available at oss-security mailing list post.

To fix this vulnerability, update to systemd-252 with the patch using the instructions from systemd in BLFS development.

Alternatively, you can rebuild systemd-251 with the patch from systemd-251 security patch, applying this patch before the systemd-251-glibc_2.36_fix-1.patch in systemd in BLFS 11.2.

In Python-3.11.1, five security vulnerabilities were fixed, with one rated as High. See Python 3.11.1 Release Notes. The IDA codec decoder vulnerability has been assigned CVE-2022-45061, the other vulnerabilities have not been assigned CVEs.

To fix these vulnerabilities using the Python-3.11 series, update to Python-3.11.1 using the instructions from the BLFS book for Python3 (sysv) or Python3 (systemd).

Alternatively, in Python-3.10.9 a similar set of vulnerabilities with one rated as Critical and two rated as High have been fixed in Python-3.10.9, see Python 3.10.9 Release Notes. The fixes with CVEs are CVE-2022-37474, CVE-2022-42919 and CVE-2022-45061. Please note that you should read the 'Looking for a specific release?' section of https://www.python.org/downloads/ to get the source and to find when a future 3.10 release is available.

To fix these vulnerabilities update to Python-3.10.9 but following the instructions from the BLFS 11.2 books: Python3 (sysv) or Python3 (systemd).

In libksba-1.6.3 a severe bug in parsing ASN.1 structures was fixed. Full details at gnupg blog and it has been assigned CVE-2022-47629.

To fix this, update to Libksba-1.6.3 or later using the instructions for Libksba (sysv) or Libksba (systemd).

In xorg-server-21.1.6, two security vulnerabilities were fixed that could allow an attacker to write into random memory of the X server. This is specially a problem when the server is run as root. These vulnerabilities have been assigned CVE-2022-3550 and CVE-2022-3551.

To fix these vulnerabilities, update to xorg-server-21.1.6 or later using the instructions for xorg-server (sysv) or xorg-server (systemd).

In Samba-4.17.4, four security vulnerabilities were fixed that could allow for elevation of privilege. These vulnerabilities are identical to the "Microsoft Windows Kerberos RC4-HMAC Elevation of Privilege Vulnerability" and "Netlogon RPC Elevation of Privilege Vulnerability" disclosed on November 8th, 2022. It was later found that these vulnerabilities allow for privilege escalation in the same way within Samba. Three of the vulnerabilities (which are related to Kerberos) require the system to be in an Active Directory domain, or Samba running in AD DC mode. However, the Netlogon vulnerability affects all configurations of Samba. Note that this update also fixes support for connecting to (and from) Microsoft Windows 11 22H2 systems, which could previously cause Samba to crash. These vulnerabilities have been assigned CVE-2022-37966, CVE-2022-37967, CVE-2022-38023, and CVE-2022-45141.

To fix these vulnerabilities, update to Samba-4.17.4 using the instructions from Samba (sysv) or Samba (systemd).

In WebKitGTK+-2.38.2, five security vulnerabilities were fixed that could allow for arbitrary code execution, remote code execution, disclosure of internal states from the application, user interface spoofing, and disclosure of sensitive user information (such as saved passwords). These vulnerabilities were resolved with improved boundary checking, state management, UI handling, and memory handling. These vulnerabilities can be exploited through malicious advertisements, HTML email, and via browsing to an impacted site. The BLFS team recommends updating WebKitGTK+ immediately. These vulnerabilities have been assigned CVE-2022-32888, CVE-2022-32923, CVE-2022-42799, CVE-2022-42823, and CVE-2022-42824.

To fix these vulnerabilities, update to WebKitGTK+-2.38.2 using the instructions from WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

When using these instructions, you must pass -DENABLE_DOCUMENTATION=OFF to the CMake command. The instructions in the development book are incompatible with packages which use WebKitGTK+ in BLFS 11.2 due to a difference in libsoup versions.

In xwayland-22.1.6, six security vulnerabilities were fixed that could allow for local attackers to elevate privileges, and for remote attackers to elevate privileges on systems that use X forwarding. These vulnerabilities have been assigned CVE-2022-46340, CVE-2022-46341, CVE-2022-46342, CVE-2022-46343, CVE-2022-46344, and CVE-2022-4283.

To fix these vulnerabilities, update to xwayland-22.1.6 or later using the instructions for xwayland (sysv) or xwayland (systemd).

In xorg-server-21.1.5, six security vulnerabilities were fixed that could allow for local attackers to elevate privileges, and for remote attackers to elevate privileges on systems that use X forwarding. These vulnerabilities have been assigned CVE-2022-46340, CVE-2022-46341, CVE-2022-46342, CVE-2022-46343, CVE-2022-46344, and CVE-2022-4283.

To fix these vulnerabilities, update to xorg-server-21.1.5 or later using the instructions for xorg-server (sysv) or xorg-server (systemd).

In Thunderbird-102.6.0, six security vulnerabilities were fixed, four of them rated as High by upstream. Details at mfsa-2022-53. CVE-2022-46882 has now been rated as Critical by nvd.nist.gov. These vulnerabilities have been assigned CVE-2022-46872, CVE-2022-46874, CVE-2022-46878, CVE-2022-46880, CVE-2022-46881 and CVE-2022-46882.

To fix these vulnerabilities, update to Thunderbird-102.6.0 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In Firefox-102.6.0esr, six security vulnerabilities were fixed, four of them rated as High by upstream. Details at mfsa-2022-52. CVE-2022-46882 has now been rated as Critical by nvd.nist.gov. These vulnerabilities have been assigned CVE-2022-46872, CVE-2022-46874, CVE-2022-46878, CVE-2022-46880, CVE-2022-46881 and CVE-2022-46882.

To fix these vulnerabilities, update to Firefox-102.6.0esr or later using the instructions for Firefox (sysv) or Firefox (systemd).

In Wireshark-4.0.2, two security vulnerabilities were fixed that could allow for a denial of service (CPU resource exhaustion) due to infinite loops in protocol dissectors. These vulnerabilities impact the BPv6, OpenFlow, and Kafka protocol dissectors in particular, and can be triggered either via a malicious PCAP packet trace, or when using Wireshark to capture packets on a network. If you are using Wireshark on a network where BPv6, OpenFlow, or Kafka packets may be transmitted, update to Wireshark-4.0.2. These vulnerabilities have not been assigned CVEs at this time, but more details about them can be found here: Wireshark Security Advisory 2022-09 and Wireshark Security Advisory 2022-10.

To fix these vulnerabilities, update to Wireshark-4.0.2 or later using the instructions for Wireshark (sysv) or Wireshark (systemd).

In Ruby-3.1.3, a security vulnerability was fixed that can allow for HTTP response splitting in applications which use the 'CGI' gem. If an application which uses the built-in 'CGI' gem generates HTTP responses with untrusted/verified user input, an attacker can exploit it to inject a malicious HTTP response header and/or body. The contents for the CGI::Cookie object were also not checked properly. If an application creates a cookie using that malicious user input, an attacker could inject invalid attributes into the Set-Cookie header. Since this gem is built into the Ruby interpreter itself, it's recommended to update even if you don't have applications which use HTTP requests which are written in Ruby. This vulnerability has been assigned CVE-2021-33621.

To fix this vulnerability, update to Ruby-3.1.3 or later using the instructions from Ruby (sysv) or Ruby (systemd).

In Linux-6.0.11 (and Linux-5.15.81), a security vulnerability has been fixed. It affects 12th gen intel processors integrated graphics. The full consequences are not yet analyzed, but it allows an attacker to get R/W access to physical memory through the GPU, possibly leading to data leaks and memory corruption. This vulnerability has been assigned CVE-2022-4139.

To fix this vulnerability, update to Linux-6.0.11 (or Linux-5.15.81) or later using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd).

In Thunderbird-102.5.1, a security vulnerability was fixed, rated as Moderate by upstream. Details at mfsa-2022-50. This vulnerability has been assigned CVE-2022-45403.

To fix this vulnerability, update to Thunderbird-102.5.1 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In Linux-6.0.8 (and Linux-5.15.78), three security vulnerabilities have been fixed. One of those could be exploited with a malicious USB device and trivially cause a kernel panic. If KASLR is disabled or bypassed, the exploitation might cause an arbitrary code execution as well. The consequences of other two vulnerabilities are not fully published yet. These vulnerabilities have been assigned CVE-2022-3628, CVE-2022-42895, and CVE-2022-42896.

To fix these vulnerabilities, update to Linux-6.0.8 (or Linux-5.15.78) or later using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd).

In Thunderbird-102.5.0, thirteen security vulnerabilities were fixed, seven of them rated as High by upstream. Details at mfsa-2022-49. These vulnerabilities have been assigned CVE-2022-45403, CVE-2022-45404, CVE-2022-45405, CVE-2022-45406, CVE-2022-45408, CVE-2022-45409, CVE-2022-45410, CVE-2022-45411, CVE-2022-45412, CVE-2022-45416, CVE-2022-45418, CVE-2022-45420 and CVE-2022-45421.

To fix these vulnerabilities, update to Thunderbird-102.5.0 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In Samba-4.17.3, a security vulnerability was fixed that could allow for arbitrary code execution or application crashes on 32-bit systems. These occur due to the same bug as the one in krb5, because Samba uses a bundled copy of MIT Kerberos (and the Heimdal implementation is also impacted). If you are using Samba in a server capacity on a 32-bit system, update to Samba-4.17.3 immediately. This vulnerability has been assigned CVE-2022-42898.

To fix this vulnerability, update to Samba-4.17.3 or later using the instructions from Samba (sysv) or Samba (systemd).

In krb5-1.20.1, a security vulnerability was fixed that could allow for arbitrary code execution or application crashes on 32-bit systems. These occur due to a bug which allows remote attackers to read beyond the bounds of allocated memory, due to an integer overflow. Note that Samba is also impacted by this vulnerability, but is again only affected on 32-bit systems. Privileged attackers can also cause applications to crash which rely on the Kerberos libraries, rather than just the Kerberos applications (such as krb5kdc and kadmind). Since this vulnerability only affects 32-bit systems, the severity is only listed as Medium. However, if you are running such a system, especially in a server capacity, you should update to krb5-1.20.1 immediately. This vulnerability has been assigned CVE-2022-42898.

To fix this vulnerability, update to krb5-1.20.1 or later using the instructions from MIT Kerberos V5 (sysv) or MIT Kerberos V5 (systemd).

In Firefox-102.5.0esr, twelve security vulnerabilities were fixed, seven of them rated as High by upstream. Details at mfsa-2022-48. These vulnerabilities have been assigned CVE-2022-45403, CVE-2022-45404, CVE-2022-45405, CVE-2022-45406, CVE-2022-45408, CVE-2022-45409, CVE-2022-45410, CVE-2022-45411, CVE-2022-45412, CVE-2022-45418, CVE-2022-45420 and CVE-2022-45421.

To fix these vulnerabilities, update to Firefox-102.5.0esr or later using the instructions for Firefox (sysv) or Firefox (systemd).

In the Javascript code of firefox-102.5.0 there is a fix for a Use After Free of a Javascript Realm, which could cause a potentially exploitable crash, rated as High by Mozilla - see CVE-2022-45406 in mfsa-2022-48. Further details may appear at CVE-2022-45406.

To fix this, update to JS-102.5.0 or later using the instructions for JS102 (sysv) or JS102 (systemd).

In xfce4-settings-4.16.5, a security vulnerability was fixed that could allow for argument injection when processing MIME types. This could allow an attacker to inject arguments, such as a path to a remote filesystem, into a MIME type when using the xfce4-mime-settings program (or using "Default Applications" within the Settings Manager). The details for this vulnerability are sparse at this time, with the only mentions of it being within a release note, and the Gitlab issue is not public yet. As a result, it is unknown if a CVE has been assigned. However, more details can be found at the upstream commit and the XFCE Mailing List Announcement.

To fix this vulnerability, update to xfce4-settings-4.16.5 or later using the instructions from xfce4-settings (sysv) or xfce4-settings (systemd).

In sysstat-12.6.1, a security vulnerability was fixed that could allow for remote code execution when using the sysstat utilities. This occurs due to a size_t overflow in the shared code between all of the utilities. The function in question, allocate_structures, does not check boundaries before arithmetic manipulation, allowing for an overflow in the size allocated for representing system activities. This can lead to remote code execution, but only affects 32-bit machines. 64-bit machines are thus immune to this vulnerability. Note that the most common way of triggering this vulnerability is by displaying activity files. This vulnerability has been assigned CVE-2022-39377.

To fix this vulnerability, update to sysstat-12.6.1 or later using the instructions from sysstat (sysv) or sysstat (systemd).

In PHP-8.1.12, two security vulnerabilities were fixed in a couple of the internal modules that could allow for passing specially crafted data to a web application, to trigger an out-of-bounds read error, to read contents of memory on the system, decrypt information, and to execute arbitrary code. Both of these vulnerabilities are a result of insufficient input validation and buffer overflows. One of them is in the hashing library and is due to an underlying bug in the XKCP SHA-3 Reference Implementation, and the other occurs in the imageloadfont() function when the GD module is in use. If you run an application that uses the GD or Hash modules in PHP, you should update to the latest version immediately. These vulnerabilities have been assigned CVE-2022-31630 and CVE-2022-37454.

To fix these vulnerabilities, update to PHP-8.1.12 using the instructions for PHP (sysv) or PHP (systemd).

In ntfs-3g-2022.10.3, a security vulnerability was fixed that could allow for execute arbitrary code at the kernel level. Note that successful exploitation of this vulnerability requires physical access to the computer in order to insert a compromised USB flash drive. The vulnerability is a result of invalid verification of some of the NTFS metadata, and it is classified as a buffer overflow. This vulnerability is exploitable by both the ntfs-3g driver, as well as all of the NTFS utilities (which may be used on systems where creating or checking a NTFS filesystem is necessary). If you regularly use external media which is shared with other users, updating to ntfs-3g-2022.10.3 is recommended. This vulnerability has been assigned CVE-2022-40284.

To fix this vulnerability, update to ntfs-3g-2022.10.3 using the instructions for ntfs-3g (sysv) or ntfs-3g (systemd).

In Pixman-0.42.2, a security vulnerability was fixed that could allow for either arbitrary code execution or denial-of-service, depending on the context that the library is used in. This vulnerability was caused due to an integer overflow in the rasterize_edges_8() function, and is classified as an out-of-bounds write/heap buffer overflow. A proof of concept for this vulnerability exists in the wild, but just causes a crash. Since Pixman is used in most web broswers for pixmap processing, it is recommended that you update to the latest version as soon as possible. This vulnerability has been assigned CVE-2022-44638.

To fix this vulnerability, update to Pixman-0.42.2 or later using the instructions for Pixman (sysv) or Pixman (systemd).

In zlib-1.2.13, a security vulnerability was fixed that could allow for arbitrary code execution when an application calls inflateGetHeader with an overly large gzip header extra field. This is caused by a heap buffer overflow or a buffer over-read. Zlib is used in many, many packages, but is often not advertised as such, such as cURL and Node.js. A public exploit exists for this vulnerability, and exploitation is trivial. Upstream has pulled the previous version of zlib for download, so this one must be used when constructing new LFS 11.2 systems. Update to zlib-1.2.13 immediately. This vulnerability has been assigned CVE-2022-37434.

To fix this vulnerability, update to zlib-1.2.13 using the instructions from zlib (sysv) or zlib (systemd).

NOTE: When upgrading zlib-1.2.13, update the stripping commands in Chapter 8 to use libz.so.1.2.13 instead of libz.so.1.2.12. This wil prevent your system from breaking after running the stripping commands.

In node.js-18.12.1, three security vulnerabilities were fixed. Only one applies to the version (16.18.0) which is in the stable book. It allows an attacker to perform DNS rebinding and execute arbitrary code by passing an invalid octal IP address during a "--inspect" session. This vulnerability has been assigned CVE-2022-43548.

To fix this vulnerability, update to node.js-18.12.1 or later using the instructions from Node.js (sysv) or Node.js (systemd).

In jasper-4.0.0, two security vulnerabilities were fixed that could allow for a denial of service when processing crafted JPEG2000 images. These occur due to memory leaks in the cmdopts_parse function, and an integer overflow in jasper's inttobits() function, which is used when processing JPEG2000 images. Note that this can be exploited through any application which uses jasper for processing JPEG2000 images, such as ImageMagick, gegl (GIMP), or Qt5 (KDE applications such as Gwenview and Okular). Update this package to avoid crashes in those programs. These vulnerabilities have been assigned CVE-2022-2963 and CVE-2022-40755.

To fix these vulnerabilities, update to jasper-4.0.0 or later using the instructions from jasper (sysv) or jasper (systemd).

In Sudo-1.9.12p1, a security vulnerability was fixed that could allow for arbitrary code execution, privilege escalation, or a denial of service. This vulnerability occurs due to a heap-based buffer overread which happens due to an array out-of-bounds error. This vulnerability has a significantly worse impact on x86_64 systems, while on i686 systems it just causes a crash. This can be triggered by arbitrary local users with access to Sudo by entering a password of 7 characters or fewer. Note that this only affects the default BLFS configuration of Sudo, which does not use PAM. If you use PAM with Sudo, you are immune to this vulnerability. A temporary mitigation is to use a password which is more than 8 characters in length. This vulnerability has been assigned CVE-2022-43995.

To fix this vulnerability, update to Sudo-1.9.12p1 or later using the instructions from Sudo (sysv) or Sudo (systemd).

In OpenSSL-3.0.7, three security vulnerabilites were fixed that could allow for remote code execution and denial of service. Note that one of these vulnerabilities were fixed in OpenSSL-3.0.6, but that version was withdrawn shortly after it was released. In the case of the remote code execution, an attacker can craft a malicious email address which will overflow four attacker-controlled bytes on the stack, which guarantees denial-of-service and potentially also causes remote code execution. One of these vulnerabilities is exploitable by a crafted email address which has several '.' (dots) in them. One of the vulnerabilities also allows for NULL encryption when using a custom cipher, but this is uncommon and no packages in LFS or BLFS use this feature. Note that any of these vulnerabilities can be triggered by a TLS client connecting to a malicious server, and in the case of a TLS server, it's triggered when a malicious client connects after authentication. One of the most common mechanisms reported so far is through sending and receiving email, due to the vulnerabilities being in the X.509 certificate verification code, which is commonly used for S/MIME. These vulnerabilities were originally rated as Critical by upstream, but were later downgraded to High. Update to OpenSSL-3.0.7 immediately on ANY system which has OpenSSL-3.x installed. This includes LFS 11.1 and 11.2. These vulnerabilities have been assigned CVE-2022-3602, CVE-2022-3786, and CVE-2022-3358.

To fix these vulnerabilities, update to OpenSSL-3.0.7 or later using the instructions from OpenSSL (sysv) or OpenSSL (systemd).

In inetutils-2.4, two security vulnerabilities were fixed in the telnet and telnetd programs which could allow for buffer overflows and crashes, leading to denial of service and remote code execution. In the case of the telnet vulnerability, it occurs due to insufficient validation of environment variables, and it leads to remote code execution and also for the potential of escaping restricted shells on embedded devices. It occurs primarily when processing an oversized DISPLAY argument. In the case of the telnetd vulnerability, it occurs when sending a 'IAC EC' or 'IAC EL' character to the daemon, and just results in a crash. In this version of inetutils, there were also several fixes to the 'ftp' and 'tftp' programs which can prevent crashes, but they were not assigned CVE numbers. These crashes do occur due to integer overflows (and thus out-of-bounds access), NULL pointer dereferences, heap buffer overflows, and inifinite macro recusion, so they still should be treated as security problems. These vulnerabilities have been assigned CVE-2019-0053 and CVE-2022-39028.

To fix these vulnerabilities, update to inetutils-2.4 or later using the instructions from Inetutils (sysv) or Inetutils (systemd).

In expat-2.5.0, a security vulnerability was fixed that could allow for a denial of service (or arbitrary code execution) when a system is low on memory. The problem occurs due to overeager destruction of a shared DTD in the XML_ExternalEntityParserCreate function when in situations where the system is out of memory, and it is classified as a use-after-free. This can be exploited trivially through malicious advertisements and other crafted web content, but also through other means depending on the context of an application that uses these libraries uses them in. This vulnerability has been assigned CVE-2022-43680.

To fix this vulnerability, update to expat-2.5.0 using the instructions for Expat (sysv) or Expat (systemd). Note: If you have installed docbook-utils from BLFS you will need to add "--without-docbook" to work around an error in configure, since our installation of docbook-utils uses SGML instead of XML.

In Linux-6.0.6 (and Linux-5.15.76), a security vulnerability was fixed that could allow a local unprivileged attacker to cause a kernel panic when running commands on an ext4 filesystem. This vulnerability occurs due to a directory block check being incorrect, it used to compare the block number against the directory size in bytes. This vulnerability only affects systems with the ext4 filesystem in use, which is the default configuration used in LFS. This vulnerability has been assigned CVE-2022-1184.

To fix this vulnerability, update to Linux-6.0.6 (or Linux-5.15.76) or later using the instructions for Linux Kernel (sysv) or Linux Kernel (systemd).

In OpenJDK-19.0.1, five security vulnerabilities were fixed that could allow an unauthenticated attacker with network access via Kerberos, HTTP, or (more difficult) other protocols, to compromise a Java VM, These vulnerabilities have been assigned CVE-2022-21618, CVE_2022-21619, CVE_2022-21624, CVE_2022-21628, and CVE-2022-39399.

To fix these vulnerabilities, update to OpenJDK-19.0.1 or later using the instructions for OpenJDK (sysv) or OpenJDK (systemd), or the binaries Java (sysv) or Java (systemd).

In cURL-7.86.0, three security vulnerabilities were fixed that could allow for an application to send wrong data or use memory after it's been freed in certain circumstances, for a denial of service when using a .netrc file, and for applications to use HTTP instead of HTTPS by bypassing HSTS checks. The vulnerability which allows for an application to send wrong data, use memory after it's been freed, or cause other unexpected behavior is due to a logic problem which occurs because libcurl may erroneously use the read callback to ask for data to send if the same handle was previously used to issue a 'PUT' request which used that callback. The denial of service when using a .netrc file occurs due to an out-of-bounds access whenever a file ends in a line with consecutive non-white space characters and no new-line. The HSTS bypass occurs when a given URL uses IDN characters that get replaced to their ASCII counterparts as part of the IDN conversion. The primary threat from this vulnerability is cleartext transmission of sensitive information. These vulnerabilities have been assigned CVE-2022-32221, CVE_2022-35260, and CVE-2022-42916.

To fix these vulnerabilities, update to cURL-7.86.0 or later using the instructions for cURL (sysv) or cURL (systemd).

In libtiff-4.4.0, five security vulnerabilities exist which could allow for crashes when using some of the utilities provided by the package. These vulnerabilities occur in the tiffcrop and tiffsplit utilities, and occue due to stack overflows, out-of-bounds reads, and divide-by-zero errors when processing certain crafted files. Upstream has not made a new release at this time, but the BLFS team has generated a patch to fix these vulnerabilities. These vulnerabilities have been assigned CVE-2022-34526, CVE-2022-2056, CVE-2022-2057, CVE-2022-2058, and CVE-2022-2953.

To fix these vulnerabilities, rebuild libtiff-4.4.0 with the patch using the instructions for libtiff (sysv) or libtiff (systemd).

In Samba-4.17.2, three security vulnerabilities were fixed that could allow for bad passwords to be accepted (due to the count not being incremented properly), for a write heap buffer overflow when using GSSAPI, and for a malicious client to escape exported directories via symbolic links. Note that the GSSAPI vulnerability also impacts standard file servers which are not part of an Active Directory or NT4 domain. The symbolic link vulnerability only affects systems which have SMB1 communication enabled, which is not enabled by default. The bad password vulnerability and GSSAPI vulnerability occur in the default configuration though. These vulnerabilities have been assigned CVE-2021-20251, CVE-2022-3437, and CVE-2022-3952.

To fix these vulnerabilities, update to Samba-4.17.2 or later using the instructions for Samba (sysv) or Samba (systemd).

In git-2.38.1, two security vulnerabilities were fixed that could allow for remote code execution on servers where git repositories are stored, and for sensitive information to be exposed to a remote attacker. In the case of sensitive information leakage, this vulnerability can occur when a user runs a 'git clone' in a folder where symbolic links exist. It was originally thought that this exploit only worked on local clones, but it was later discovered that cloning a submodule with the '--recurse-submodules' command can achieve the same goal by having a symbolic link point to a file like '/etc/passwd' inside of the repository. The remote code execution vulnerability occurs in the 'git shell' program, which is used to implement Git's push/pull functionality over SSH. It occurs due to the function that splits command line arguments into an array improperly using an 'int' to represent the amount of entries in the array, which allows remote attackers to intentionally overflow the return value and cause arbitrary heap writes. The vulnerability then occurs when the resulting array is passed to 'execv()'. Upgrade to git-2.38.1 immediately if you are using it on a server, or if you clone untrusted repositories. These vulnerabilities have been assigned CVE-2022-39253 and CVE-2022-39260.

To fix these vulnerabilities, update to git-2.38.1 or later using the instructions for git (sysv) or git (systemd).

In PHP-8.1.11, two security vulnerabilities were fixed that could allow for a denial-of-service (infinite loop) and for cookie spoofing. The denial-of-service happens when the 'phar' command uncompresses 'quines' gzip files because the uncompressor's code would recursively uncompress them. The cookie spoofing attack can be performed either over the network or locally, and allows an attacker to set a standard insecure cookie in the victim's browser which is treated as a '__Host-' or '__Secure-' cookie by PHP applications. Update to PHP-8.1.11 if you use the 'phar' command or if you use cookies in PHP applications. These vulnerabilities have been assigned CVE-2022-31628 and CVE-2022-31629.

To fix these vulnerabilities, update to PHP-8.1.11 or later using the instructions for PHP (sysv) or PHP (systemd).

In Thunderbird-102.4.0, several security vulnerabilities were fixed that could allow for impersonation attacks, device verification attacks, data corruption, cross-origin URL leakage, memory corruption, arbitrary code execution, and denial-of-service conditions. The data corruption, impersonation attacks, and device verification attacks occur when using the Matrix chat protocol within Thunderbird, and can lead to encryption key exfiltration as well as the ability to make messages look like they came from a legitimate source, while being from an attacker-controlled system. The arbitrary code execution issues are due to memory safety problems. These vulnerabilities have been assigned CVE-2022-39249, CVE-2022-39250, CVE-2022-39251, CVE-2022-39236, CVE-2022-42927, CVE-2022-42928, CVE-2022-42929, and CVE-2022-42932.

To fix these vulnerabilities, update to Thunderbird-102.4.1 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In Python-3.10.8, three security vulnerabilities were fixed that could allow for integer overflows, shell code injection, and unsafe text injection. One of these vulnerabilities can occur any time that a list is multiplied by an integer, and is fixed by detecting when the new allocated length is close to the maximum size. The shell code injection vulnerability occurs in the get-remote-certificate.py example script, and was fixed by it no longer using a shell to run openssl commands. The unsafe text injection vulnerability was in the 'mailcap' module and was fixed by refusing to inject that text into a shell command. Instead of using the text, it will throw a warning and act as if a match was not found. These vulnerabilities have not been assigned CVEs, but more details about them can be found at Python 3.10.8 Release Notes..

To fix these vulnerabilities, update to Python-3.10.8 using the instructions from the BLFS book for Python3 (sysv) or Python3 (systemd).

In libxml2-2.10.3, two security vulnerabilities were fixed that could allow for denial-of-service and arbitrary code execution. These occur due to logic errors and integer overflows, and are caused by missing safety checks and missing length limitations. Both of these issues can be triggered when performing operations on XML documents, or when loading the XML documents into memory for processing. These vulnerabilities have been assigned CVE-2022-40304 and CVE-2022-40303.

To fix these vulnerabilities, update to libxml2-2.10.3 or later using the instructions for libxml2 (sysv) or libxml2 (systemd).

In DHCP-4.4.3-P1, two security vulnerabilities were fixed that could allow for a denial-of-service and memory leak when using the DHCPD server. Note that these vulnerabilities do not affect the 'dhclient' utility. One of these vulnerabilities occur due to a reference counter leak when the server is building responses to leasequery packets, and leads to the server aborting. The other vulnerability occurs when unpacking a packet that has a FQDN option that contains a label with a length greater than 63 bytes. This causes a memory leak that eventually results in the server running out of memory. Update to DHCP-4.4.3-P1 if you are using the DHCPD server. These vulnerabilities have been assigned CVE-2022-2928 and CVE-2022-2929.

To fix these vulnerabilities, update to DHCP-4.4.3-P1 or later using the instructions for DHCP (sysv) or DHCP (systemd).

In dbus-1.14.4, three security vulnerabilities were fixed that could allow for a denial-of-service by sending messages with attached file descriptors in an unexpected format, as well as when receiving messages with invalid type signatures and messages where the length of an array is not a multiple of the length of the element. These are due to assertion failures, use-after-frees, memory corruption, and out-of-bounds reads. Note that this can cause the system D-Bus daemon to crash, as well as any application which links to libdbus, and this can be exploited as an unprivileged user. These vulnerabilities have been assigned CVE-2022-42011, CVE-2022-42010, and CVE-2022-42012.

To fix these vulnerabilities, update to dbus-1.14.4 or later using the instructions from the BLFS book for dbus (sysv) or dbus (systemd).

In OpenSSH-9.1p1, three security vulnerabilities were fixed in OpenSSH tools that could allow for denial of service. These vulnerabilities have not been assigned CVEs, but have been reported as potential security issues. In the case of the ssh-keyscan utility, there is a one-byte overflow when processing SSH- banners. In the case of ssh-keygen, there is a denial-of-service (application crash) in the error path of the file hashing step when signing and verifying the keys that ssh-keygen has generated. In the case of ssh-keysign, there is a denial-of-service when going into the error path as well (both ssh-keygen and ssh-keysign vulnerabilities are due to free() being called twice). Updating to 9.1p1 is recommended if you are encountering crashes when using these utilities. More information can be found at OpenSSH Release Notes.

To fix these vulnerabilities, update to OpenSSH-9.1p1 or later using the instructions from OpenSSH (sysv) or OpenSSH (systemd).

In linux-6.0.2, several security vulnerabilities were fixed that could allow for arbitrary code execution, reading memory from anywhere on the system, out-of-bounds writes and reads, firewall bypasses, and denial of service (kernel panics). These occur in the ALSA (sound), nftables (firewall), TCP/IP, BPF, EFI, and Wireless subsystems. Note that the wireless vulnerabilities can be exploited without being connected to a network, and can be triggered by simply scanning for networks. The ALSA vulnerability occurs when using the OSS API emulation, and the firewall bypass occurs when you are connected to an IRC network. The LFS team recommends updating to a patched kernel immediately, which is one of 6.0.2 or 5.15.75 (if you prefer to use LTS kernels). These vulnerabilities have been assigned CVE-2022-3303, CVE-2022-2663, CVE-2022-40307, CVE-2022-2785, CVE-2022-39190, CVE-2022-3028, CVE-2022-2905, CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, and CVE-2022-42722.

To fix these vulnerabilities, update to Linux-6.0.2 (or Linux-5.15.75) or later using the instructions from Linux Kernel (sysv) or Linux Kernel (systemd).

In Firefox-102.4.0esr, four security vulnerabilities were fixed, two of them rated as High by upstream. Details at mfsa-2022-45. These vulnerabilities have been assigned CVE-2022-42927, CVE-2022-42928, CVE-2022-42929, CVE-2022-42932.

To fix these vulnerabilities, update to Firefox-102.4.0esr or later using the instructions for Firefox (sysv) or Firefox (systemd).

In libksba-1.6.2 a severe bug in parsing ASN.1 structures was fixed. The subsequent binary release of gnupg-2.3.8 (linux uses separate libksba) mentioned this - full details at gnupg blog and it has been assigned CVE-2022-3515.

To fix this, update to Libksba-1.6.2 or later using the instructions for Libksba (sysv) or Libksba (systemd).

In Thunderbird-102.3.0, six security vulnerabilities (on x86 linux, there is another for ARM64, and one on MacOS) were fixed that could allow for potentially exploitable crashes, session fixation, Content Security Policy bypass and memory safety bugs which may lead to remote code execution. Details at mfsa-2022-42. These vulnerabilities have been assigned CVE-2022-3266, CVE-2022-40956, CVE-2022-40958, CVE-2022-40959, CVE-2022-40960, and CVE-2022-40962.

To fix these vulnerabilities, update to Thunderbird-102.3.0 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In BIND-9.18.7, six security vulnerabilities were fixed that could allow for denial of service and arbitrary code execution. These occur due to processing large delegations, buffer overreads in statistics channel code, memory leaks in code handling Diffie-Hellman key exchanges, memory leaks when processing ECDSA and EDDSA keys in DNSSEC, and crashes when processing stale caches. Note that the vulnerability when processing large delegations will also cause extremely degraded performance. These vulnerabilities only affect the server, not the client utilities. These vulnerabilities have been assigned CVE-2022-2795, CVE-2022-2881, CVE-2022-2906, CVE-2022-3080, CVE-2022-38177, and CVE-2022-38178.

To fix these vulnerabilities, update to BIND-9.18.7 using the instructions for BIND (sysv) or BIND (systemd).

In Unbound-1.16.3, a security vulnerability was fixed that could allow for uncontrolled resource consumption due to a non-responsive delegation attack. This can occur over the network and the attack complexity is low, but the only significant impact is to system availability (excessive CPU and memory consumption). The BLFS team recommends updating Unbound if you are using it on a high-traffic server. This vulnerability has been assigned CVE-2022-3204.

To fix this vulnerability, update to Unbound-1.16.3 using the instructions for Unbound (sysv) or Unbound (systemd).

In Node.js-16.17.1, three security vulnerabilities were fixed that could allow for HTTP Request Smuggling and weak randomness when using the HTTP Parser module or the WebCrypto keygen. These vulnerabilities occur due to unchecked return values, bypasses of previous vulnerabilities, and incorrect parsing of Multi-line Transfer-Encoding fields in a HTTP header. These occur inside the internal llhttp module and within the core of the package itself. These vulnerabilities have been assigned CVE-2022-32213, CVE-2022-35255, and CVE-2022-35256.

To fix these vulnerabilities, update to Node.js-16.17.1 using the instructions for Node.js (sysv) or Node.js (systemd).

In expat-2.4.9, a critical security vulnerability was fixed that could allow for arbitrary code execution or denial of service, depending on the context of the program that's calling the library. This occurs due to a use-after-free vulnerability in the doContent function. This can be exploited trivially through malicious advertisements and other crafted web content, but also through other means depending on the context of an application that uses these libraries usese them in. The BLFS team recommends updating to expat-2.4.9 as soon as possible. This vulnerability has been assigned CVE-2022-40674.

To fix this vulnerability, update to expat-2.4.9 or later using the instructions for Expat (sysv) or Expat (systemd). Note: If you have installed docbook-utils from BLFS you will need to add "--without-docbook" to work around an error in configure, since our installation of docbook-utils uses SGML instead of XML.

In WebKitGTK+-2.36.8, two security vulnerabilities were fixed that could allow for remote code execution when processing maliciously crafted web content. A proof of concept exists where a malicious advertisement is sideloaded onto a page. These vulnerabilities occur due to a buffer overflow and an out-of-bounds read, which were fixed with improved memory handling and boundary checking. These vulnerabilities have been assigned CVE-2022-32886 and CVE-2022-32912.

To fix these vulnerabilities, update to WebKitGTK+-2.36.8 by substituting WebKitGTK+-2.36.8 in for the instructions in WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

In Firefox-102.3.0esr, six security vulnerabilities (on x86, there is another for ARM64 if using WASM) were fixed that could allow for potentially exploitable crashes, session fixation, Content Security Policy bypass and memory safety bugs which may lead to remote code execution. Details at mfsa-2022-41. These vulnerabilities have been assigned CVE-2022-3266, CVE-2022-40956, CVE-2022-40958, CVE-2022-40959, CVE-2022-40960, and CVE-2022-40962.

To fix these vulnerabilities, update to Firefox-102.3.0esr or later using the instructions for Firefox (sysv) or Firefox (systemd).

In QtWebEngine-5.15.11, several security vulnerabilities were fixed that could allow for remote code execution, arbitrary file creation and deletion, denial of service, and information disclosure. These vulnerabilities occur due to segmentation violations, use-after-free vulnerabilities, out-of-bounds access, insufficent policy enforcement, heap buffer overflows, and type confusion. These occur in a variety of subsystems, including WebGL, WebRTC, DevTools, V8, Guest View, Filesystem API, and Messaging. These vulnerabilities have been assigned CVE-2022-2610, CVE-2022-2477, CVE-2022-27406, CVE-2022-27405, CVE-2022-27404, CVE-2022-2294, CVE-2022-2295, CVE-2022-2160, CVE-2022-2162, CVE-2022-2158, CVE-2022-2008, CVE-2022-2010, CVE-2022-1854, CVE-2022-1857, and CVE-2022-1855.

To fix these vulnerabilities, update to QtWebEngine-5.15.11 or later using the instructions for QtWebEngine (sysv) or QtWebEngine (systemd).

In Python-3.10.7, a security vulnerability was fixed that could allow for a denial-of-service (application crash) due to algorithmic complexity. This occurs when converting between integers and strings in bases other than 2 (binary), 4, 8 (octal), 16 (hexadecimal), or 32. The new limit is 4300 digits, and there was no limit previously. This vulnerability has been assigned CVE-2020-10735.

To fix this vulnerability, update to Python-3.10.7 using the instructions from the BLFS book for Python3 (sysv) or Python3 (systemd).

In Wireshark-3.6.8, a security vulnerability was fixed that could allow for a denial-of-service (excessive resource consumption) when using the F5 Ethernet Trailer packet dissector. This can occur via packet injection or via reading a crafted capture file, and is caused by an infinite loop. Note that this security vulnerability is only applicable if you are operating Wireshark on a network that has F5 Ethernet Trailer packets passing along it. This vulnerability has been assigned CVE-2022-3190.

To fix this vulnerability, update to Wireshark-3.6.8 or later using the instructions for Wireshark (sysv) or Wireshark (systemd).

In Thunderbird-102.2.1, several security vulnerabilities were fixed that could allow for leakage of sensitive information, objects to be loaded and processed unexpectedly, unauthorized network requests, and denial-of-service attacks. The leakage of sensitive information will occur when composing a reply to an HTML email with a 'META' refresh tag contained within, if the meta tag has a 'refresh' attribute and if the tag contains a URL. Thunderbird then starts a network request that URL and processes any JavaScript that is located within the email as a result (or from the URL), and executes it in the context of the message compose document. The JavaScript code could allow for an unauthorized read or modification of the contents of the email, and could also decrypt mails. The contents can then be transmitted to the network, with it being sent to the URL in the meta tag or to another URL depending on the JavaScript in use. In the case of remote content not being blocked and iframe elements triggering network requests, these occur whenever a user receives an HTML email. The denial-of-service attack can occur when connected to a network using the Matrix chat protocol, and can cause temporary corrpution. Update to Thunderbird-102.2.1 immediately. These vulnerabilities have been assigned CVE-2022-3033, CVE-2022-3032, CVE-2022-3034, and CVE-2022-36059.

To fix these vulnerabilities, update to Thunderbird-102.2.1 using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In curl-7.85.0, a security vulnerability was fixed that could allow for a denial of service when processing cookies. When curl retrieves and parses cookies from an HTTP(S) server, it accepts cookies using control codes. When cookies that contain these control codes are sent back, it might make the server return a 400 response, effectively allowing another site to deny service to related sites. This vulnerability has been assigned CVE-2022-35252.

To fix this vulnerability, update to cURL-7.85.0 or later using the instructions for cURL (sysv) or cURL (systemd).

In poppler-22.09.0, a critical security vulnerability was fixed that allows for arbitrary code execution when PDF files are processed. This uses the same exploit as "FORCEDENTRY" for Apple devices last year, which allowed for trivial remote code execution through WebKit's image processing system. Poppler is used to process PDF files, and a proof of concept exploit which causes a crash is available to the public. Exploitation can happen simply by opening a PDF file, or downloading a PDF file to a location where Tracker or Baloo can index it, or even when printing a PDF file using CUPS. Update to poppler-22.09.0 as soon as possible. This vulnerability has been assigned CVE-2022-38784.

To fix this vulnerability, update to poppler-22.09.0 or later using the instructions for Poppler (sysv) or Poppler (systemd).

Unfortunately, this security update breaks the compilation of two packages (Inkscape and Libreoffice) due to incompatible API changes. The BLFS team has prepared patches for both of these packages.

If you are going to build Inkscape, apply this patch before compiling the package: Inkscape Poppler Fixes Patch.

If you are going to build Libreoffice, apply this patch before compiling the package: Libreoffice Poppler Fixes Patch.

Note that later versions of inkscape (starting with 1.2.2) and libreoffice (starting with 7.4.2.3) have been fixed and the patches are not needed anymore.

Items between the releases of the 11.1 and 11.2 books

In WebKitGTK+-2.36.7, a critical 0day security vulnerability was fixed that allows for trivial remote code execution when processing maliciously crafted web advertisement. This was classified as an out-of-bounds write, and was addressed with improved boundary checking. Visiting a web page, or having content loaded in (such as advertisements), can trigger this vulnerability. There are numerous reports that this vulnerability is under active exploitation, so updating immediately is recommended. This vulnerability has been assigned CVE-2022-32893.

To fix this vulnerability, update to WebKitGTK+-2.36.7 or later using the instructions for WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

In Thunderbird-102.2.0, five security vulnerabilities were fixed that could allow for address bar spoofing, permission inheritance when processing crafted XSLT documents, data race conditions, and memory safety bugs which may lead to remote code execution. These vulnerabilities have been assigned CVE-2022-38472, CVE-2022-38473, CVE-2022-38476, CVE-2022-38477, and CVE-2022-38478.

To fix these vulnerabilities, update to Thunderbird-102.2.0 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In Firefox-102.2.0esr, five security vulnerabilities were fixed that could allow for address bar spoofing, permission inheritance when processing crafted XSLT documents, data race conditions, and memory safety bugs which may lead to remote code execution. If you are staying on 91esr, please note that the corresponding version (91.13.0esr) is the final release of that branch, and you should update to Firefox-102esr. These vulnerabilities have been assigned CVE-2022-38472, CVE-2022-38473, CVE-2022-38476, CVE-2022-38477, and CVE-2022-38478.

To fix these vulnerabilities, update to Firefox-102.2.0esr or later (or Firefox-91.13.0esr, although this is the final release of that branch) using the instructions for Firefox (sysv) or Firefox (systemd).

In Linux-6.0-rc2, a race condition allowing an unprivileged, local user to gain write access to read-only memory mappings and increase their privileges on the system was fixed. This vulnerability have been assigned CVE-2022-2590 (not disclosed yet).

This vulnerability affects Linux 5.16 or later, and the fix is not backported into any stable release yet. To mitigate the vulnerability, disable CONFIG_USERFAULTFD in the kernel configuration and rebuild the kernel using the instructions from the LFS book for Linux Kernel (sysv) or Linux Kernel (systemd).

No LFS or BLFS components invoke userfaultfd() system call as of now. If you need to enable CONFIG_USERFAULTFD for some programs invoking userfaultfd(), update to Linux 6.0-rc2 or later to fix the vulnerability. But using a release candidate is not recommended by the editors.

In intel-microcode-20220809, a hardware vulnerability was fixed. When the interrupt controller (APIC) operates in xAPIC (also known as "legacy") mode, the APIC configuration registers are exposed through a memory-mapped I/O (MMIO) page. An attacker able to execute code on a target CPU can perform an unaligned read from the MMIO page, then the vulnerability may cause the APIC to return stale data from previous requests made by the same processor core to the same configuration page, causing a sensitive information disclosure. This vulnerability have been assigned CVE-2022-21233.

Intel recommends to enable x2APIC mode, which disables the xAPIC MMIO page and instead exposes APIC registers through model-specific registers (MSRs) to mitigate the issue. Run dmesg | grep 'x2apic' to see if APIC is operating in x2APIC mode. If the output contains "x2apic enabled", it indicates the APIC is already operating in x2APIC mode and no further action is needed. If there is no output, enable CONFIG_X86_X2APIC in the kernel configuration and rebuild the kernel, then recheck after booting the new kernel. If the output contains "x2apic is disabled because BIOS sets x2apic opt out bit", try to enable x2APIC in the BIOS setting. If it's not possible, you'll need to update to at least intel-microcode-20220809 using the instructions for About Firmware (sysv) or About Firmware (systemd).

In shadow-4.12.2, a time-of-check time-of-use race condition was fixed. When an administrator is running shadow utilities (useradd or userdel), a local attacker with permissions to write into a directory being operated by the utilitiy can conduct symbolic link attacks, leading to their ability to alter or remove directories outside of this directory. This vulnerability have been assigned CVE-2013-4235.

To fix these vulnerabilities, update to shadow-4.12.2 using the instructions from the BLFS book for Shadow (sysv) or Shadow (systemd). If you are unwilling or unable to update, be careful when you use the utilities from shadow as root. Especially, when you remove a user with userdel, ensure no processes are running as this user first.

In Linux-5.19.2, four security vulnerabilities were fixed. The first one can be exploited by an attacker who tricks the administrator to mount and operate on a maliciously crafted ext file system, causing a denial-of-service (kernel panic). The second or third one can be exploited by an attacker who has already got the CAP_NET_ADMIN priviledge (maybe in one separate namespace) to perform further priviledge escalation. The fourth one allows an unprivileged attacker to cause a denial-of-service (kernel panic) or potential priviledge escalation. These vulnerabilities have been assigned CVE-2022-1184, CVE-2022-2586, CVE-2022-2588, and CVE-2022-2585 (all of them are not disclosed yet).

To fix these vulnerabilities, update to Linux 5.19.2 (or 5.18.19, 5.15.62, 5.10.137 if you prefer to stay on an old kernel series) using the instructions from the LFS book for Linux Kernel (sysv) or Linux Kernel (systemd).

In libxml2-2.10.0, a security vulnerability was fixed that could allow for attackers to cause a denial-of-service (application crash). This vulnerability triggers a crash through forged input data, and is caused by the iterwalk function. The primary application that is affected is 'lxml', which is a python wrapper to libxslt and libxml2. Note that libxml2-2.10.0 fixed several other security issues as well, which were not assigned CVEs. This vulnerability has been assigned CVE-2022-2309.

To fix this vulnerability, update to libxml2-2.10.0 or later using the instructions for libxml2 (sysv) or libxml2 (systemd).

In MariaDB-10.6.9, five security vulnerabilities were fixed that could allow for remote code execution and remotely exploitable crashes. These vulnerabilities consist of assertion failures when processing database queries, segmentation faults, and use-after-free poison vulnerabilities when processing database queries and committing data to disk. These vulnerabilities have been assigned CVE-2022-32082, CVE-2022-32089, CVE-2022-32081, CVE-2022-32091, and CVE-2022-32084.

To fix these vulnerabilities, update to MariaDB-10.6.9 or later using the instructions for MariaDB (sysv) or MariaDB (systemd).

In tumbler-4.16.1, a security vulnerability was fixed that could allow for arbitrary code execution and server-side request forgery when indexing certain file types using the gstreamer plugin. This vulnerability was resolved by adding a MIME type check to the gst-thumbnailer plugin, but further details are scarce at this time. More information can be found at XFCE Mailing List, XFCE Upstream Commit, and Issue #65 (when available).

To fix this vulnerability, update to tumbler-4.16.1 or later using the instructions for tumbler (sysv) or tumbler (systemd).

In OpenJDK-18.0.2, three security vulnerabilities were fixed that could allow for arbitrary code execution, corruption of existing Java class files, unauthorized creation, modification, and deletion of data, and unauthorized access to information (reading). These vulnerabilities occur when processing XSLT stylesheets, and when using the Hotspot feature to compile JIT code. These vulnerabilities have been assigned CVE-2022-34169, CVE-2022-21541, and CVE-2022-21540.

To fix these vulnerabilities, update to Java Binaries/OpenJDK-18.0.2 or 17.0.4.1 (LTS) or 11.0.16.1 (LTS) or later using the instructions for Java binaries (sysv) or OpenJDK (sysv) or Java binaries (systemd) or OpenJDK (systemd).

In unrar-6.1.7, a security vulnerability was fixed that could allow for path traversal, allowing for arbitrary files to be written during an extract operation on a crafted archive. This vulnerability is known to be exploited in the wild, and a proof-of-concept exploit exists that allows an attacker to create a .ssh/authorized_keys file in the home directory of whichever user extracts the archive. Update to unrar-6.1.7 as soon as possible. This vulnerability has been assigned CVE-2022-30333.

To fix this vulnerability, update to unrar-6.1.7 or later using the instructions for unrar (sysv) or unrar (systemd).

In rsync-3.2.5, a security vulnerability was fixed that could allow for malicious remote servers to write arbitrary files inside the directories of connecting peers. The server chooses the files/directories which are sent to the client, and the rsync client performs insufficient validation of file names. A malicious rsync server can overwrite arbitary files in the rsync client target directory and any subdirectories, and a proof-of-concept exploit exists that overwrites the .ssh/authorized_keys file on a system to allow remote attackers to login without a password. Update to rsync-3.2.5 as soon as possible if you are using it's client. This vulnerability has been assigned CVE-2022-29154.

To fix this vulnerability, update to rsync-3.2.5 or later using the instructions for rsync (sysv) or rsync (systemd).

In Python3-3.10.6, two security vulnerabilities were fixed that could allow for open redirection when using the HTTP server and for a use-after-free-based denial of service when using the memoryview function. The HTTP server vulnerability occurs when a URI path contains double slashes (//) in it, and allows for redirection to an attacker controlled point. The memoryview vulnerability occurs when accessing the backing buffer. These vulnerabilities do not have CVEs assigned to them, but more details can be found at their respective bug reports upstream: Bug 87389 and Bug 92888.

To fix these vulnerabilities, update to Python3-3.10.6 or later using the instructions from the BLFS book for Python3 (sysv) or Python3 (systemd).

In GnuTLS-3.7.7, a security vulnerability was fixed that could allow for remotely-exploitable denial of service. This vulnerability occurs due to a double-free error when verifying PKCS#7 signatures using the gnutls_pkcs7_verify function. The highest impact from this vulnerability is an application crash. This vulnerability has been assigned CVE-2022-2509.

To fix this vulnerability, update to GnuTLS-3.7.7 or later using the instructions for GnuTLS (sysv) or GnuTLS (systemd).

In WebKitGTK+-2.36.5 (which had crash problems, fixed by 2.36.6), two security vulnerabilities were fixed that could allow for remote code execution and UI spoofing. The remote code execution vulnerability occurs when processing crafted web content, and is caused by an out-of-bounds write, which was fixed with improved input validation. The UI spoofing issue was resolved with improved UI handling, and occurs when visiting websites which have malicious content in their frames. These vulnerabilities have been assigned CVE-2022-32816 and CVE-2022-32792.

To fix these vulnerabilities, update to WebKitGTK+-2.36.6 or later using the instructions for WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

In Samba-4.16.4, five security vulnerabilities were fixed that could allow for password change restrictions to be bypassed, forging of password change requests for users, server crashes with LDAP addition and modification requests, and memory information leaks. In a standard BLFS configuration, none of these vulnerabilities are applicable, but some users may use Active Directory with their systems, or the SMB1 protocol for supporting communication with legacy systems. If you use Active Directory with a BLFS system, or use the SMB1 protocol in the Samba server, update to Samba-4.16.4 immediately. These vulnerabilities have been assigned CVE-2022-2031, CVE-2022-32744, CVE-2022-32745, CVE-2022-32746, and CVE-2022-32742.

To fix these vulnerabilities, update to Samba-4.16.4 or later using the instructions for Samba (sysv) or Samba (systemd).

In sqlite-3.39.2, a security vulnerability was fixed that could allow for an array boundary overflow if billions of bytes are used in a string argument to a C API. This could be triggered when importing existing databases in some applications, or when executing large queries. The attack vector is listed as Network, while attack complexity is marked as Low, but no privileges are required to exploit this vulnerability. The primary impact is denial of service (application crashes), and updating sqlite is recommended if you use it on any public-facing web server for a database. This vulnerability has been assigned CVE-2022-35737.

To fix this vulnerability, update to sqlite-3.39.2 using the instructions for sqlite (sysv) or sqlite (systemd).

In libwebp-1.2.3 (which has since been updated to 1.2.4), a security vulnerability was fixed in the lossless encoder that could allow for memory leaks and segmentation faults in applications which attempt to convert JPEG images to WebP images using libwebp. No CVE number has been assigned, but details (such as the commits where this vulnerability was fixed) can be found in the BLFS ticket. More information can be found at BLFS Ticket #16803.

To fix this vulnerability, update to libwebp-1.2.4 or later using the instructions for libwebp (sysv) or libwebp (systemd).

Postgresql up to and including version 14.4 is vulnerable to arbitrary code execution through the use of extension scripts. The assigned CVE's is CVE-2022-2625 (not public yet). Information about the issue can be found at: Postgresql's site.

To fix this, update to postgresql-14.5 or later following the instructions for Postgresql (sysv) or Postgresql (systemd).

Unbound up to and including version 1.16.1 is vulnerable to several types of ghost domain names attacks. The assigned CVE's are CVE-2022-30698 and CVE-2022-30699.

To fix these, update to Unbound-1.16.2 or later following the instructions for Unbound (sysv) or Unbound (systemd).

In thunderbird 102.1.0 several vulnerabilities were fixed, of which one was rated high. Details at mfsa-2022-32. The CVEs applicable to linux are CVE-2022-2505 (Not yet public), CVE-2022-35318 (Not yet public), and CVE-2022-36319 (Not yet public).

To fix these update to thunderbird-102.1.0 or later using the instructions for: Thunderbird (sysv) or Thunderbird (systemd).

In firefox 102.1.0 several vulnerabilities were fixed, of which one was rated high. Details at mfsa-2022-30. The CVEs applicable to linux are CVE-2022-2505 (Not yet public), CVE-2022-35318 (Not yet public), CVE-2022-36319 (Not yet public).

To fix these update to firefox-102.1.0esr or later using the instructions for: Firefox (sysv) or Firefox (systemd).

For AMD, this is CVE-2022-29900, which applies to Excavator, Zen1 and Zen2 processors.

For Zen1 and earlier, also Hygon, the options are 'unret' or 'unret,nosmt'. The latter disables the SMT sibling cores, so in effect you only have half the number of CPUs. 'Unret' means replace all 'ret' instructions with 'jmp __x86_return_thunk' on kernel entry. This is apparently not a total solution, an AMD advisory notes that selecting CONFIG_ZERO_CALL_USED_REGS in the kernel config may provide some strength in depth, but does not affect all possible vulnerable sites.

For Zen2, the choices are 'auto' (same as 'unret', in this case it adds STIBP protection for SMT) or 'ibpb' (stronger protection, higher performance impact.

For Intel, this is CVE-2022-29901 for generations 6 to 8, and CVE-2022-28693 for generations 9 to 12. Intel's recommended mitigation for Spectre v2 on generations 6 to 8 (IBRS) was not initially followed in the kernel because of the performance impact. Now, 'auto' (or 'ibpb') selects IBRS and this is applied to generations 6 to 8 processors. For processors from generation 9 to 12, enhanced IBRS (note that it's different from the "original" IBRS) has been used to mitigate Spectre v2 and it will be used to mitigate RETBleed too.

If you need to fix these, update to at least linux-5.18.14 (or linux-5.15.57 if you intend to stay on a long-term supported kernel) using the instructions from the LFS book for Linux Kernel (sysv) or Linux Kernel (systemd).

In OpenSSL 3.0.4, 1.1.1p, and earlier 3.0 or 1.1.1 releases, AES OCB mode for 32-bit x86 platforms using the AES-NI assembly optimised implementation will not encrypt the entirety of the data under some circumstances. This could reveal sixteen bytes of data that was preexisting in the memory that wasn't written. In the special case of "in place" encryption, sixteen bytes of the plaintext would be revealed. This vulnerability has been assigned CVE-2022-2097, and more details are available at the OpenSSL security advisory. (The OpenSSL security advisory also mentions CVE-2022-2274, but we'd worked around it in the instructions provided by the LFS book. So a LFS development system built "by the book" is not affected.)

If you are not running a 32-bit LFS installation, no action is needed. Otherwise to fix this vulnerability, if you are using OpenSSL 1.1.1 releases, update to OpenSSL-1.1.1q or later using the instructions for OpenSSL (sysv) or OpenSSL (systemd). If you are using OpenSSL 3.0 releases, update to OpenSSL-3.0.5 or later using the instructions for OpenSSL (sysv) or OpenSSL (systemd).

In Xwayland-22.1.3, two security vulnerabilities were fixed that could allow for local attackers to elevate privileges. These vulnerabilities occur due to improper input validation when processing keyboard inputs. Both of these vulnerabilities are classified as out-of-bounds access vulnerabilities, and they occur in the ProcXkbSetGeometry and ProcXkbSetDeviceInfo functions. The vulnerabilities occur due to not validating request lengths. These vulnerabilities have been assigned CVE-2022-2319 and CVE-2022-2320.

To fix these vulnerabilities, update to Xwayland-22.1.3 or later using the instructions for Xwayland (sysv) or Xwayland (systemd).

In xorg-server-21.1.4, two security vulnerabilities were fixed that could allow for local attackers to elevate privileges, and for remote attackers to elevate privileges on systems that use X forwarding. These vulnerabilities occur due to improper input validation when processing keyboard inputs. Both of these vulnerabilities are classified as out-of-bounds access vulnerabilities, and they occur in the ProcXkbSetGeometry and ProcXkbSetDeviceInfo functions. The vulnerabilities occur due to not validating request lengths. These vulnerabilities have been assigned CVE-2022-2319 and CVE-2022-2320.

To fix these vulnerabilities, update to xorg-server-21.1.4 or later using the instructions for xorg-server (sysv) or xorg-server (systemd).

In GnuPG-2.3.7, a security vulnerability was fixed that could allow for remote attackers to inject information into a signature that allows for signature forgery, and for application crashes for any program that uses GPGME. Note that this vulnerability can also cause repeatable crashes in mail clients such as Mutt and Evolution. This vulnerability has been assigned CVE-2022-34903.

To fix this vulnerability, update to GnuPG-2.3.7 or later using the instructions for GnuPG (sysv) or GnuPG (systemd).

A security vulnerability was discovered in Dovecot-2.3.19.1 that could allow for privilege escalation in some cases where a system administrator has misconfigured Dovecot with multiple password databases. The BLFS Editors have developed a patch to remediate this vulnerability. This vulnerability has been assigned CVE-2022-30550. More details can be found at oss-security posting.

To fix this vulnerability, rebuild Dovecot-2.3.19.1 with the patch using the instructions for Dovecot (sysv) or Dovecot (systemd).

In Seamonkey-2.53.13, several security vulnerabilities were fixed that could allow for memory safety problems, privileged code execution, incorrect error pages, full screen browser spoofing, content security policy bypasses, integer overflows, incorrect email signatures, remotely exploitable crashes, information disclosure, and remote code execution. These vulnerabilities happen during a variety of use cases, so updating as soon as possible is recommended. These vulnerabilities have been assigned CVE-2022-31736, CVE-2022-31737, CVE-2022-31738, CVE-2022-31740, CVE-2022-31741, CVE-2022-31742, CVE-2022-31747, CVE-2022-1834, CVE-2022-34479, CVE-2022-34470, CVE-2022-34468, CVE-2022-34481, CVE-2022-31744, CVE-2022-34472, CVE-2022-2200, CVE-2022-2226, and CVE-2022-34484.

To fix these vulnerabilities, update to Seamonkey-2.53.13 or later using the instructions for Seamonkey (sysv) or Seamonkey (systemd).

In PHP-8.1.8, a security vulnerability was fixed that could allow for a heap buffer overflow in finfo_buffer when processing input from users or scripts. This occurs when trying to determine the type of file to be processed. This heap buffer overflow mostly causes memory corruption, which leads to a denial of service condition, and there is no evidence in the upstream bug report that it can lead to remote code execution. This vulnerability has been assigned CVE-2022-31627 (not yet available). For more information, see the upstream bug report: PHP Bug 81723.

To fix this vulnerability, update to PHP-8.1.8 or later using the instructions for PHP (sysv) or PHP (systemd).

In node.js-16.16.0, several security vulnerabilities were fixed that could allow for HTTP Request Smuggling and DNS rebinding. An additional security vulnerability was fixed that could allow for a local attacker to modify the OpenSSL configuration for other users due to a hardcoded path check. The HTTP Request Smuggling vulnerabilities occur due to a flawed parsing of the Transfer-Encoding field in an HTTP Header, as well as due to a flaw where CRLF sequences are not properly delimited in HTTP requests. The DNS rebinding vulnerability occurs due to the IsIPAddress function not validating whether an IP address is valid. These vulnerabilities have been assigned CVE-2022-32213, CVE-2022-32214, CVE-2022-32215, CVE-2022-32212, and CVE-2022-32222.

To fix these vulnerabilities, update to node.js-16.16.0 or later using the instructions for node.js (sysv) or node.js (systemd).

In git-2.37.1, a security vulnerability was fixed that could allow for privilege escalation and remote code execution due to Git not properly checking the ownership of directories in a multi-user system when running comamnds in the local repository configuration. This is similar to CVE-2022-29187 and is due to an incomplete fix. An unsuspecting user could still be affected by the issue, for example when navigating as 'root' into a shared temporary directory that is owned by them, but where an attacker has created a git repository. A temporary workaround is to avoid running git as 'root' or any administrator user. This vulnerability has been assigned CVE-2022-29187.

To fix this vulnerability, update to git-2.37.1 or later using the instructions for git (sysv) or git (systemd).

In Speex-1.2.1, two security vulnerabilities were fixed that could allow for stack buffer overflows and denial of service when using the 'speexenc' and 'speexdec' utilities to encode and decode WAV files. Note that the primary attack vector is crafted WAV files, and a user must download and run the files against the 'speexenc' and 'speexdec' programs to exploit them. These vulnerabilities have been assigned CVE-2020-23903 and CVE-2020-23904.

To fix these vulnerabilities, update to Speex-1.2.1 or later using the instructions for Speex (sysv) or Speex (systemd).

In WebKitGTK+-2.36.4, two security vulnerabilities were fixed that could allow for remote code execution and undesirable behavior. In the case of the undesirable behavior, it was found that video calls that use WebRTC could be interrupted if the audio capture was interrupted. In the case of the remote code execution vulnerability, processing maliciously crated web content can result in remote code execution - this was a use-after-free issue which was addressed with improved memory management. These vulnerabilities have been assigned CVE-2022-22677 and CVE-2022-26710.

To fix these vulnerabilities, update to WebKitGTK+-2.36.4 or later using the instructions for WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

In cURL-7.84.0, four security vulnerabilities were fixed that could allow for denial of service, unpreserved file permissions, and faulty message verification. The faulty message verification occurs when using the FTP protocol with Kerberos support. This flaw makes it possible to inject data into the data stream when downloading files due to improper verification. Note that FTP support with Kerberos combined very rarely used. The unpreserved file permissions vulnerability occurs due to accidentally widening permissions on files which are downloaded from cookies. Note that this can be worked around by using a strict umask. One of the denial of service vulnerabilities occurs when using HTTP compression due to a flaw in cURL's "chained" HTTP compression algorithm support. The number of acceptable "links" in the chain was unbounded, allowing for infinite amounts of memory to be used. The other denial-of-service vulnerability occurs when the Set-Cookie option is used in a HTTP header. A sufficient amount of cookies could cause cURL to deny all further cookies from any other websites. These vulnerabilities have been assigned CVE-2022-32208, CVE-2022-32207, CVE-2022-32206, and CVE-2022-32205.

To fix these vulnerabilities, update to cURL-7.84.0 or later using the instructions for cURL (sysv) or cURL (systemd).

In thunderbird 91.11.0 and 102.0 several vulnerabilities were fixed, of which four were rated high, and at least one of the others (see SA 11.1 067 below) sounds as if it is high. Details at mfsa-2022-26. The high or assumed high CVEs common are CVE-2022-2200 (Not yet public), CVE-2022-34468 (Not yet public), CVE-2022-34470 (Not yet public), CVE-2022-34479 (Not yet public), CVE-2022-34484 (Not yet public).

To fix these update to thunderbird-102.0 or later using the instructions for: Thunderbird (sysv) or Thunderbird (systemd).

Alternatively, update to thunderbird-91.11.0 as a short-term fix which does not require updated dependencies. Please note that any future versions of the thunderbird 91 series will not be specifically monitored, you should plan to update to the 102 series.

In firefox 91.11.0 and 102.0 several vulnerabilities were fixed, of which four were rated high, and at least one of the others (see SA 11.1 067 below) sounds as if it is high. Details at mfsa-2022-25 (91.11.0) and mfsa-2022-24 (102.0). The high or assumed high CVEs common to 91esr and 102|esr are CVE-2022-2200 (Not yet public), CVE-2022-34468 (Not yet public), CVE-2022-34470 (Not yet public), CVE-2022-34479 (Not yet public), CVE-2022-34484 (Not yet public).

To fix these update to firefox-102.0esr or later using the instructions for: Firefox (sysv) or Firefox (systemd).

Alternatively, update to firefox-91.11.0 as a short-term fix which does not require updated dependencies. Please note that firefox 91esr will have two more releases and then become unsupported.

In the javascript code of firefox-91.11.0 and 102.0 there is a fix for attackers setting undesired attributes on a Javascript object, leading to privileged code execution - CVE-2022-2200. Note that mozilla describe this as 'moderate'. Details are not yet public, see the advisory for firefox-91.11.0 mfsa-2022-25. Further details are expected at CVE-2022-2200 (Not yet public).

To fix this, update to JS-91.11.0 or later using the instructions for JS91 (sysv) or JS91 (systemd).

In OpenSSL 3.0.3, 1.1.1o, and earlier 3.0 or 1.1.1 releases, an improper handling of shell metacharacters allowing command injection were found in the c_rehash script. This may be exploited to execute arbitrary commands, causing a privilege escalation if c_rehash is executed (maybe automatically in some configuration) with privileges. This vulnerability has been assigned CVE-2022-2068, and more details are available at the OpenSSL security advisory.

Use of the c_rehash script is considered obsolete and should be replaced by openssl rehash command.

To fix this vulnerability, if you are using OpenSSL 1.1.1 releases, update to OpenSSL-1.1.1p or later using the instructions for OpenSSL (sysv) or OpenSSL (systemd). If you are using OpenSSL 3.0 releases, update to OpenSSL-3.0.5 or later using the instructions for OpenSSL (sysv) or OpenSSL (systemd). Do not update to OpenSSL-3.0.4 because 3.0.4 contains a severe issue and our workaround for it is no longer in the book.

In Qt5 5.15.6 (commercial), a security vulnerability has been fixed which could allow an out-of-bound write in the qtbase code. The fix has been ported to the repository maintained by kde, and is available in the patch provided for Qt-5.15.5 in BLFS. It is recommended that you update to version 5.15.5 as soon as possible. This vulnerability has been assigned CVE-2022-38593.

To fix this vulnerability, update to Qt-5.15.5 using the instructions for Qt5 (sysv) or Qt5 (systemd).

In gstreamer (and plugins) 1.20.3, seven security vulnerabilities were fixed which dould allow for heap overwrites, leading to arbitrary code execution or denial of service (application crashes). These vulnerabilities occur when processing AVI files, MKV files (which are using zlib, bz2, or LZO compression), MP4 files (which are using zlib compression), and when processing files which use the Matroska video codec. If you are using gstreamer and it's plugins for playing files from the internet, it is recommended that you update to version 1.20.3 of the stack as soon as possible. These vulnerabilities have been assigned CVE-2022-1921, CVE-2022-1922, CVE-2022-1923, CVE-2022-1924, CVE-2022-1925, CVE-2022-2122, and CVE-2022-1920.

To fix these vulnerabilities, update to gstreamer-1.20.3 as well as the plugins using the instructions for gstreamer (sysv) or gstreamer (systemd).

In Exo-4.16.4, a security vulnerability was fixed that could allow for Exo to silently execute malicious .desktop files which come from outside sources, such as from the web. The vulnerability exists due to a logic error which allows for untrusted .desktop files to be executed, and has been resolved by only executing local .desktop files instead. This vulnerability has been assigned CVE-2022-32278.

To fix this vulnerability, update to Exo-4.16.4 or later using the instructions for Exo (sysv) or Exo (systemd).

In PHP-8.1.7, two security vulnerabilities were fixed that could allow for remote code execution and denial of service when the mysqlnd and pgsql modules are in use. In the case of mysqlnd, the vulnerability happens while accepting passwords from a user, and results in a buffer overflow. In the case of pgsql, there is an uninitialized array vulnerability that results in remote code execution. If you have an application which accepts passwords from users (and is written in PHP and uses mysqlnd), or which uses pgsql, update to php-8.1.7 immediately as there are exploits known in the wild. These vulnerabilities have been assigned CVE-2022-31625 (not yet public) and CVE_2022-31626 (not yet public).

To fix these vulnerabilities, update to PHP-8.1.7 using the instructions for PHP (sysv) or PHP (systemd).

In httpd-2.4.54, several security vulnerabilities were fixed that could allow for information disclosure (in applications using mod_lua), authentication bypass (for applications using mod_proxy), denial of service (when using mod_lua or mod_sed), and information disclosure when httpd compares strings (using ap_strcmp_match() or ap_rwrite()). A vulnerability also exists in mod_proxy_ajp that would allow for HTTP Request Smuggling. In a standard configuration, only the information disclosure vulnerabilities for strings are relevant, but some users may have applications which use mod_proxy, mod_lua, or mod_sed, and may be impacted as well. Updating to httpd-2.4.54 is recommended. These vulnerabilities have been assigned CVE-2022-31813, CVE-2022-30556, CVE-2022-30522, CVE-2022-29404, CVE-2022-28615, CVE-2022-28614, CVE-2022-28330, and CVE-2022-26377.

To fix these vulnerabilities, update to httpd-2.4.54 or later using the instructions for Apache (sysv) or Apache (systemd).

In ntfs-3g-2022.5.17, several security vulnerabilities were fixed that could allow for kernel-level code execution. These vulnerabilities all occur due to incorrect validation of several kinds of NTFS metadata, which will cause buffer overflows when a drive (or disk image) is mounted, leading to kernel level code execution. Proof-of-concept exploits for all of these vulnerabilities are floating around in the wild, and updating to the latest version is recommended immediately if you have this package installed. These vulnerabilities have been assigned CVE-2021-46790, CVE-2022-30784, CVE-2022-30786, CVE-2022-30788, CVE-2022-30789, CVE-2022-30783, CVE-2022-30785, CVE-2022-30787.

To fix these vulnerabilities, update to NTFS-3g-2022.5.17 or later using the instructions for ntfs-3g (sysv) or ntfs-3g (systemd).

In WebKitGTK+-2.36.3, five security vulnerabilities were fixed that may allow for remote code execution when processing maliciously crafted web content, such as videos, audio files, advertisements, and web pages. These vulnerabilties occur due to improper input validation when processing files, and were classified as memory corruption and use-after-free issues, being fixed by improved state and memory management. Updating to WebKitGTK+-2.36.3 immediately is recommended if you are using it in a web browser capacity. These vulnerabilities have been assigned CVE-2022-26700, CVE-2022-26709, CVE-2022-26717, CVE-2022-26716, and CVE-2022-26719.

To fix these vulnerabilities, update to WebKitGTK+-2.36.3 or later using the instructions for WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

In libtiff-4.4.0, two security vulnerabilities were fixed that could allow for denial of service and memory corruption when processing crafted files. These occur in the 'tiffinfo' tool and in the 'tiffcp' tool, which are commonly used by users who need to manipulate TIFF files. These vulnerabilities have been assigned CVE-2022-1354 and CVE-2022-1355.

To fix these vulnerabilities, update to libtiff-4.4.0 using the instructions for libtiff (sysv) or libtiff (systemd).

In CUPS-2.4.2, a security vulnerability was fixed that could allow for a local privilege escalation to root (or the 'lp' user on LFS systems) due to a logic error that occurs when processing internal certificates. Upstream has noted that the vulnerability is trivial to exploit and can occur in the CUPS web interface, which is often used for configuring and installing printers. This vulnerability has been assigned CVE-2022-26691, and more details are available at Mandiant Disclosure.

To fix this vulnerability, update to CUPS-2.4.2 or later using the instructions for CUPS (sysv) or CUPS (systemd).

In thunderbird 91.10.0 several vulnerabilites were fixed, of which six were rated high and one medium. Documented in mfsa-2022-22. The CVEs are CVE-2022-1834 (Not yet public), CVE-2022-31736 (Not yet public), CVE-2022-31737 (Not yet public), CVE-2022-31738 (Not yet public), CVE-2022-31741 (Not yet public), CVE-2022-31742 (Not yet public), CVE-2022-31747 (Not yet public).

To fix these vulnerabilities, update to Thunderbird-91.10.0 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In NSS-3.68.4, 3.78.1 and 3.79 two bugs with restricted access were fixed. It is assumed these are vulnerability fixes, and in the absence of further details they are rated as high. The bugs are bmo1767590 and bmo1766978

The first of these has now been identified as CVE-2022-31741 in the list of fixes for thunderbird-91.10.0, mfsa-2022-22.

To fix this, update to at least NSS-3.79 using the instructions for NSS (sysv) or NSS (systemd).

In firefox 91.10.0 several vulnerabilities were fixed, of which five were rated high and one rated medium. These are documented in mfsa-2022-21. The CVEs are CVE-2022-31736 (Not yet public), CVE-2022-31737 (Not yet public), CVE-2022-31738 (Not yet public), CVE-2022-31741 (Not yet public), CVE-2022-31742 (Not yet public), CVE-2022-31747 (Not yet public).

To fix these, update to firefox-91.10.0esr or later using the instructions for: Firefox (sysv) or Firefox (systemd).

In vim-8.2.5014, 11 vulnerabilities causing vim crashing because of buffer overflow, use after free, uncontrolled recursion, and NULL pointer dereference have been found and fixed. The analysis of some vulnerabilities among them suggests that these might be exploited for remote execution. These vulnerabilities have been assigned CVE-2022-1616, CVE-2022-1620, CVE-2022-1621, CVE-2022-1629, CVE-2022-1674, CVE-2022-1733, CVE-2022-1735, CVE-2022-1769, CVE-2022-1771, CVE-2022-1785, and CVE-2022-1796.

To fix these vulnerabilities, update to vim-8.2.5014 or later using the instructions for vim (sysv) or vim (systemd).

A vulnerability was found in logrotate in how the state file is created. The state file is used to prevent parallel executions of multiple instances of logrotate by acquiring and releasing a file lock. When the state file does not exist, it is created with world-readable permission, allowing an unprivileged user to lock the state file, stopping any rotation. This vulnerabilty has been assigned CVE-2022-1348.

To fix this vulnerabilty, update to logrotate-3.20.1 or later with the instructions for logrotate (sysv) or logrotate (systemd).

A security vulnerability was identified in Seamonkey-2.53.12 that could allow for remote attackers to execute arbitrary code via crafted JavaScript statements. This occurs due to prototype pollution in the top-level await implementation, which can happen when triggering notifications from websites. This is identical to CVE-2022-1802 in Firefox and Thunderbird, but Seamonkey does not contain the required code to be vulnerable to CVE-2022-1529. The BLFS editors have created a patch to prevent this issue from happening. This vulnerabilty has been assigned CVE-2022-1802 (not yet public).

To fix this vulnerabilty, rebuild Seamonkey-2.53.12 with the patch using the instructions for Seamonkey (sysv) or Seamonkey (systemd).

In MariaDB-10.6.8, 24 security vulnerabilties were fixed that could allow for remote (and local) attackers to create, modify, and delete data, as well as perform remote code execution on the server in the context of the user which owns the MariaDB server, and cause the server to crash. This occurs due to crafted SQL statements. Updating to MariaDB-10.6.8 is recommended if you run a server which accepts queries from anonymous users, or from the internet. These vulnerabilties have been assigned CVE-2021-46669, CVE-2022-27376, CVE-2022-27377, CVE-2022-27378, CVE-2022-27379, CVE-2022-27380, CVE-2022-27381, CVE-2022-27382, CVE-2022-27383, CVE-2022-27384, CVE-2022-27386, CVE-2022-27387, CVE-2022-27444, CVE-2022-27445, CVE-2022-27446, CVE-2022-27447, CVE-2022-27448, CVE-2022-27449, CVE-2022-27451, CVE-2022-27452, CVE-2022-27455, CVE-2022-27456, CVE-2022-27457, and CVE-2022-27458.

To fix these vulnerabilties, update to MariaDB-10.6.8 or later using the instructions for MariaDB (sysv) or MariaDB (systemd).

In cifs-utils-6.15, two security vulnerabilties were fixed that could allow for local attackers to escalate privileges to root, or for information disclosure (credentials) in some situations. The privilege escalation vulnerability happens due to a stack-based buffer overflow, which occurs when parsing the ip= command line argument to the mount.cifs command. The information disclosure vulnerability occurs due to logging errors when a file contains an 'equals sign' (=) that does not equal a valid credentials file. These vulnerabilties have been assigned CVE-2022-27239 and CVE-2022-29869.

To fix these vulnerabilties, update to cifs-utils-6.15 or later using the instructions for cifs-utils (sysv) or cifs-utils (systemd).

In PostgreSQL-14.3, a security vulnerability was fixed that could allow for a user to create objects within a database that could execute arbitrary SQL code with superuser permissions the next time that autovacuum processed the object, as well as when a superuser ran commands against it. This affects the Autovacuum, CLUSTER, CREATE INDEX, REINDEX, REFRESH MATERIALIZED VIEW, and pg_amcheck commands, due to them activating the "security restricted operation" protection mechanism too late, or not at all in some code paths. If you use PostgreSQL for anything in a server capacity, updating PostgreSQL is recommended. This vulnerability has been assigned CVE-2022-1552.

To fix this vulnerability, update to PostgreSQL-14.3 or later using the instructions for PostgreSQL (sysv) or PostgreSQL (systemd).

In OpenJPEG-2.5.0, a security vulnerability was fixed that could allow for remote attackers to crash an application, causing a denial of service. This occurs when an attacker uses a command line option called "-ImgDir" on any of the OpenJPEG tools, when the directory contains 1048576 files. This particular command line option combined with the amount of files is relatively uncommon, but decompressing, compressing, and dumping JPEG2000 files is a rather common operation. If you use OpenJPEG on a folder with millions of JPEG files in it, updating OpenJPEG is recommended. This vulnerability has been assigned CVE-2021-29338.

To fix this vulnerability, update to OpenJPEG-2.5.0 or later using the instructions for OpenJPEG (sysv) or OpenJPEG (systemd).

In Epiphany-42.2, a security vulnerability was fixed that could allow for remote code execution due to a client buffer overflow when processing some crafted HTML documents. The vulnerability exists in the ephy_string_shorten function in the User Interface process, and it occurs due to the number of bytes for a UTF-8 ellipsis character not being properly considered. As a result of this, remote code execution can be achieved by visiting web pages that have overly long titles. This vulnerability has been assigned CVE-2022-29536.

To fix this vulnerability, update to Epiphany-42.2 using the instructions for Epiphany (sysv) or Epiphany (systemd).

In libxml2-2.9.14, a security vulnerability was fixed that can cause out-of-bounds memory writes due to several buffer handling functions not checking for integer overflows. Note that exploitation requires a victim to open a crafted XML file that is multiple gigabytes in size, however other software that uses libxml2's buffer functions, including libxslt, is impacted as well. This vulnerability has been assigned CVE-2022-29824.

To fix this vulnerability, update to libxml2-2.9.14 using the instructions for libxml2 (sysv) or libxml2 (systemd).

In thunderbird 91.9.1 two critical javascript vulnerabilities were fixed, documented in mfsa-2022-19. The CVEs are CVE-2022-1529 (Not yet public), CVE-2022-1802 (Not yet public).

To fix these vulnerabilities, update to Thunderbird-91.9.1 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In firefox 91.9.1 two critical javascript vulnerabilities were fixed, documented in mfsa-2022-19. The CVEs are CVE-2022-1529 (Not yet public), CVE-2022-1802 (Not yet public).

To fix these, update to firefox-91.9.1esr or later using the instructions for: Firefox (sysv) or Firefox (systemd).

In BIND-9.18.3, On vulnerable configurations, the named daemon may, in some circumstances, terminate with an assertion failure. Vulnerable configurations are those that include a reference to http within the listen-on statements in their named.conf. TLS is used by both DNS over TLS (DoT) and DNS over HTTPS (DoH), but configurations using DoT alone are unaffected. This vulnerabilities has been assigned CVE-2022-1183.

To fix this vulnerability, update to BIND-9.18.3 or later using the instructions for BIND (sysv) or BIND (systemd).

In Thunderbird-91.9.0, several security vulnerabilities were fixed. In general, these flaws cannot be exploited through email in the Thunderbird product because scripting is disabled when reading mail, but are potentially risks in browser or browser-like contexts. It is recommended that you update as soon as possible. These vulnerabilities have been assigned mfsa-2022-18. The CVEs are CVE-2022-1520, CVE-2022-29914, CVE-2022-29909, CVE-2022-29916, CVE-2022-29911, CVE-2022-29912, CVE-2022-29913, and CVE-2022-29917.

To fix these vulnerabilities, update to Thunderbird-91.9.0 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In Seamonkey-2.53.12, the same security vulnerabilities that were fixed in Firefox (and Thunderbird) 91.9.0 has their fixes ported over. These vulnerabilities have been assigned: mfsa-2022-17. The CVEs are CVE-2022-29909 (Not yet public), CVE-2022-29911 (Not yet public), CVE-2022-29912 (Not yet public), CVE-2022-29914 (Not yet public), CVE-2022-29916 (Not yet public), CVE-2022-29917 (Not yet public).

To fix these vulnerabilities, update to Seamonkey-2.53.12 or later using the instructions for Seamonkey (sysv) or Seamonkey (systemd).

These vulnerabilities have been assigned CVE-2022-27778, 27779, 27780, 27781, 27782, and 30115 (not disclosed yet). For details refer to cURL vulnerability list.

To fix them, update to at least cURL-7.83.1 for cURL (sysv) or cURL (systemd).

Intel microcode for Skylake and later processors has been updated to fix an information disclosure vulnerability, Intel-SA-00617 CVE-2022-21151 (not yet public).

To fix this, update to at least microcode-20220510 using the instructions for About Firmware (sysv) or About Firmware (systemd).

In vim-8.2.4814, three vulnerabilities causing vim crashing because of heap buffer overflow or use after free have been found and fixed. These vulnerabilities have been assigned CVE-2022-1154, CVE-2022-1160, and CVE-2022-1381.

To fix these vulnerabilities, update to vim-8.2.4814 or later using the instructions for vim (sysv) or vim (systemd).

In firefox 91.9.0 six CVE issues, five rated High, were fixed. These are listed in mfsa-2022-17. The CVEs are CVE-2022-29909 (Not yet public), CVE-2022-29911 (Not yet public), CVE-2022-29912 (Not yet public), CVE-2022-29914 (Not yet public), CVE-2022-29916 (Not yet public), CVE-2022-29917 (Not yet public).

To fix these, update to firefox-91.9.0esr or later using the instructions for: Firefox (sysv) or Firefox (systemd).

The XMPP protocol is a set of open technologies for instant messaging. It relies heavily on DNS for both servers and client. One part of the protocol defines "_xmppconnect TXT record", which are now known to be vulnerable to Man-in-the-Middle attacks if not using DNSSEC. So The Pidgin developers have decided to remove the associated code in version 2.4.19. This vulnerability has been assigned CVE-2022-26491 (not public yet). More details may be found at the pidgin site.

To fix this, update to pidgin-2.4.19 or later using the instructions for Pidgin (sysv) or Pidgin (systemd).

In openjdk-18.0.1, openjdk-17.0.3 (LTS), and openjdk-11.0.15 (LTS), several security vulnerabilities were fixed that could allow remote unautenticated creation, deletion, modification of, or access to files/data or various denial of services. These vulnerabilities have been assigned CVE-2022-21426, CVE-2022-21434, CVE-2022-21443, CVE-2022-21449, CVE-2022-21476, and CVE-2022-21496.

To fix these vulnerabilities, update to java binaries/openjdk-18.0.1 or 17.0.3(LTS) or 11.0.15(LTS) or later using the instructions for Java binaries (sysv) or OpenJDK (sysv) or Java binaries (systemd) or OpenJDK (systemd).

In libinput-1.20.1, a security vulnerability was fixed that could allow for arbitrary code execution due to a bug in the log handlers. When a device is detected by libinput and initialized, libinput will log several messages with log handlers setup by the calling functions. These log handlers will eventually result in a printf() call. Logging happens with the privileges of the caller - in some cases, that may be root, in other cases it'll occur with whatever the privileges of the current user are. The device name ends up being part of the format string, and a kernel device with printf-style format string placeholders can enable an attacker to run malicious code. An exploit is therefore possible through any device where the attacker can control the device name. A couple examples are /dev/uinput and Bluetooth devices. Upstream has noted that all versions of libinput since 1.10 (released in February of 2018) are affected, and this affects any system that uses either X.org or Wayland, as well as the xf86-input-libinput X.org input driver. This vulnerability has been assigned CVE-2022-1215 (not public yet), however more details can be found at libinput security advisory.

To fix this vulnerability, update to libinput-1.20.1 or later using the instructions for libinput (sysv) or libinput (systemd).

In mutt before mutt-2.2.3 a buffer overflow in uudecoder allows reading past the end of the input line. This has been assigned CVE-2022-1328 (awaiting analysis).

To fix this update to mutt-2.2.3 or later using the instructions for Mutt (sysv) or Mutt (systemd).

The same vulnerability in zgrep which was fixed in zlib-1.2.12 also applies to using xzgrep from xz. Upstream has provided a patch. This vulnerability has been assigned CVE-2022-1271, see tuukani.org/xz.

To fix this, rebuild xz with the xz-5.2.5-upstream_fix-1.patch using the instructions at xz (sysv) or xz (systemd).

In ruby-3.1.2, two security vulnerabilities were fixed that could allow for application crashes and invalid memory reads. These vulnerabilities can be triggered when using Regular Expressions (regex), and when converting a string to a float object. In the case of the regex vulnerability, it gets exploited when using a crafted source string, and causes memory free to be freed twice. In the case of the string-to-float conversion vulnerability, some conversion methods such as Kernel#Float and String#to_f cause a buffer over-read in some circumstances, leading to process termination and potentially invalid memory reads. These vulnerabilities have been assigned CVE-2022-28738 and CVE-2022-28739 (not yet public).

To fix these vulnerabilities, update to ruby-3.1.2 or later using the instructions from Ruby (sysv) or Ruby (systemd).

In git-2.35.3, a security vulnerability was fixed that can allow for local users to run commands from other repositories on the same system. The Git developers mention that all supported platforms with multiple users are affected in one way or another, and have released versions of Git for all maintenance branches to fix this vulnerability. On multi-user systems, Git users might find themselves unexpectedly in a Git worktree. This occurs due to insufficient validation, and can allow users to run commands defined by another user in another repository. A temporary workaround would be to create the folder '.git' on all volumes/folders where Git commands would be run, and then remove Read/Write/Execute rights from all users other than root. Update to git-2.35.3 or later if you're operating a system where multiple users may use Git. This vulnerability has been assigned CVE-2022-24765.

To fix this vulnerability, update to git-2.35.3 or later using the instructions from Git (sysv) or Git (systemd).

In gzip-1.12, a security vulnerability was fixed that can allow for arbitrary file overwrite and command execution when using 'zgrep' on a crafted archive. Upstream says that it's relatively hard to exploit, but the BLFS team has independently confirmed that exploiting this vulnerability is trivial. This vulnerability is only exploitable when GNU Sed is in use, and it occurs due to insufficient validation when processing filenames with two or more newlines where selected content and the target file names are embedded in crafted multi-line file names. This would allow a remote attacker to execute commands on a system, or overwrite files, when a user runs 'zgrep' on the file. Please update your gzip package as soon as possible. This vulnerability has been assigned CVE-2022-1271.

To fix this vulnerability, update to gzip-1.12 or later using the instructions from gzip (sysv) or gzip (systemd).

In Linux-5.17.3 (and 5.16.20, 5.15.34 and other stable relases on 2022-04-13) fixes were made for vulnerabilities in the Linux Kernel's ax25 networking subsystem. These vulnerabilities can cause remotely exploitable kernel panics and are all rated as Moderate by upstream. The vulnerabilities has been assigned CVE-2022-1199 (not yet public), CVE-2022-1204 (not yet public), and CVE-2022-1205 (not yet public), with preliminary details at RedHat CVE-2022-1199, RedHat CVE-2022-1204, and RedHat CVE-2022-1205.

To fix these, update to at least linux-5.17.3 (or linux-5.15.34 if you intend to stay on a long-term supported kernel) using the instructions from the LFS book for Linux Kernel (sysv) or Linux Kernel (systemd).

In libarchive-3.6.1, several security vulnerabilities were fixed that could allow for application crashes and arbitrary code execution. These occur in the 7zip reader, the ZIP reader, the ISO reader, and the RARv4 reader, as well as in the libarchive API. Note that these vulnerabilities have not been assigned CVEs, but are listed as security fixes by upstream. The primary attack vector for these vulnerabilties is API misuse in another application, with a malformed archive file also being a possibility. For more information, please see Release Libarchive 3.6.1.

To fix these vulnerabilities, update to libarchive-3.6.1 or later using the instructions for libarchive (sysv) or libarchive (systemd).

In Subversion-1.14.2, two security vulnerabilities were fixed that could allow for trivial denial-of-service and for arbitrary file paths to be read. In the case of the denial-of-service vulnerability, only servers that use mod_dav_12.2 in httpd are impacted. This occurs because mod_dav_12.2 servers will atempt to use memory which has already been freed, and subsequent attempts to access the same resource will immediately result in httpd crashing. However, in the case of the arbitrary file path read vulnerability, both standard 12.2serve servers are affected, as well as those which use the mod_dav_12.2 module in httpd. This vulnerability occurs due to an improper logging implementation, causing sensitive information to be reported even if the information is supposed to be omitted. These vulnerabilities have been assigned CVE-2021-28544 and CVE-2022-24070.

To fix these vulnerabilities, update to Subversion-1.14.2 or later using the instructions for Subversion (sysv) or Subversion (systemd).

In WebKitGTK+-2.36.0, three security vulnerabilities were fixed that could allow for remote code execution. In all three vulnerabilities, the primary attack vector is maliciously crafted web content, as well as local content such as maliciously crafted JPEG or PNG images. Due to the lack of details, updating to WebKitGTK+-2.36.0 is highly recommended. These vulnerabilities have been assigned CVE-2022-22624, CVE-2022-22628, and CVE-2022-22629.

To fix these vulnerabilities, update to WebKitGTK+-2.36.0 or later using the instructions for WebKitGTK+ (sysv) or WebKitGTK+ (systemd).

In Seamonkey-2.53.11.1, the same security vulnerabilities that were fixed in Firefox (and Thunderbird) 91.7.0 has their fixes ported over. This includes fixes for a browser spoofing vulnerability, a sandbox bypass, an unauthorized addon modification vulnerability, a remotely exploitable crash, and a bug that allows for temporary files downloaded to /tmp to be accessible by other users. These vulnerabilities have been assigned CVE-2022-26383, CVE-2022-26384, CVE-2022-26387, CVE-2022-26381, and CVE-2022-26386.

To fix these vulnerabilities, update to Seamonkey-2.53.11.1 or later using the instructions for Seamonkey (sysv) or Seamonkey (systemd).

In libsndfile-1.1.0, several security vulnerabilities were fixed that could allow for heap buffer overflows (causing arbitrary code execution) and denial of service (index out of bounds and uninitialized variables). Since these vulnerabilities were found by oss-fuzz, no CVEs were assigned. However, upstream does list these as security fixes. For more details, please visit Release 1.1.0. If CVEs are assigned for these vulnerabilities in the future, this advisory will be updated.

To fix these vulnerabilities, update to libsndfile-1.1.0 or later using the instructions for libsndfile (sysv) or libsndfile (systemd).

In Thunderbird-91.8.0, several security vulnerabilities were fixed that could allow for remote code execution, memory corruption, remotely exploitable crashes, revoked OpenPGP keys to stay active, and browser spoofing attacks. Similar to previous Thunderbird vulnerabilities, emails that contain HTML in them can be used an attack vector. As a result, it's recommended that you update as soon as possible. These vulnerabilities have been assigned CVE-2022-1097, CVE-2022-28281, CVE-2022-1197, CVE-2022-1196, CVE-2022-28282, CVE-2022-28285, CVE-2022-28286, CVE-2022-24713, and CVE-2022-28289.

To fix these vulnerabilities, update to Thunderbird-91.8.0 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

Another batch of CVEs from Chromium have been fixed in QtWebEngine-5.15.9, and some of these have been actively exploited. As well as those listed below, the Critical vulnerability in the shipped expat-2.4.3 has been fixed. But modern LFS provides a system version of expat which is used, and that was updated before our 11.1 release. If you are on an older LFS system and have not yet updated expat, see the 11.0-068 and 11.1-086 advisories below. The new vulnerabilites are: CVE-2022-1096 (not yet public), CVE-2022-0971 (not yet public), CVE-2022-0610, CVE-2022-0609, CVE-2022-0608, CVE-2022-0607, CVE-2022-0606, CVE-2022-0461, CVE-2022-0460, CVE-2022-0459, CVE-2022-0456, CVE-2022-0311, CVE-2022-0310, CVE-2022-0306, CVE-2022-0305, CVE-2022-0298, CVE-2022-0293, CVE-2022-0291, CVE-2022-0289, CVE-2022-0117, CVE-2022-0116, CVE-2022-0113, CVE-2022-0111, CVE-2022-0109, CVE-2022-0108, CVE-2022-0104, CVE-2022-0103, CVE-2022-0102, CVE-2022-0100.

To fix these, update to 5.15.9 or a later version using the instructions at QtWebEngine (sysv), or QtWebEngine (systemd).

In firefox 91.8.0 eight CVE issues, three rated High, were fixed. These are listed in mfsa-2022-14. The CVEs are CVE-2022-1097 (Not yet public), CVE-2022-1196 (Not yet public), CVE-2022-24713, CVE-2022-28281 (Not yet public), CVE-2022-28282 (Not yet public), CVE-2022-28285 (Not yet public), CVE-2022-28286 (Not yet public), CVE-2022-28289 (Not yet public).

To fix these, update to firefox-91.8.0esr or later using the instructions for: Firefox (sysv) or Firefox (systemd).

Zlib-1.2.12 fixes a vulnerability which allows memory corruption when deflating (i.e. compressing) if the input has many distant matches, see CVE-2018-25032.

To fix this update to zlib-1.2.12 or later using the instructions for Zlib (sysv) or Zlib (systemd).

Note that the update will cause 9 test failures in perl testsuite and these failures should be ignored. And, if you are going to strip the debug symbols for your LFS system, you need to adjust the filename of zlib library in the stripping instruction.

In Linux-5.17.1 (and 5.16.18, 5.15.32 and other stable relases on 2022-03-28), fixes were made for two vulnerabilities in the kernel's nf_tables code, one rated as high. The vulnerabilities has been assigned CVE-2022-1015 (not yet public) and CVE-2022-1016 (not yet public) with preliminary details at RedHat CVE-2022-1015 and RedHat CVE-2022-1016

To fix these, update to at least linux-5.17.1 (or linux-5.15.32 if you intend to stay on a long-term supported kernel) using the instructions from the LFS book for Linux Kernel (sysv) or Linux Kernel (systemd).

In Thunderbird-91.7.0, several security vulnerabilities were fixed that could allow for browser window spoofing, sandbox escapes (and thus remote code execution), unauthorized add-on modification, exploitable crashes, and for temporary files to be downloaded to /tmp instead of the user's home directory. Note that the unauthorized add-on modification vulnerability occurs due to a race condition, while the sandbox bypass vulnerability occurs when processing iframes in HTML mail, and that the remotely exploitable crashes occur when a crafted SVG file is loaded as an attachment or when it is embedded in an HTML mail. These vulnerabilities have been assigned CVE-2022-26383, CVE-2022-26384, CVE-2022-26387, CVE-2022-26381, and CVE-2022-26386.

To fix these vulnerabilities, update to Thunderbird-91.7.0 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In BIND-9.18.1, four security vulnerabilities were fixed that could allow for denial-of-service conditions (resource exhaustion due to infinite loops and unexpected crashes), and for DNS cache poisoning. In the case of DNS cache poisoning, it's possible for bogus NS records to be cached and used by named if it named needs to recurse for any reason, causing it to obtain and pass on incorrect records. This will cause the client-side cache to become poisoned with incorrect records, leading to queries being made to the wrong servers and thus resulting in false information being returned to clients. This could allow for cache poisoning and for clients to be redirected to malicious sites instead of the original website that they were attempting to access. Note that all four of these vulnerabilities are exploitable remotely, and one of them is only applicable to 32-bit systems. These vulnerabilities have been assigned CVE-2022-0667, CVE-2022-0635, CVE-2022-0396, and CVE-2021-25220.

To fix these vulnerabilities, update to BIND-9.18.1 or later using the instructions for BIND (sysv) or BIND (systemd).

In node.js-16.14.2 the same vulnerability that was fixed in 11.1-012 is reported to have been fixed. Although BLFS links to shared OpenSSL, Node builds using a copy of the OpenSSL headers (1.1.1n in this version) with some changes and additions (in particular, 'quic' protocol support). It is uncertain if using the updated shared system OpenSSL library without updating Node.js would be an adequate remedy.

The vulnerability is CVE-2021-3711. To fix this vulnerability, update to Node.js-16.14.2 or later using the instructions for node.js (sysv) or node.js (systemd).

In httpd-2.4.53, four security vulnerabilities were fixed. One of the security vulnerabilities can cause a crash, the others can allow HTTP Request Smuggling, an integer overflow leading to Out Of Bounds Write on 32-bit systems, and overwriting heap memory with attacker provided data. CVE-2022-22719, CVE-2022-22720, CVE-2022-22721 and CVE-2022-23943.

To fix these vulnerabilities, update to httpd-2.4.53 or later using the instructions for Apache (sysv) or Apache (systemd).

A bug which can cause OpenSSL to loop forever when parsing a crafted certificate was fixed in versions 3.0.2 and 1.1.1n. CVE-2022-0778 has been assigned, details at CVE-2021-3711 and openssl 20220315.

To fix this, if using OpenSSL-3 update to OpenSSL-3.0.2 or later using the instructions for OpenSSL (sysv) or OpenSSL (systemd) or if using OpenSSL-1.1.1 update to OpenSSL-1.1.1n or later following the instructions from the LFS-11.0 book but using version 1.1.1n for OpenSSL (sysv) or OpenSSL (systemd).

In Linux-5.16.14, workarounds for hardware vulnerabilities named Branch History Injection have been added. These vulnerabilities may be exploited to cause sensitive information leakage. Read the paper for the details. The vulnerabilities has been assigned CVE-2022-0001 and CVE-2022-0002 (for x86), and CVE-2022-23690 (for ARM, not disclosed yet).

To work around them, update to at least linux-5.16.14 (or 5.15.28, 5.10.105, 5.4.184, 4.19.234, 4.14.271, 4.9.306 for older systems using LTS stable kernels) using the instructions from the LFS book for Linux Kernel (sysv) or Linux Kernel (systemd), and disable unprivileged BPF syscall via the kernel configuration option BPF_UNPRIV_DEFAULT_OFF=y or the sysctl kernel.unprivileged_bpf_disabled=2.

This security update may have a performance impact especially on AMD CPUs, but the benchmark from LFS editors shows the impact is marginal.

In vim-8.2.4567, a vulnerabilitiy causing vim to overflow the heap buffer and crash handling "z=" in visual mode have been found and fixed. This vulnerability have been assigned CVE-2022-0943.

To fix this vulnerability, update to vim-8.2.4567 or later using the instructions for vim (sysv) or vim (systemd).

In Linux since 5.8, a local privilege escalation vulnerability known as 'Dirty Pipe' has been discovered, see dirtypipe. This has been assigned CVE-2022-0847 (Not yet public).

To fix this, update to at least linux-5.16.11 (or 5.15.25, 5.10.102 for older systems using LTS stable kernels) using the instructions from the LFS book for Linux Kernel (sysv) or Linux Kernel (systemd).

Similar to Thunderbird and Firefox, Seamonkey is vulnerable to CVE-2022-26485 (the XSLT processing vulnerability). This vulnerablity exists when a XSLT parameter is removed during processing, and results in an exploitable use-after-free and subsequent remote code execution with a sandbox escape. This vulnerability is being actively exploited in the wild. Since no new version of Seamonkey is available to fix this vulnerability, the BLFS Editors have crafted a patch which backports the fix from Firefox so that the vulnerability is fixed. Note that Seamonkey is not vulnerable to the WebGPU Processing Vulnerability. Rebuild Seamonkey with the patch as soon as possible. This vulnerability has been assigned CVE-2022-26485.

To fix this vulnerability, rebuild Seamonkey with the patch (or update to a later version) using the instructions for Seamonkey (sysv) or Seamonkey (systemd).

In Thunderbird-91.6.2, two security issues which were rated as Critical were resolved. One of these vulnerabilities has to do with XSLT processing, and the other being in the WebGPU IPC Framework. The XSLT processing issue occurs when a parameter is removed during processing, which results in an exploitable use-after-free and subsequent remote code execution with a sandbox escape. The WebGPU vulnerability is similar to the XSLT processing issue, where an unexpected message can lead to a use-after-free resulting in subsequent remote code execution and sandbox escapes. There are multiple active attacks in the wild which are abusing these flaws, and it is thus recommended that you update to Thunderbird-91.6.2 immediately. These vulnerabilities have been assigned CVE-2022-26485 and CVE-2022-26486.

To fix these vulnerabilities, update to Thunderbird-91.6.2 or later using the instructions for Thunderbird (sysv) or Thunderbird (systemd).

In firefox 91.6.1 two CVE issues rated Critical were fixed (attacks in the wild). These are listed in mfsa-2022-09. Shortly afterwards, firefox-91.7.0 was released with five more CVE issues fixed, listed in mfsa-2022-11. The CVEs are CVE-2022-26485 (Not yet public), CVE-2022-26486 (Not yet public), CVE-2022-26381 (Not yet public), CVE-2022-26383 (Not yet public), CVE-2022-26384 (Not yet public), CVE-2022-26386 (Not yet public), CVE-2022-26387 (Not yet public).