LFS sikkerhetsråd for LFS 13.0

LFS-13.0 ble utgitt den 05.03.2026

Denne siden er en alfabetisk rekkefølge av pakker, og hvis en pakke har flere råd, kommer den nyeste først.

Linkene på slutten av hvert element peker til mer detaljerte detaljer som har lenker til utviklingsbøkene.

Glibc

Oppdatering av Glibc fra en tidligere versjon på et kjørende LFS system krever ekstra forholdsregler for å unngå å ødelegge systemet. Forholdsreglene er dokumentert i en "Viktig" boks i LFS bokdelen for Glibc. Følg dem strengt, ellers kan du gjøre systemet fullstendig ubrukelig.

I glibc-2.43 ble det oppdaget to sikkerhetsproblemer som kunne tillate applikasjoner å behandle ugyldige DNS svar som gyldige. Disse problemene er begge klassifisert som brudd på DNS spesifikasjonen, og ble løst ved å telle antall forventede poster, samt utføre inndatavalidering på vertsnavn i DNS poster. Brukere bør gjenoppbygge glibc med sed i utviklingsboken. Merk at gjenoppbygging av glibc bør gjøres med ekstrem forsiktighet, og instruksjonene for oppdatering av glibc på den siden bør følges strengt for å forhindre et ødelagt system. 13.0-021

Expat

I Expat-2.7.5 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenekt (krasj og ressursutmattelse) ved behandling av håndlagde XML filer. Fordi Expat kan brukes i en rekke forskjellige kontekster på et LFS system, inkludert noen nettlesere, anbefales det at brukere å oppdaterere Expat. Oppdater til Expat-2.7.5. 13.0-019

libcap

I libcap-2.78 ble et sikkerhetsproblem rettet som kunne tillate en lokal, ikke-privilegert bruker med skrivetilgang til en mappe å omdirigere oppdateringer av filfunksjoner til en angriperkontrollert fil. Dette kan føre til at funksjoner injiseres i (eller fjernes fra) utilsiktede kjørbare filer, noe som fører til eskalering av rettigheter. Oppdater til libcap-2.78. 13.0-040

OpenSSL

I OpenSSL-3.6.2 ble sju sikkerhetsproblemer rettet som kunne tillate at innhold i uinitialisert minne ble sendt til en ondsinnet motpart, for tjenestenekt (programkrasj) og kjøring av vilkårlig kode. Disse forekommer i en rekke sammenhenger i OpenSSL, inkludert når applikasjoner bruker RSASVE nøkkelinnkapsling for å etablere en hemmelig krypteringsnøkkel, når applikasjoner bruker AES-CFB128 kryptering eller dekryptering på systemer som støtter AVX-512 instruksjonssettet, når klienter er konfigurert til å utføre DANE TLSA basert serverautentisering, når de behandler en delta CRL, når de behandler CMS EnvelopedData meldinger med KeyAgreeRecipientInfo, når de behandler CMS EnvelopedData meldinger med KeyTransportRecipientInfo, og når de utfører heksadesimale strenger på 32-biters plattformer. Oppdater til OpenSSL-3.6.2. Hvis du fortsatt er på et *LFS 12.4-system, bruk 3.5.5. 13.0-039

Perl

I Perl-5.42.2 ble et sikkerhetsproblem rettet ved å oppdatere den medfølgende Compress::Raw::Zlib modulen som kunne føre til at flere av zlib sikkerhetsrådene fra SA-12.4-099 ble utnyttet, samt en rekke andre interne forbedringer av den modulen som løser problemer med nyere versjoner av zlib. Brukere anbefales å oppdatere umiddelbart, ettersom CISA har vurdert dette sikkerhetsproblemet som kritisk. Oppdater til Perl-5.42.2 13.0-023

Python

I Python-3.14.4 (og 3.13.13) ble fire sikkerhetsproblemer rettet. Etter utgivelsen ble imidlertid ytterligere fire løst. Disse sårbarhetene kan føre til en rekke påvirkninger, inkludert tjenestenektelse (programkrasj), slik at data kan aksepteres av base64 modulen som burde vært behandlet annerledes, forbigåelse av inndatavalidering når man arbeider med informasjonskapsler i http.Cookies.Morsel (som tillater injeksjon av kontrolltegn i informasjonskapsler), at eldre *.pyc filer håndteres feil (som fører til utilsiktet oppførsel under kjøring for ulike programmer), for vilkårlig kodeutførelse ved behandling av LZMA, BZ2 eller GZIP komprimerte filer i Python, at CR/LF byte ikke avvises av HTTP klientproxy tunneloverskrifter, at kommandoer injiseres i det underliggende skallet når et Python skript åpner en nettleser, og at minnekorrupsjon oppstår når man bruker fjernfeilsøkingsfunksjonen i Python 3.14 og senere. Oppdater til Python-3.14.4 med sikkerhetsrettelsene. BLFS 12.4 brukere kan trygt bruke 3.13.13 med oppdateringen, men må hoppe over en manglende fil under oppdateringsprosessen. 13.0-038

I Python-3.14.3 ble det funnet tre sikkerhetsproblemer som kunne tillate tjenestenekt (programkrasj), tillate kontrolltegn i HTTP informasjonskapsler, og tillate Python ved et uhell å sende uventede alternativer til nettlesere. Gjenoppbygg Python med sikkerhetsrettelsene. 13.0-022

systemd

I systemd-259.5 ble et sikkerhetsproblem rettet som kunne tillate lokal privilegieeskalering. Dette sikkerhetsproblemet ble funnet i systemd-machined, som kan utløses av en vanlig bruker som er logget inn i et grafisk miljø og som kan eskalere til rotbrukeren via et IPC kall. Oppdater til systemd-259.5. 13.0-008

I Util-Linux-2.42 ble to sikkerhetsproblemer fikset. Disse kunne tillate uautorisert lesetilgang til rotbeskyttede filer og blokkere enheter, og føre til krasj ved bruk av udisks og andre programmer som bruker libblkid biblioteket. Sårbarheten for uautorisert lesing oppstår når kommandoen 'mount' brukes på grunn av et TOCTOU symbollenke angrep via en løkkeenhet. Merk at for å bli påvirket, må ikke-root brukere kunne montere løkkeenheter. Oppdater til Util-Linux-2.42. 13.0-041

vim

I vim-9.2.0340 ble to sikkerhetsproblemer fikset som kunne tillate injeksjon av kommandoer i operativsystemet (som følge av en sandkasserømming i modeline funksjonaliteten), og for problemer med sti traversering når innholdet i Zip arkiver endres, slik at vim overskriver filer på det underliggende systemet i stedet for det tiltenkte innholdet i Zip arkivet. Alle brukere oppfordres til å oppdatere til vim-9.2.0340 umiddelbart på grunn av risikoen for vilkårlig kommandoutførelse. 13.0-037

I vim-9.2.0272 ble et sikkerhetsproblem rettet som kunne tillate vilkårlig OS kommandoinjeksjon ved lasting av en håndlaget fil. Merk at filen bare trenger å lastes inn av VIM, en bruker trenger ikke å redigere den eller utføre noen spesielle kommandoer for at sårbarheten skal utløses. Alle brukere bør oppdatere til vim-9.2.0272 umiddelbart, spesielt hvis de regelmessig ser kildekode eller andre filer fra upålitelige eller eksterne kilder. 13.0-025

XML-Parser

I XML-Parser-2.54 ble to sikkerhetsproblemer rettet som kunne tillate ekstern kjøring av kode eller tjenestenekt (programkrasj) ved behandling av håndlagde XML dokumenter. Begge disse sårbarhetene er kjent for å bli utnyttet i stor skala. Oppdater til XML-Parser-2.54 umiddelbart. 13.0-020

xz

I xz-5.8.3 ble et sikkerhetsproblem rettet som kunne tillate bufferoverløp i lzma_index_append() funksjonen, noe som muligens kunne tillate kjøring av vilkårlig kode under noen sjeldne omstendigheter. Oppstrøms har bemerket at det er svært usannsynlig at feilen kan utløses i noen virkelige applikasjoner, men sårbarheten er likevel merket som kritisk. Sårbarheten oppstår hvis lzma_index_decoder() ble brukt til å dekode en indeks som ikke inneholder noen poster, da den resulterende lzma_index ble etterlatt i en tilstand der en påfølgende lzma_index_append() ikke ville allokere nok minne, og dermed oppstår bufferoverløp. Det er imidlertid vanligvis ingen grunn til å legge til poster i en dekodet lzma_index. Oppdater til xz-5.8.3. 13.0-018