LFS sikkerhetsråd for LFS 11.1 opp til 11.2
LFS-11.1 ble utgitt den 01.03.2022
gzip
11.1 028 gzip (LFS) Dato: 15.04.2022 Alvorlighetsgrad: Kritisk
I gzip-1.12 ble et kritisk sikkerhetsproblem fikset som kunne tillate eksterne angripere å utføre kommandoer på systemet ditt (eller overskrive eksisterende filer) når 'zgrep' kjøres på et laget arkiv. BLFS-teamet har uavhengig bekreftet at sårbarheten er triviell å utnytte. Oppdater til gzip-1.12 så snart som mulig. 11.1-028
Linux kernel
11.1 101 Linux Kernel (LFS) Dato: 24.08.2022 Alvorlighetsgrad: Høy
I Linux-6.0-rc2 er det en løsning for en sårbarhet som kan bli
utnyttet til å skrive inn i skrivebeskyttede minnetilordninger og
forårsake privilegier eskalering. Siden ingen rettelser er
tilbakeportert til stabile utgivelser så langt, deaktiver
CONFIG_USERFAULTFD
som en løsning.
11.1-102
11.1 099 Linux Kernel (LFS) Dato: 23.08.2022 Alvorlighetsgrad: Høy
I Linux-5.19.2 (og 5.18.19, 5.15.62, 5.10.137) er det rettelser for fire sårbarheter som kan utnyttes til å forårsake tjenestenekt eller privilegieeskalering. En av disse sårbarhetene kan utnyttes av en uprivilegert bruker for å forårsake kjernepanikk lett. Oppdater til siste stabile eller LTS kjerne umiddelbart. 11.1-099
11.1 082 Linux Kernel (LFS) Dato: 24.04.2022 Alvorlighetsgrad: Medium
I Linux-5.18.14.3 (og 5.15.57) er det reparasjoner for spekulative sårbarheter som kan føre til informasjonsavsløring og har fått navnet 'RETBleed'. Vennligst les 11.1-082 for å se om prosessoren din er berørt, og hvilke tiltak som er tilgjengelige.
11.1 027 Linux Kernel (LFS) Dato: 15.04.2022 Alvorlighetsgrad: Moderat
I Linux-5.17.3 (og 5.16.20, 5.15.34 og andre stabile utgivelser 13.04.2022), Det ble laget rettelser for tre sårbarheter i kjernens ax25-nettverk delsystem, som alle er rangert som moderate og kan forårsake fjernutnyttbare kjernepanikk. Oppgrader til minst Linux-5.17.3 (eller 5.15.34 eller annen stabil kjerne utgitt 13.04.2022) hvis du bruker ax25-nettverk. 11.1-027
11.1 017 Linux Kernel (LFS) Dato: 04.04.2022 Alvorlighetsgrad: Høy
I Linux-5.17.1 (og 5.16.18, 5.15.32 og andre stabile utgaver 28.03.2022), Det ble laget rettelser for to sårbarheter i kjernens nf_tables-kode, en vurdert som høyt. For å fikse disse, oppgrader til minst linux-5.17.1 (eller 5.15.32 eller andre stabile kjerner utgitt 28.03.2022). 11.1-017
11.1 011 Linux Kernel (LFS) Dato: 05.03.2022 Alvorlighetsgrad: Medium
I Linux-5.16.14 er det navngitte løsninger for maskinvaresårbarheter Branch History Injection er lagt til. Disse sårbarhetene kan være utnyttet til å forårsake lekkasje av sensitiv informasjon. For å omgå disse sårbarhetene, oppdater til minst linux-5.16.14 (eller 5.15.28, 5.10.105, 5.4.184, 4.19.234, 4.14.271, 4.9.306 for eldre systemer som bruker LTS stabile kjerner), og deaktiver uprivilegert bpf syscall. 11.1-011
11.1 009 Linux Kernel (LFS) Dato: 09.03.2022 Alvorlighetsgrad: Høy
I Linux siden 5.8, en lokal privilegieeskaleringssårbarhet kjent som 'Dirty Pipe' er oppdaget. For å fikse dette, oppdater til minst linux-5.16.11 (eller 5.15.25, 5.10.102 for eldre systemer som bruker LTS stabile kjerner) ved å bruke instruksjonene fra LFS boken for 11.1-009
OpenSSL
11.1 081 (LFS) OpenSSL Dato: 16.07.2022 Alvorlighetsgrad: Medium
I OpenSSL 3.0.4, 1.1.1p og tidligere 3.0 eller 1.1.1 utgivelser, AES OCB modus for 32-bits x86-plattformer som bruker AES-NI-enheten optimalisert implementering vil ikke kryptere hele dataene under noen omstendigheter. Dette kan lekke 16 byte av klartekst ved "på plass" kryptering. Hvis du kjører en 32-bits LFS, oppdatering til minst OpenSSL-1.1.1q for 1.1.1-serien, eller OpenSSL-3.0.5 for 3.0-utgivelser. 11.1-081
11.1 066 (LFS) OpenSSL Dato: 22.06.2022 Alvorlighetsgrad: Medium
En feil i c_rehash skriptet som håndterer skall metategn var
fikset i versjon 3.0.4 og 1.1.1p. Denne sårbarheten kan bli utnyttet
til å utføre vilkårlige kommandoer. Bruk av c_rehash skriptet er
anses foreldet og bør erstattes av openssl rehash
kommandoen. Oppdater til minst OpenSSL-1.1.1p hvis du bruker 1.1.1
serien. For 3.0 utgivelser, oppdater til OpenSSL-3.0.5 eller seinere.
Det anbefales ikke å oppdatere til OpenSSL-3.0.4 fordi 3.0.4 er
ødelagt på noen CPU modeller.
11.1-066
11.1 012 (LFS) OpenSSL Dato: 18.03.2022 Alvorlighetsgrad: Høy
En feil som kan føre til at OpenSSL går i løkke for alltid når du analyserer et laget sertifikatet ble fikset i versjon 3.0.2 og 1.1.1n. Oppdater til minst OpenSSL-3.0.2 hvis du bruker 3.0-serien, eller minst OpenSSL-1.1.1n hvis du bruker 1.1.1-serien. 11.1-012
Python3
11.1 092 Python3 (LFS og BLFS) Dato: 18.08.2022 Alvorlighetsgrad: Høy
To sikkerhetssårbarheter ble fikset i Python-3.10.6 som kunne tillate åpen omdirigering i den innebygde HTTP serveren, og for en bruk-etter-fri når du bruker minnevisningsfunksjonen. Oppdater til Python-3.10.6. 11.1-092
Shadow
11.1 100 Shadow Dato: 23.08.2022 Alvorlighetsgrad: Lav
I Shadow-1.12.2 ble to sikkerhetssårbarheter fikset som kunne tillate et symbollink angrep mens et shadow verktøy kjører av en administrator og opererer på en mappe som kan skrives av angriperen. Oppdater til shadow-1.12.2 ellers må du være forsiktig når du kjører shadow verktøyene som root. 11.1-100
VIM
11.1 053 VIM (LFS og BLFS) Dato: 29.05.2022 Alvorlighetsgrad: Medium
11 sårbarheter som forårsaker heap-based buffer overflow, use after free, NULL pointer dereference, eller ukontrollert recursion som fører til krasjer er fikset i vim-8.2.5014. For å fikse dem oppdater til vim-8.2.5014 eller senere. 11.1-053
11.1 037 VIM (LFS og BLFS) Dato: 06.05.2022 Alvorlighetsgrad: Høy
Tre sårbarheter som forårsaker heapbasert bufferoverløp eller use after free og fører til krasj har blitt fikset i vim-8.2.4814. For å fikse dem oppdater til vim-8.2.4814 eller nyere. 11.1-037
11.1 010 VIM (LFS og BLFS) Dato: 15.03.2022 Alvorlighetsgrad: Høy
En sårbarhet som forårsaker heapbasert bufferoverløp og krasj har blitt fikset i vim-8.2.4567. For å fikse dem oppdaterer du til vim-8.2.4567 eller senere. 11.1-010
11.1 001 VIM (LFS og BLFS) Dato: 02.03.2022 Alvorlighetsgrad: Høy
Fire sårbarheter som forårsaker krasj under visse omstendigheter har blitt fikset i vim-8.2.4489. Oppdater til vim-8.2.4489 eller senere for å fikse dem. 11.1-001
Xz
11.1 031 Xz (LFS) Dato: 15.04.2022 Alvorlighetsgrad: Kritisk
Den samme sårbarheten i zgrep som også ble fikset i zlib-1.2.12 gjelder bruk av xzgrep fra xz. Oppstrøms har levert en oppdatering.
For å fikse dette, gjenoppbygg xz-5.2.5 med oppdateringen eller oppdater til en senere versjon når en blir utgitt. 11.1-031
Zlib
11.1 018 Zlib Dato: 04.04.2022 Alvorlighetsgrad: Høy
En sårbarhet som tillater minnekorrupsjon ved tømming (dvs. komprimering) hvis inngangen har mange treff på avstand, har blitt funnet i Zlib.
For å fikse denne oppdater til zlib-1.2.12 eller nyere. Merk at oppdateringen vil forårsake 9 testfeil i perl testpakken, disse feilene bør ignoreres. Og, hvis du skal strippe feilsøkingssymbolene for LFS systemet ditt, må du justere filnavnet av zlib biblioteket i strippe instruksjonen. 11.1-018