LFS sikkerhetsråd for LFS 12.1 opp til 12.2.
LFS-12.1 ble utgitt den 01.03.2024
Denne siden er en alfabetisk rekkefølge av pakker, og hvis en pakke har flere råd, kommer den nyeste først.
Linkene på slutten av hvert element peker til mer detaljerte detaljer som har lenker til utviklingsbøkene.
Expat
12.1 010 Expat (LFS) Dato: 20.03.2024 Alvorlighetsgrad: Medium
I Expat-2.6.2, et sikkerhetsproblem ble rettet som kunne tillate tjenestenektelse via et XML Entity Expansion angrep når det er isolert bruk av eksterne parsere (opprettet ved hjelp av XML_ExternalEntityParserCreate funksjonen). Problemet har blitt klassifisert som et "billion laughs" angrep, også kjent som et XML bombeangrep. Oppdater til Expat-2.6.2. 12.1-010
Glibc
Oppdatering av Glibc fra en tidligere versjon på et kjørende LFS system krever ekstra forholdsregler for å unngå at systemet ødelegges. Forholdsreglene er dokumentert i en «Viktig» boks i LFS bokdelen for Glibc. Følg dem strengt, ellers kan du gjøre systemet fullstendig ubrukelig.
12.1 037 Glibc Dato: 02.05.2024 Alvorlighetsgrad: Høy
I Glibc 2.39 og tidligere, er det en sårbarhet i en iconv modul som kan tillate ekstern kjøring av kode via nettverkstjenester som kjører på systemet. En utnyttelse via PHP baserte webapplikasjoner har blitt demonstrert. Og det er fire sårbarheter i Name Service Cache Daemon (NSCD) til Glibc.
Vennligst les lenken for å fikse disse sikkerhetsproblemene: 12.0-037
Linux kjernen
12.1 029 Linux kjernen (LFS) Dato: 17.04.2024 Alvorlighetsgrad: Medium
I Linux-6.8.5, en utilstrekkelig begrensning mot maskinvarens sårbarhet kjent som Branch History Injection, eller BHI (se 11.1-011 (for detaljer) på noen Intel prosessorer ble fikset. Les 12.1-029 for hvordan man fullt ut kan redusere BHI for berørte Intel prosessorer.
OpenSSL
12.1 068 OpenSSL (LFS) Dato: 10.07.2023 Alvorlighetsgrad: Lav
I OpenSSL-3.3.1, tre sikkerhetsproblemer ble rettet som kunne føre til tjenestenektelse (programkrasj, ubegrenset ressurstilgang, og for lang tid brukt i en funksjon). Oppdater til OpenSSL-3.3.1 (eller 3.2.2, 3.1.6 eller 3.0.14). 12.1-068
Python3
12.1 069 Python3 (LFS og BLFS) Dato: 10.07.2024 Alvorlighetsgrad: Medium
I Python-3.12.4, et sikkerhetsproblem ble rettet som kunne tillate at feil informasjon ble returnert om hvorvidt visse IPv4 og IPv6 adresser var angitt som «globalt tilgjengelige» eller «private». Dette skjedde på grunn av unøyaktig informasjon fra IANAs spesialadresseregistre. Oppdater til Python-3.12.4. 12.1-069