BLFS sikkerhetsråd for BLFS 12.4 og gjeldende utviklingsbøker.
BLFS-12.4 ble utgitt den 01.09.2025
Denne siden er i alfabetisk rekkefølge etter pakker, og hvis en pakke har flere råd, kommer den nyeste først.
Lenkene på slutten av hvert element peker til flere detaljer som har lenker til utgitte bøker.
Generelt sett hentes alvorlighetsgraden fra oppstrøms, hvis oppgitt, eller fra NVD (https://nvd.nist.gov/vuln/detail/) hvis en analyse er tilgjengelig der, men individuelle alvorlighetsgrader ved NVD kan endres over tid. Hvis ingen annen informasjon er tilgjengelig, antas det vanligvis en «Høy» alvorlighetsgrad.
BIND
12.4 025 BIND Dato: 04.11.2025 Alvorlighetsgrad: Kritisk
I BIND-9.20.15 ble tre sikkerhetsproblemer rettet som kunne tillate ressursutmattelse samt angrep med hurtigbufferforgiftning. Sårbarheten med ressursutmattelse oppstår når man spør etter poster som har en spesiallaget sone som inneholder misdannede DNSKEY poster. Den første sårbarheten med hurtigbufferforgiftning oppstår fordi BIND er for overbærende når den godtar poster fra svar, noe som lar angripere trivielt injisere forfalskede data i hurtigbufferen. Den andre sårbarheten med hurtigbufferforgiftning oppstår på grunn av en svakhet i PRNG-en som brukes, som lar angripere forutsi kildeporten og spørrings-ID-en som BIND vil bruke. Brukere som bruker BIND serveren bør oppdatere til BIND-9.20.15 umiddelbart, men hvis du bare bruker klientverktøyene, er det ingen grunn til å oppgradere. 12.4-025
brotli
12.4 027 brotli Dato: 04.11.2025 Alvorlighetsgrad: Lav
I brotli-1.2.0 ble det implementert noen sikkerhetstiltak som tillater å redusere uventet stor utdata. Dette ble gjort ved å legge til Decompressor::can_accept_more_data metoden og det valgfrie output_buffer_limit argumentet i Decompressor::process metoden. Merk at dette er vurdert som Lav fordi det ikke er tilordnet noen CVE, og denne endringen påvirker bare Python bindingene til brotli, som ikke er vanlige. Hvis du bruker Python bindingene til brotli, oppdater til brotli-1.2.0. 12.4-027
CUPS
12.4 041 cups-filters og libcupsfilters Dato: 22.11.2025 Alvorlighetsgrad: Medium
Et par oppdateringer for cups-filters-2.0.1 og libcupsfilters-2.1.1 fikser tre sikkerhetsproblemer som kan føre til heap-bufferoverløp og lesetilgang utenfor grensene. Gjenoppbygg cups-filters-2.0.1 og libcupsfilters-2.1.1 med sikkerhetsoppdateringene som er oppført på hver side som beskrevet i den konsoliderte veiledningen. 12.4-041
12.4 006 CUPS Dato: 30.09.2025 Alvorlighetsgrad: Høy
I CUPS-2.4.14, ble to sikkerhetsproblemer rettet som kan tillate en eksternt utnyttbar autentiseringsomgåelse og tjenestenekt. Sårbarheten for autentiseringsomgåelse oppstår på systemer der AuthType er satt til noe annet enn Basic, og denial of service-sårbarheten oppstår på systemer som lytter etter IPP skrivere gjennom cups-browsed eller CUPS selv. Brukere som har cups-browsed installert, eller som har endret AuthType konfigurasjonselementene, anbefales å oppdatere så snart som mulig. Oppdater til CUPS-2.4.14. 12.4-006
cURL
12.4 033 cURL Dato: 12.11.2025 Alvorlighetsgrad: Medium
I cURL-8.17.0 ble et sikkerhetsproblem rettet som kunne tillate et sikkerhetsproblem for sti-traversering når man bruker 'wcurl' verktøyet med en URL som inneholder prosentkodede skråstreker (/ eller \). Bruk av prosentkodede skråstreker kan lure wcurl til å lagre utdatafilen utenfor gjeldende mappe, noe som potensielt lar angripere plassere filer på et annet sted på en brukers system uten deres viten. Dette påvirker imidlertid bare brukere som bruker 'wcurl' verktøyet – brukere som bare bruker libcurl som en byggeavhengighet eller 'curl' verktøyet påvirkes ikke. Hvis du bruker 'wcurl' verktøyet, oppdater til cURL-8.17.0. 12.4-033
12.4 008 cURL Dato: 30.09.2025 Alvorlighetsgrad: Lav
I cURL-8.16.0, ble to sikkerhetsproblemer fikset som kunne tillate at et forutsigbart maskemønster oppstår ved bruk av WebSockets (som kan tillate at en ondsinnet server induserer trafikk mellom maskiner som kan tolkes av en involvert proxy som legitim trafikk), og at nettsteder overskriver innholdet i en sikker informasjonskapsel. Oppdater til cURL-8.16.0. 12.4-008
Dovecot
12.4 031 Dovecot Dato: 07.11.2025 Alvorlighetsgrad: Høy
I Dovecot-2.4.2 ble et sikkerhetsproblem rettet som kunne tillate brukere å få tilgang til andre brukeres e-post i visse situasjoner. Dette skjer på grunn av et problem med autentiseringsbuffering, der det første oppslaget ville bli mellomlagret for alle oppslag på tvers av serveren. Dette er fordi mellomlagringsnøkkelen var "%u", som ikke lenger utvides til det samme som "${user}". Dette påvirker ikke standard BLFS konfigurasjon ettersom autentiseringsmellomlagring er deaktivert, men hvis du kjører en server som har autentiseringsbuffer aktivert, bør du oppdatere serveren din til denne versjonen av Dovecot umiddelbart. Alternativt kan du deaktivere autentiseringsbuffering. Hvis du bruker en server med en berørt konfigurasjon, oppdater til Dovecot-2.4.2. 12.4-031
Exiv2
12.4 010 Exiv2 Dato: 30.09.2025 Alvorlighetsgrad: Lav
I Exiv2-0.28.7 ble to sikkerhetsproblemer rettet som kunne tillate tjenestenekt (programkrasj og kvadratisk ressursforbruk) ved behandling av EPS filer og parsing av ICC profiler i JPEG bilder. Oppdater til Exiv2-0.28.7 hvis du arbeider med upålitelige EPS filer eller JPEG bilder. 12.4-010
fetchmail
12.4 017 fetchmail Dato: 10.10.2025 Alvorlighetsgrad: Medium
I fetchmail-6.5.6, ble et sikkerhetsproblem rettet som kunne forårsake tjenestenektelse (programkrasj) ved autentisering med SMTP klienten. Merk at for at dette sikkerhetsproblemet skal kunne utnyttes, må en bruker ha konfigurert alternativene esmtpname og esmtppassword, samt at plugout og mda alternativene er inaktive. Denne konfigurasjonen er ganske uvanlig, men hvis du har fetchmail installert med denne konfigurasjonen og opplever krasj, bør du oppdatere til fetchmail-6.5.6 eller nyere. 12.4-017
Firefox
12.4 022 Firefox Dato: 14.10.2025 Alvorlighetsgrad: Høy
I Firefox-140.4.0esr er 8 sikkerhetsproblemer rettet som kan tillate bruk-etter-frigjøring, lesing/skriving utenfor grensene, informasjonslekkasje, modifisering av ikke-skrivbare objektegenskaper, overstyring av nettleserens oppførsel, potensiell brukerassistert kodekjøring, og utnyttelse av minnesikkerhetsfeil. Disse sikkerhetsproblemene påvirker ikke JavaScript komponenten i Firefox (SpiderMonkey). Oppdater til Firefox-140.3.0esr. 12.4-022
12.4 001 Firefox Dato: 19.09.2025 Alvorlighetsgrad: Høy
I Firefox-140.3.0esr, 7 sikkerhetsproblemer er rettet som kan tillate sandkasse rømming, omgåelse av retningslinjer med samme opprinnelse, utnyttelse av feil grensebetingelser, heltallsoverløp, avsløring av nettverksinformasjon og sikkerhetsfeil i minnet. Oppdater til Firefox-140.3.0esr. 12.4-001
ffmpeg
12.4 014 ffmpeg Dato: 10.10.2025 Alvorlighetsgrad: Høy
I ffmpeg-7.1.2, ble fem sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring og tjenestenekt. En av disse sårbarhetene er kjent for å være utnyttet. Disse sårbarhetene oppstår ved koding av AAC filer, behandling av MPEG-DASH manifester og ved dekoding av OpenEXR filer. Disse problemene oppstår alle på grunn av heap-bufferoverløp. Merk at ffmpeg brukes i flere sammenhenger, inkludert i nettlesere og andre mediespillere. Oppdater til ffmpeg-7.1.2. 12.4-014
gegl
12.4 015 gegl Dato: 10.10.2025 Alvorlighetsgrad: Høy
I gegl-0.4.64, ble et sikkerhetsproblem rettet som kunne tillate ekstern kjøring av kode ved behandling av HDR filer. Merk at dette sikkerhetsproblemet kun kan utnyttes via GIMP, som også nylig har fått en sikkerhetsoppdatering. Du bør oppdatere gegl, og deretter oppdatere GIMP. Hvis du åpner upålitelige HDR filer, bør du oppdatere til gegl-0.4.64 umiddelbart. 12.4-015
gi_docgen
12.4 021 gi_docgen Dato: 14.10.2025 Alvorlighetsgrad: Medium
I gi_docgen-2025.5 ble et sikkerhetsproblem rettet som kunne tillate XSS (cross-site scripting) i dokumentasjon som genereres av gi_docgen. Sårbarheten ble demonstrert i libsoup API dokumentasjonen, men kan også påvirke annen dokumentasjon som genereres av gi_docgen. Sårbarheten ligger i søkefunksjonaliteten og lar angripere kjøre vilkårlig JavaScript kode i konteksten av det genererte nettstedet. Oppdater til gi_docgen-2025.5. 12.4-021
GIMP
12.4 016 GIMP Dato: 10.10.2025 Alvorlighetsgrad: Høy
I GIMP-3.0.6, ble seks sikkerhetsproblemer rettet som kunne tillate ekstern kjøring av kode ved behandling av DCM, WBMP, FF, XWD og ILBM filer. Hvis du jobber med DCM, WBMP, FF, XWD, ILBM eller HDR filer, bør du oppdatere til gegl-0.4.64 og GIMP-3.0.6 umiddelbart. 12.4-016
GnuTLS
12.4 038 GnuTLS Dato: 22.11.2025 Alvorlighetsgrad: Lav
I GnuTLS-3.8.11 ble et sikkerhetsproblem rettet som kunne tillate overskriving av stakk. Oppdater til GnuTLS-3.8.11. 12.4-038
libaom
12.4 007 libaom Dato: 30.09.2025 Alvorlighetsgrad: Høy
I libaom-3.13.1 ble et sikkerhetsproblem rettet som kunne tillate ekstern kjøring av kode når en laget AV1 fil spilles av. Sårbarheten er hovedsakelig kjent for å bli utnyttet i en nettleserkontekst, for eksempel i QtWebEngine (med den innebygde kopien av Chromium). Oppdater til libaom-3.13.1. 12.4-007
libarchive
12.4 037 libarchive Dato: 22.11.2025 Alvorlighetsgrad: Høy
I libarchive-3.8.3 ble tre sikkerhetsproblemer rettet som kunne tillate midlertidig filoppretting i en feil mappe og bufferoverløp. Oppdater til libarchive-3.8.3. 12.4-037
12.4 024 libarchive Dato: 17.10.2025 Alvorlighetsgrad: Medium
I libarchive-3.8.2 ble et sikkerhetsproblem rettet som kunne tillate at en skadelig TAR fil forårsaker en tjenestenekt (programkrasj) eller muligens andre konsekvenser når innholdet i TAR filen er oppført med en detaljert verdi på '2'. Et eksempel gitt av upstream er at en buffer på 100 byte kanskje ikke er tilstrekkelig for en tilpasset språkinnstilling. Oppdater til libarchive-3.8.2 hvis du bruker den til å behandle TAR-filer. 12.4-024
libsoup
12.4 034 libsoup Dato: 12.11.2025 Alvorlighetsgrad: Høy
Det har blitt funnet flere sikkerhetsproblemer i libsoup-3.6.5. Ingen ny utgivelse er laget oppstrøms, men BLFS teamet har utviklet en oppdatering for å fikse sårbarhetene som det finnes oppdateringer for. Disse sårbarhetene kan tillate en eksternt utnyttbar tjenestenektanelse (overdrevent minneforbruk og krasj), at utløpslogikk for informasjonskapsler blir omgått (som fører til utilsiktet eller vedvarende informasjonskapselatferd), for informasjonsavsløring under noen omstendigheter, og for vilkårlig kodekjøring. Gjenoppbygg libsoup-3.6.5 med oppdateringen, og oppdater også til Epiphany-49.0 eller nyere når det er tilgjengelig for å redusere en av de uløste sårbarhetene. 12.4-034
OpenJPEG
12.4 009 OpenJPEG Dato: 30.09.2025 Alvorlighetsgrad: Kritisk
I OpenJPEG-2.5.4 ble et sikkerhetsproblem rettet som kunne tillate ekstern kjøring av kode ved behandling av en laget JPEG2000 fil. Problemet oppstår på grunn av en ubegrenset skriving utenfor grensene. Oppdater til OpenJPEG-2.5.4. 12.4-009
OpenSSH
12.4 018 OpenSSH Dato: 10.10.2025 Alvorlighetsgrad: Lav
I OpenSSH-10.1p1, ble et sikkerhetsproblem rettet som kunne tillate ekstern kjøring av kode i noen konfigurasjoner. Bare brukere som har endret standardkonfigurasjonen i BLFS og angitt ProxyCommand er sårbare for problemet, og problemet oppstår fordi OpenSSH tillot kontrolltegn i brukernavn som stammer fra upålitelige kilder. Hvis du ikke har endret standard BLFS konfigurasjon, er det ikke nødvendig å oppgradere. Hvis du har endret konfigurasjonen og angitt ProxyCommand alternativet, oppdater til OpenSSH-10.1p1. 12.4-018
PCRE2
12.4 004 PCRE2 Dato: 29.09.2025 Alvorlighetsgrad: Medium
I PCRE2-10.46, et sikkerhetsproblem ble rettet som kan tillate informasjonsavsløring og tjenestenektelse (programkrasj) når et laget regulært uttrykk behandles. Dette skjer når mønsterfunksjonene *ACCEPT og *scs: brukes sammen, og oppstrøms har bemerket at problemet kan brukes til å eskalere alvorlighetsgraden av andre sikkerhetsproblemer i et system. Oppdater til PCRE2-10.46, med tanke på merknaden i veiledningen om bruk av BLFS instruksjonene siden denne pakken har blitt flyttet til LFS. 12.4-004
poppler
12.4 020 poppler Dato: 14.10.2025 Alvorlighetsgrad: Medium
I poppler-25.10.0 ble et sikkerhetsproblem rettet som kunne tillate tjenestenektelse (programkrasj) ved behandling av en laget PDF fil. Oppdater til poppler-25.10.0, men merk forbeholdene om pakker som må justeres i den konsoliderte veiledningen. 12.4-020
PostgreSQL
12.4 040 PostgreSQL Dato: 22.11.2025 Alvorlighetsgrad: Medium
I PostgreSQL-18.1 ble to sikkerhetsproblemer rettet som kunne tillate en kontroll for skjema-opprett rettigheten som ble hoppet over og underdimensjonerte allokeringer via heltallsomslutninger. Oppdater til PostgreSQL-18.1. Hvis du bruker PostgreSQL-17 og ikke vil oppdatere databasen til 18.x, oppdater til PostgreSQL-17.7 i stedet som beskrevet i den konsoliderte veiledningen. 12.4-040
Qt og QtWebEngine
12.4 035 Qt6 Dato: 22.11.2025 Alvorlighetsgrad: Kritisk
I Qt6-6.10.1 og QtWebEngine-6.10.1 ble tjuetre sikkerhetssårbarheter rettet som kunne tillate bufferoverløp for både stacken og heapen, heap-korrupsjon, objektkorrupsjon, minnelesing utenfor grensene minnetilgang, ekstern privilegieeskalering, ekstern lesing og skriving av filer på filsystemet, ekstern tjenestenekt, ekstern kodekjøring, domeneforfalskning, bruk-etter-frigjøring-operasjoner, informasjonslekkasje og sandkasse-rømming. En av disse utnyttes aktivt. De fleste av sårbarhetene påvirker QtWebEngine, men det er noen komponenter i Qt6 som er påvirket av noen av sårbarhetene. Brukere anbefales å oppdatere Qt6 og QtWebEngine øyeblikkelig til 6.10.1. 12.4-035
12.4 013 QtWebEngine Dato: 02.10.2025 Alvorlighetsgrad: Kritisk
I QtWebEngine-6.9.3 ble femten sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring, informasjonslekkasje og omgåelse av innholdssikkerhetspolicyer. Minst tre av disse sårbarhetene er kjent for å være under aktiv utnyttelse, og brukere anbefales å oppdatere QtWebEngine øyeblikkelig, selv om den bare brukes som en byggeavhengighet. Oppdater til QtWebEngine-6.9.3. 12.4-013
rsync
12.4 039 rsync Dato: 22.11.2025 Alvorlighetsgrad: Medium
En oppdatering for rsync-3.4.1 fikser et sikkerhetsproblem som kan tillate en heapbuffer utenfor grensene som leser gjennom en negativ arrayindeks. Dette kan skje ved at en klient fungerer som mottaker av en rsync filoverføring og som har lesetilgang til den eksterne rsync modulen. Gjenoppbygg rsync-3.4.1 med sikkerhetsoppdateringen som beskrevet i den konsoliderte veiledningen. 12.4-039.
Ruby
12.4 019 Ruby Dato: 10.10.2025 Alvorlighetsgrad: Høy
I Ruby-3.4.7, ble det rettet et sikkerhetsproblem som kunne tillate lekkasje av legitimasjon når URI gem brukes. Dette skjer når +-operatoren brukes til å kombinere URI-er. Hvis du bruker Subversion med Ruby bindingene, eller bruker URI-gem, oppdater til Ruby-3.4.7. Det er ingen grunn til å oppgradere ellers. 12.4-019
Samba
12.4 032 Samba Dato: 07.11.2025 Alvorlighetsgrad: Kritisk
I Samba-4.23.3 ble to sikkerhetsproblemer rettet som kunne tillate uinitialisert minneavsløring og kommandoinjeksjon i noen konfigurasjoner. Merk at standard BLFS konfigurasjon IKKE er berørt, men noen obskure konfigurasjoner kan bli det. Hvis konfigurasjonen din inkluderer en domenekontroller med WINS serveren aktivert og "wins hook" er satt, må du oppdatere serveren din umiddelbart. Hvis konfigurasjonen din har streams_xattr VFS objektet aktivert i konfigurasjonen, må du også oppdatere serveren din umiddelbart. Hvis du ikke bruker noen av disse konfigurasjonene, er det ikke nødvendig å oppdatere. Ellers oppdaterer til Samba-4.23.3. 12.4-032
Seamonkey
12.4 030 Seamonkey Dato: 04.11.2025 Alvorlighetsgrad: Kritisk
I Seamonkey-2.53.22 ble 18 sikkerhetsproblemer rettet som kunne tillate feil håndtering av skriptutførelse, lokal kodeutførelse, double-free og use-after-free operasjoner som fører til minnemanipulasjon og vilkårlig kodeutførelse (ACE), eksponering av vedvarende UUID-er, delvise returverdistakkskrivinger, avkortede instruksjoner, feil JavaScript tilstandsmaskiner, minnesikkerhetsfeil, sandkasse-rømminger, omgåelser av policyer med samme opprinnelse, heltallsoverløp, lesing/skriving utenfor grensene i privilegerte prosesser, lekkasje av informasjon på tvers av prosesser og ikke-skrivbare objekter som er i en skrivbar tilstand. På grunn av den kritiske naturen til denne oppdateringen, fra beskyttelse mot ACE til sandkasse-rømminger, vennligst oppdater til Seamonkey-2.53.22 umiddelbart. 12.4-030
SpiderMonkey
12.4 002 SpiderMonkey Dato: 19.09.2025 Alvorlighetsgrad: Medium
I SpiderMonkey fra Firefox-140.3.0esr, 1 sikkerhetssårbarhet har blitt rettet som kan tillate utnyttelse av feil grensebetingelser. Oppdater til SpiderMonkey fra Firefox-140.3.0esr. 12.4-002
Thunderbird
12.4 023 Thunderbird Dato: 16.10.2025 Alvorlighetsgrad: Høy
I Thunderbird-140.4.0esr er 8 sikkerhetsproblemer rettet som kan tillate bruk-etter-frigjøring, utenfor grensene lesing/skriving, informasjonslekkasje, modifisering av ikke-skrivbare objektegenskaper overstyring av nettleserens oppførsel, potensiell brukerassistert kodekjøring og utnyttelse av minnesikkerhetsfeil. Oppdater til Thunderbird-140.4.0esr. 12.4-003
12.4 003 Thunderbird Dato: 19.09.2025 Alvorlighetsgrad: Høy
I Thunderbird-140.3.0esr, 7 sikkerhetsproblemer er rettet som kan tillate sandkasse rømming, omgåelse av retningslinjer med samme opprinnelse, utnyttelse av feil grensebetingelser, heltallsoverløp, avsløring av nettverksinformasjon og sikkerhetsfeil i minnet. Oppdater til Thunderbird-140.3.0esr. 12.4-003
Unbound
12.4 026 Unbound Dato: 04.11.2025 Alvorlighetsgrad: Medium
I Unbound-1.24.1 ble et sikkerhetsproblem rettet som kunne tillate angrep med hurtigbufferforgiftning. Sårbarheten oppstår fordi promiskuøse NS RRSet som utfyller DNS svar i autoritetsdelen kan brukes til å lure resolvere til å oppdatere delegeringsinformasjonen for sonen. Unbound rettet dette ved å fjerne uønskede NS RRSet samt deres respektive adresseposter fra svar, noe som reduserer denne muligheten. Oppdater til Unbound-1.24.1 hvis du bruker det for øyeblikket. 12.4-026
Wireshark
12.4 036 Wireshark Dato: 22.11.2025 Alvorlighetsgrad: Lav
I Wireshark-4.6.1 ble to sikkerhetsproblemer rettet som kunne føre til krasj i BPv7 og Kafka dissektorene. Oppdater til Wireshark-4.6.1. 12.4-036
12.4 011 Wireshark 30.09.2025 Alvorlighetsgrad: Lav
I Wireshark-4.4.9 ble et sikkerhetsproblem rettet som kunne tillate tjenestenektelse (programkrasj) ved behandling av en håndlaget SSH pakke. Dette kan oppstå både under direkte pakkeopptak og ved lesing av en tidligere lagret PCAP fil. Hvis du bruker Wireshark til å dissekere SSH pakker, anbefales det å oppdatere Wireshark. Oppdater til Wireshark-4.4.9 hvis du bruker Wireshark til å dissekere SSH pakker. 12.4-011
Xorg-Server
12.4 028 Xorg-Server Dato: 04.11.2025 Alvorlighetsgrad: Høy
I Xorg-Server-21.1.20 ble tre sikkerhetsproblemer rettet som kunne tillate vilkårlig kodekjøring eller tjenestenekt ved bruk av X11 Present utvidelsen, ved fjerning av Xkb ressurser for en klient, og ved bruk av XkbSetCompatMap() funksjonen. Disse problemene skyldes alle use-after-free sårbarheter. Oppdater til Xorg-Server-21.1.20. Hvis du bruker serveren fra TigerVNC, må du også bygge den opp igjen mot Xorg-Server-21.1.20. 12.4-028
Xwayland
12.4 029 Xwayland Dato: 04.11.2025 Alvorlighetsgrad: Høy
I Xwayland-24.1.9 ble tre sikkerhetsproblemer rettet som kunne tillate vilkårlig kodekjøring eller tjenestenekt ved bruk av X11 Present utvidelsen, ved fjerning av Xkb ressurser for en klient, og ved bruk av XkbSetCompatMap() funksjonen. Oppdater til Xwayland-24.1.9. 12.4-029