LFS sikkerhetsråd for LFS 12.4 og nåværende utviklingsversjon
LFS-12.4 ble utgitt den 01.09.2025
Denne siden er en alfabetisk rekkefølge av pakker, og hvis en pakke har flere råd, kommer den nyeste først.
Linkene på slutten av hvert element peker til mer detaljerte detaljer som har lenker til utviklingsbøkene.
Glibc
Oppdatering av Glibc fra en tidligere versjon på et kjørende LFS system krever ekstra forholdsregler for å unngå å ødelegge systemet. Forholdsreglene er dokumentert i en "Viktig" boks i LFS bokdelen for Glibc. Følg dem strengt, ellers kan du gjøre systemet fullstendig ubrukelig.
12.4 079 glibc (LFS) Dato: 01.02.2026 Alvorlighetsgrad: Høy
I glibc-2.43 ble fire sikkerhetsproblemer rettet som kunne føre til bufferoverløp, manglende lagring og gjenoppretting av ikke-flyktige vektorer og dobbeltfrie operasjoner. Oppdater til glibc-2.43. 12.4-079
Expat
12.4 086 Expat (LFS) Dato: 08.02.2026 Alvorlighetsgrad: Medium
I Expat-2.7.4 ble to sikkerhetsproblemer rettet som kunne tillate tjenestenekt (programkrasj) eller ekstern kjøring av kode. Disse sårbarhetene finnes i doContent og XML_ExternalEntityParserCreate funksjonene. Oppdater til Expat-2.7.4. 12.4-086
12.4 005 Expat (LFS) Dato: 30.09.2025 Alvorlighetsgrad: Høy
I Expat-2.7.3 ble det rettet et sikkerhetsproblem som kan tillate tjenestenektelse (systemminneutilstrekk) når man analyserer et XML dokument. Problemet er kjent for å kunne utnyttes enkelt og pålitelig. Det ble rettet ved å forhindre bruk av uforholdsmessige mengder dynamisk minne i en Expat parserkontekst. Alle brukere anbefales å oppdatere til Expat-2.7.3 på grunn av antallet steder Expat kan brukes, inkludert i kontekster som nettlesere der upålitelig inndata behandles. 12.4-005
OpenSSL
12.4 078 OpenSSL (LFS) Dato: 01.02.2026 Alvorlighetsgrad: Høy
I OpenSSL-3.6.1 ble tolv sikkerhetsproblemer rettet som kunne tillate DOS angrep (denial of service), stakkbufferoverløp, NULL dereferanseoperasjoner, avkorting av input, overdreven minneallokering, skriveoperasjoner utenfor grensene, etterfølgende byte, manglende validering for ASN1, NULL-peker dereferanseoperasjoner og typeforvirring. Oppdater til OpenSSL-3.6.1 (eller 3.5.5). 12.4-078
12.4 012 OpenSSL (LFS) Dato: 01.10.2025 Alvorlighetsgrad: Medium
I OpenSSL-3.5.4 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenekt (programkrasj), kjøring av vilkårlig kode, og gjenoppretting av private nøkler på ARM64 plattformer. Oppdater til OpenSSL-3.5.4. 12.4-012
Python
12.4 063 Python (LFS og BLFS) Dato: 23.12.2025 Alvorlighetsgrad: Medium
I Python-3.13.11 og Python-3.14.2 ble sju sikkerhetsproblemer rettet som kunne tillate aksept av inkonsekvente poster i den sentrale zip64 mappens poster, feil håndtering av maksimalt antall rader, manglende støtte for klartekst elementet, usikret lineær kompleksitet for parsing av eldre HTTP parametere, feil kvadratisk kompleksitet og tjenestenekt.
Hvis du bruker Python-3.13.x, oppdater til Python-3.13.11. Hvis du bruker Python-3.14.x, oppdater til Python-3.14.2. 12.4-063