LFS sikkerhetsråd for LFS 12.3 opp til 12.4.
LFS-12.3 ble utgitt den 05.03.2025
Denne siden er en alfabetisk rekkefølge av pakker, og hvis en pakke har flere råd, kommer den nyeste først.
Linkene på slutten av hvert element peker til mer detaljerte detaljer som har lenker til utviklingsbøkene.
Glibc
Oppdatering av Glibc fra en tidligere versjon på et kjørende LFS system krever ekstra forholdsregler for å unngå at systemet ødelegges. Forholdsreglene er dokumentert i en «Viktig» boks i LFS bokdelen for Glibc. Følg dem strengt, ellers kan du gjøre systemet fullstendig ubrukelig.
12.3 085 glibc (LFS) Dato: 05.08.2025 Alvorlighetsgrad: Medium
I glibc-2.42, et sikkerhetsproblem ble rettet som kan tillate en dobbel frigjøring når regcomp() funksjonen brukes. Den doble frigjøringen kan oppnås ved en malloc feil eller ved å bruke en mellomliggende malloc som injiserer tilfeldige malloc feil, og den doble frigjøringen er kjent for å forårsake buffermanipulasjon avhengig av hvordan regexen som sendes til regcomp er konstruert. Alle versjoner fra glibc-2.4 til 2.41 er kjent for å være berørt. Dette kan forårsake vilkårlig kodekjøring eller tjenestenekt.
Vennligst les lenken for å fikse denne sårbarheten: 12.3-085
coreutils
12.3 043 coreutils (LFS) Dato: 02.06.2025 Alvorlighetsgrad: Medium
I coreutils-9.6, ble det oppdaget et sikkerhetsproblem som kunne tillate tjenestenekt (programkrasj) eller lekkasje av sensitive data når «sort» verktøyet brukes. Sårbarheten er sårbar for en underlesing av heapbuffer. Oppdater til coreutils-9.7 med oppdateringen. 12.3-043
Expat
12.3 006 Expat (LFS) Dato: 20.05.2025 Alvorlighetsgrad: Høy
I Expat-2.7.1, et sikkerhetsproblem ble rettet som kunne føre til et krasj ved kjedekobling av et stort antall enheter. Krasjet er forårsaket av en stakkoverløp, og det ble løst ved å fikse bruken av rekursjon for generelle enheter i tegndata, generelle enheter i attributtdata og parameterenheter. Oppdater til Expat-2.7.1 så snart som mulig. 12.3-006
Perl
12.3 042 Perl (LFS) Dato: 02.06.2025 Alvorlighetsgrad: Medium
I Perl-5.40.2, ble det oppdaget et sikkerhetsproblem som kunne føre til en kappløpstilstand der filoperasjoner kan målrette seg mot utilsiktede stier. Sårbarheten er kjent for å forårsake vilkårlig kodekjøring samt lasting av filer fra uventede steder. Gjenoppbygg Perl-5.40.2 med oppdateringen. 12.3-042
12.3 017 Perl (LFS) Dato: 20.05.2025 Alvorlighetsgrad: Høy
I Perl-5.40.2, et sikkerhetsproblem ble rettet som kunne tillate tjenestenekt eller kjøring av vilkårlig kode ved translitterering av ikke-ASCII-byte. Sårbarheten er forårsaket av en heap-bufferoverløp, og en påfølgende skriving utenfor grensene. Oppdater til Perl-5.40.2. 12.3-017
Python
12.3 088 Python (LFS og BLFS) Dato: 10.08.2025 Alvorlighetsgrad: Høy
I Python-3.13.6, fire sikkerhetsproblemer ble rettet i HTML parserfunksjonaliteten som kan tillate skripting på tvers av nettsteder, tjenestenekt (ubegrenset ressursforbruk) og behandling av skjult HTML kode. Disse sikkerhetsproblemene oppstår hovedsakelig fordi tidligere versjoner av Python ikke fulgte HTML 5 standarden riktig. Oppdater til Python-3.13.6, eller følg instruksjonene i veiledningen hvis du bruker en eldre versjon av Python. 12.3-088
12.3 087 Python (LFS og BLFS) Dato: 05.08.2025 Alvorlighetsgrad: Høy
Et sikkerhetsproblem ble oppdaget i Python-3.13.5 som kan tillate tarfile modulen å behandle tar arkiver med negative offsets uten en feil, noe som ville resultere i en uendelig løkke og en vranglås ved behandling av skadelige tar arkiver. Oppstrøms har utarbeidet en oppdatering for sårbarheten som BLFS redaktørene har gjort om til en sed. Brukere som behandler tar filer ved hjelp av tarfile modulen i Python, bør gjenoppbygge Python med sed kommandoen for å løse denne sårbarheten. 12.3-087
12.3 047 Python (LFS og BLFS) Dato: 04.06.2025 Alvorlighetsgrad: Kritisk
I Python-3.13.4, fem sikkerhetsproblemer ble fikset som kunne tillate tjenestenekt ved behandling av lange IPv6 adresser, og for at tarfile utvinningsfiltre kunne omgås ved hjelp av håndlagde symbollenker og harde lenker. Omgangene med utvinningsfiltre lar angripere skrive vilkårlige filer til en brukers filsystem når de dekomprimerer en tar fil ved hjelp av python modulen 'tarfile'. Oppdater til Python-3.13.4. 12.3-047
12.3 018 Python (LFS og BLFS) Dato: 20.05.2025 Alvorlighetsgrad: Medium
I Python-3.13.3, to sikkerhetsproblemer ble rettet som kunne tillate forfalskning av e-posthoder og denial-of-service (ubegrenset minnebruk). I tillegg ble en annen sårbarhet løst etter denne utgivelsen av Python som kan forårsake krasj ved bruk av unicode_escape kodingen eller en feil behandler ved dekoding av bytes ved hjelp av bytes.decode() funksjonen. Oppdater til Python-3.13.3 og installer oppdateringen for bytes.decode() sårbarheten. 12.3-018
systemd
12.3 044 systemd (LFS og BLFS) Dato: 02.06.2025 Alvorlighetsgrad: Medium
I systemd-257.6, et sikkerhetsproblem ble rettet som tillater en angriper å tvinge SUID prosesser til å krasje og lar dem erstatte programmet med en ikke-SUID binærfil for å få tilgang til den opprinnelige privilegerte prosessens coredump. Dette lar angriperen lese ekstremt sensitive data, for eksempel /etc/shadow innhold. Oppdater til systemd-257.6. 12.3-044
vim
12.3 072 vim (LFS og BLFS) Dato: 16.07.2025 Alvorlighetsgrad: Medium
I vim-9.1.1552, to sikkerhetsproblemer ble fikset som kunne tillate stigjennomgang når tar.vim og zip.vim programtilleggene ble brukt til å vise en skadelig TAR eller ZIP fil. Det er mulig for vim å pakke ut vilkårlige filer til mapper på systemet hvis en relativ sti brukes i TAR/ZIP filen, som kan brukes til å plassere filer som er nødvendige for å utnytte andre sårbarheter på systemet. Oppdater til vim-9.1.1552. 12.3-072
xz
12.3 019 xz (LFS) Dato: 20.05.2025 Alvorlighetsgrad: Høy
I xz-5.8.1, et sikkerhetsproblem ble rettet som kunne tillate ugyldig inndata ved dekomprimering av en XZ fil, noe som kunne forårsake tjenestenekt eller potensielt vilkårlig kodekjøring. Oppdater til xz-5.8.1. 12.3-019