BLFS sikkerhetsråd for BLFS 13.0 og gjeldende utviklingsbøker.
BLFS-13.0 ble utgitt den 05.03.2026
Denne siden er i alfabetisk rekkefølge etter pakker, og hvis en pakke har flere råd, kommer den nyeste først.
Lenkene på slutten av hvert element peker til flere detaljer som har lenker til utgitte bøker.
Generelt sett hentes alvorlighetsgraden fra oppstrøms, hvis oppgitt, eller fra NVD (https://nvd.nist.gov/vuln/detail/) hvis en analyse er tilgjengelig der, men individuelle alvorlighetsgrader ved NVD kan endres over tid. Hvis ingen annen informasjon er tilgjengelig, antas det vanligvis en «Høy» alvorlighetsgrad.
Apache HTTPD
13.0 079 Apache HTTPD Dato: 13.05.2026 Alvorlighetsgrad: Kritisk
I httpd-2.4.67 ble elleve sikkerhetsproblemer fikset som kunne tillate triviell ekstern kodekjøring, tjenestenekt (ressurs- utmattelse og serverkrasj), minneavsløring, privilegieeskalering, HTTP responsdeling og autentiseringsomgåelse. Disse sårbarhetene finnes i en rekke moduler, inkludert HTTP/2 støtte, mod_md, mod_rewrite, mod_dav_lock, mod_auth_digest, mod_authn_socache og mod_proxy_ajp. Alle brukere som har httpd installert, bør oppdatere umiddelbart på grunn av sikkerhetsproblemet for ekstern kodekjøring som påvirker den vanlige aktiverte HTTP/2 støtten. Oppdater til httpd-2.4.67. 13.0-079
BIND
13.0 002 BIND Dato: 06.03.2026 Alvorlighetsgrad: Lav
I BIND-9.20.20 ble et sikkerhetsproblem rettet i delv verktøyet som kunne tillate et eksternt utnyttbart krasj i dns_client_resolve() funksjonen utløst av et DNAME svar. Problemet skyldes en bruk etter å ha installert et program, og er avhengig av at en bruker sender et svært sjeldent sett med alternativer for å utnytte det. Den eneste kjente effekten er et krasj, og problemet krever brukerinteraksjon for å utnytte det, så oppstrøms har vurdert sårbarheten som Lav. Dette verktøyet er kun installert i en full BIND installasjon, og påvirker IKKE BIND Verktøy pakken i BLFS. Hvis du ikke opplever krasj i 'delv' verktøyet, er det ikke nødvendig å oppgradere. Oppdater til BIND-9.20.20. 13.0-002
cups
13.0 052 cups Dato: 29.04.2026 Alvorlighetsgrad: Høy
I cups-2.4.17 ble sju sikkerhetsproblemer rettet som kunne muliggjøre pålitelig ekstern kjøring av kode, opprettelse av vilkårlige filer, autorisasjonsomgåelser, stigjennomgang og krasj som kunne utnyttes eksternt. I de fleste tilfeller kan dette utløses via ondsinnede utskriftsjobber, men det finnes en beskrivelse av sikkerhetsproblemet for ekstern kjøring av kode som viser at sikkerhetsproblemet er mulig på ethvert system som har en delt skriver. Det finnes også en beskrivelse av sikkerhetsproblemet for opprettelse av vilkårlige filer som viser plassering av en fil i mappen /etc/sudoers.d for å oppnå lokal rettighetsøkning. Alle brukere som har cups installert og aktivert bør oppdatere umiddelbart for å beskytte systemene sine. Oppdater til cups-2.4.17. 13.0-052
cURL
13.0 087 cURL Dato: 24.05.2026 Alvorlighetsgrad: Medium
I cURL-8.20.0 ble sju sikkerhetsproblemer rettet som kunne tillate klartekstoverføring av sensitiv informasjon (på grunn av ugyldig gjenbruk av tilkoblinger), for autentiseringsomgåelse ved bruk av HTTP Negotiate, for SMB tilkoblinger som laster ned eller laster opp feil fil, for proxy legitimasjon som lekker når en proxy brukes til å koble til en annen proxy, for informasjonskapsellekkasjer, for legitimasjon som eksponeres for eksterne servere når en .netrc-fil brukes, og for lekkasje av cross-proxy Digest-autentiseringstilstand. Oppdater til cURL-8.20.0, spesielt hvis du bruker IMAP/POP3/SMTP URL skjemaer eller SMB. 13.0-087
13.0 009 cURL Dato: 21.03.2026 Alvorlighetsgrad: Medium
I cURL-8.19.0 ble fire sikkerhetsproblemer rettet som kunne tillate upassende gjenbruk av HTTP forhandlingstilkoblinger, tokenlekkasjer, upassende gjenbruk av proxy tilkoblinger med påloggingsinformasjon og bruk-etter-frigjøring operasjoner via gjenbruk av SMB tilkoblinger. Oppdater til cURL-8.19.0. 13.0-009
dash
13.0 059 dash Dato: 30.04.2026 Alvorlighetsgrad: Medium
I dash-0.5.13.3 ble et sikkerhetsproblem rettet som kunne tillate tjenestenektelse (programkrasj) på grunn av et flyttall unntak når man utfører aritmetikk i skallskript. Problemet kan oppstå når noe deler INTMAX_MIN med -1, noe som forårsaker en signed overflow som fører til en SIGFPE på berørte systemer. Brukere som bruker dash med skallskript som utfører aritmetikk, bør oppgradere til dash-0.5.13.3 hvis de opplever krasj. 13.0-059
Exiv2
13.0 004 Exiv2 Dato: 06.03.2026 Alvorlighetsgrad: Lav
I Exiv2-0.28.8 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenektelse (programkrasj) ved bruk av kommandolinjeverktøyet exiv2. Selve biblioteket er ikke berørt. Brukere som bruker forhåndsvisningskomponenten (f.eks. sender '-pp' til kommandolinjeverktøyet exiv2) eller behandler CRW videoer, bør oppdatere, ettersom problemene bare påvirker disse brukstilfellene. Det er ikke nødvendig å oppdatere ellers. Oppdater til Exiv2-0.28.8. 13.0-004
13.0 085 ffmpeg Dato: 24.05.2026 Alvorlighetsgrad: Høy
I ffmpeg-8.1.1 ble et sikkerhetsproblem rettet som kunne tillate tjenestenekt (programkrasj) ved behandling av mediefiler. Dette kan utnyttes eksternt uten brukermedvirkning i nettlesere og mediespillerkontekster. Oppdater til ffmpeg-8.1.1. 13.0-085
Firefox
13.0 073 Firefox Dato: 23.05.2026 Alvorlighetsgrad: Kritisk
I Firefox-140.11.0esr ble femtifem sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring, tjenestenekt (programkrasj og ressursutmattelse), informasjonsavsløring, eskalering av rettigheter forfalskning av brukergrensesnitt, omgåelser av begrensninger, omgåelser av policyer med samme opprinnelse og sandkasse-rømminger. Alle brukere av Firefox må oppdatere umiddelbart for å beskytte systemene sine, spesielt siden sandkasse-rømming sårbarhetene forsterker alvorlighetsgraden av sårbarhetene for ekstern kodekjøring betydelig som er rettet i denne oppdateringen. Oppdater til Firefox-140.11.0esr. 13.0-073
13.0 027 Firefox Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Firefox-140.9.0esr ble 38 sikkerhetsproblemer fikset som kunne tillate vilkårlig kodekjøring, ekstern kodekjøring, sandkasserømming, tjenestenekt (programkrasj og ressursutmattelse), udefinert oppførsel, omgåelser av risikoreduksjoner og eskalering av rettigheter. Alle brukere som har Firefox installert oppfordres til å oppdatere umiddelbart, spesielt på grunn av sandkasserømming sårbarhetene som deretter forsterker virkningene av de andre sårbarhetene. Oppdater til Firefox-140.9.0esr. 13.0-027
FreeRDP
13.0 086 FreeRDP Dato: 24.05.2026 Alvorlighetsgrad: Høy
I FreeRDP-3.26.0 ble fire sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring og tjenestenekt. Disse problemene kan oppstå når du bruker omdirigering av utklippstavlen, når du bruker RDPGFX og når du bruker RDPEAR. Disse sikkerhetsproblemene krever at en bruker kobler seg til en ondsinnet RDP server, og som sådan vil de fleste brukere klare seg så lenge de ikke kobler seg til upålitelige systemer ved hjelp av FreeRDP. Oppdater til FreeRDP-3.26.0. 13.0-086
13.0 051 FreeRDP Dato: 29.03.2026 Alvorlighetsgrad: Medium
I FreeRDP-3.25.0 ble et sikkerhetsproblem rettet som kunne tillate at vilkårlige filer kunne leses eller skrives på grunn av et problem med stigjennomgang. Dette krever at brukerne er koblet til en RDP server med stasjonsomdirigering aktivert. Oppdater til FreeRDP-3.25.0. 13.0-051
13.0 031 FreeRDP Dato: 01.04.2026 Alvorlighetsgrad: Høy
I FreeRDP-3.24.2 ble ni sikkerhetsproblemer rettet som kunne tillate ekstern kjøring av kode, udefinert oppførsel og tjenestenekt (programkrasj og minnekorrupsjon). Disse sårbarhetene oppstår i en rekke situasjoner, inkludert når en bruker kobler seg til et system eller samhandler med et system etter tilkobling. Dette kan inkludere når man mottar lyd fra det eksterne systemet. Brukere som bruker FreeRDP serveren eller kobler seg til uklarerte klienter, bør oppdatere til FreeRDP-3.24.2 umiddelbart. 13.0-031
13.0 012 FreeRDP-3.24.0 Dato: 21.03.2026 Alvorlighetsgrad: Kritisk
I FreeRDP-3.24.0 ble åtte sikkerhetsproblemer rettet som kunne føre til heap bufferoverløp, lese og skriveoperasjoner utenfor grensene, heltallsunderflyt, heap overskrivinger, gigantiske while-loop-iterasjoner og tjenestenektelse angrep via divisjon med null. Oppdater øyeblikkelig til FreeRDP-3.24.0. 13.0-012
13.0 001 FreeRDP Dato: 06.03.2026 Alvorlighetsgrad: Høy
I FreeRDP-3.23.0 ble tolv sikkerhetsproblemer rettet som kunne muliggjøre eksternt utnyttbare klient og serverkrasj, informasjonsavsløring og ekstern kjøring av kode. Dette kan forekomme i en rekke situasjoner, inkludert når du bruker omdirigeringsfunksjonen for utklippstavlen, kobler til en server og endrer størrelsen på vinduet. Brukere som har FreeRDP installert, bør vurdere å oppdatere umiddelbart hvis de kobler til upålitelige servere eller er vert for en offentlig tilgjengelig RDP server. Oppdater til FreeRDP-3.23.0. 13.0-001
FreeType
13.0 024 FreeType Dato: 2026-04-01 Severity: High
I FreeType-2.14.3 ble flere potensielle minnesikkerhetsproblemer løst som kunne tillate vilkårlig kodekjøring (stakkoverløp) og tjenestenektelse (minnelekkasjer og grenseproblemer). Oppstrøms har vært ganske vage om detaljene rundt disse problemene, og BLFS teamet var bare i stand til å finne de eksakte problemene ved å gjennomgå commits for 2.14.3-utgivelsen. Oppstrøms anbefaler imidlertid at brukere oppgraderer umiddelbart for å løse disse problemene, så vi sender inn en veiledning selv om det ikke er mye detaljer. Oppdater til FreeType-2.14.3. 13.0-024
13.0 003 FreeType2 Dato: 06.03.2026 Alvorlighetsgrad: Medium
I FreeType-2.14.2 ble det rettet et sikkerhetsproblem som kunne tillate kjøring av vilkårlig kode, avsløring av informasjon eller tjenestenektelse (programkrasj) ved behandling av HVAR, VVAR eller MVAR tabellene i en OpenType variabel skrifttype. Dette problemet oppstår på grunn av en lesing utenfor grensene, forårsaket av et problem med heltallsoverløp. Denne oppdateringen har også flere andre rettelser for andre potensielle sikkerhetsproblemer, og oppstrøms anbefaler at alle brukere oppdaterer til denne versjonen av FreeType. Oppdater til FreeType-2.14.2. 13.0-003
Fuse
13.0 014 Fuse Dato: 21.03.2026 Alvorlighetsgrad: Høy
I Fuse-3.18.2 ble to sikkerhetsproblemer rettet som kunne tillate bruk-etter-frigjøring, dereferering av NULL-pekere, og minnelekkasjer. Oppdater til Fuse-3.18.2. 13.0-014
giflib
13.0 010 giflib Dato: 21.03.2026 Alvorlighetsgrad: Høy
I giflib-6.1.2 ble tre tildelte sikkerhetssårbarheter, blant mange ikke-tildelte AI reviderte sårbarheter, fikset som kunne tillate dobbeltfrie operasjoner, tjenestenektangrep via minne lekkasjer, utnyttelse av heap bufferoverløp, sti-traversering, skriveoperasjoner utenfor grensene og heltalls og bufferoverløp. Oppdater til giflib-6.1.2. 13.0-010
GIMP
13.0 050 GIMP Dato: 16.04.2026 Alvorlighetsgrad: Høy
I GIMP-3.2.2 ble tolv sikkerhetsproblemer rettet som kunne tillate vilkårlig kodekjøring, ekstern kodekjøring, informasjonsavsløring og tjenestenekt (programkrasj). Disse oppstår på grunn av heltallsoverløp og heapbufferoverløp. PCX, PSD, ICO, JP2, PSP, XPM, FITS, TIM, ICNS, PVR, Seattle Filmworks og GIF bildeparserne er berørt av disse sårbarhetene. Alle brukere som jobber med disse bildetypene bør oppdatere GIMP til 3.2.2 umiddelbart, spesielt hvis du jobber med upålitelige bildefiler. Oppdater til GIMP-3.2.2. 13.0-050
glib
13.0 078 glib Dato: 13.05.2026 Alvorlighetsgrad: Høy
I glib-2.88.1 ble ni sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring, tjenestenekt (programkrasj) og stigjennomgang som fører til vilkårlig fillesing. Disse problemene oppstår i en rekke forskjellige funksjoner, inkludert GMarkup, GVariant, GDateTime, og GDBus. Oppdater til glib-2.88.1. 13.0-078
13.0 033 glib Dato: 03.04.2026 Alvorlighetsgrad: Høy
I glib-2.86.5 ble fem sikkerhetsproblemer rettet som kunne tillate informasjonsavsløring eller tjenestenekt (programkrasj). Disse sårbarhetene oppstår alle på grunn av små lesninger utenfor grensene og bufferoverlesninger i en rekke viktige funksjoner. Oppdater til glib-2.86.5. 13.0-033
GnuTLS
13.0 076 GnuTLS Dato: 13.05.2026 Alvorlighetsgrad: Kritisk
I GnuTLS-3.8.13 ble tretten sårbarheter fikset som kunne tillate ekstern kjøring av kode, informasjonsavsløring, tjenestenekt (udefinert oppførsel og programkrasj), autentiseringsomgåelse, domenenavn som skulle vært avvist, omgåelse av begrensninger for sertifikatnavn misbruk av sertifikater, aksept av tilbakekalte sertifikater og avsløring av private nøkler. Alle brukere som har GnuTLS installert, bør oppdatere til 3.8.13 umiddelbart. 13.0-076
gstreamer
13.0 036 gstreamer Dato: 08.04.2026 Alvorlighetsgrad: Høy
I gst-plugins-base, gst-plugins-bad og gst-plugins-good 1.28.2, ble elleve sikkerhetsproblemer fikset som kunne tillate informasjonsavsløring, tjenestenekt (minneutmattelse og programkrasj), og vilkårlig kodekjøring. Disse forekommer i en rekke funksjoner, inkludert SRT/WebVTT analyseren, Matroska-demuxeren, WAV analyseren ved dekoding av CUE filer, FLV demuxeren, mDVDsub undertekstanalyseren, MOV/MP4 demuxeren, H.266/VVC analyseren, JPEG 2000 desimatoren, AV1 LEB128 analyseren og H.264 videoanalyseren. På grunn av variasjonen i omstendigheter der gstreamer brukes (inkludert nettlesere og medie spillere), anbefales alle brukere som har det installert å oppdatere stakken til 1.28.2 umiddelbart. 13.0-036
lcms2
13.0 080 lcms2 Dato: 13.05.2026 Alvorlighetsgrad: Høy
I lcms-2.19 ble det rettet et sikkerhetsproblem som kunne føre til et krasj eller potensielt avsløring av informasjon ved behandling av en håndlaget bildefil for å hente en fargeprofil. Dette sikkerhetsproblemet er klassifisert som et heltallsoverløp i CubeSize() funksjonen, ettersom en overløpssjekk ble utført etter multiplikasjon og ikke før. Det finnes en 992-byte PDF fil tilgjengelig for offentligheten som kan utløse et krasj i poppler, OpenJDK, Okular, Evince, GIMP, cups-filters, LibreOffice, og Tumbler (fra XFCE). Brukere bør oppdatere til denne versjonen, spesielt hvis de begynner å oppleve uforklarlige krasj i disse programmene, eller hvis de eksplisitt deaktiverer ASLR på systemene sine. Oppdater til lcms2-2.19. 13.0-080
libarchive
13.0 046 libarchive Dato: 15.04.2026 Alvorlighetsgrad: Høy
I libarchive-3.8.7 ble sju sikkerhetsproblemer fikset som kunne tillate tjenestenekt (programkrasj og minneutmattelse) samt kjøring av vilkårlig kode. Disse sårbarhetene forekommer i CAB, CPIO og ISO9660 formatene, samt i 'untar' contrib skriptet (som ikke er installert som standard og er eksempelkode). Hvis du bruker libarchive til å behandle ISO9660 formater (f.eks. ISO-er), CAB filer eller for å behandle CPIO formaterte filer, bør du vurdere å oppdatere. Det er ikke mye grunn for brukere som ikke behandler disse formatene å oppdatere. Oppdater til libarchive-3.8.7. 13.0-046
libde265
13.0 011 libde265 Dato: 21.03.2026 Alvorlighetsgrad: Høy
I libde265-1.0.18 ble to sikkerhetsproblemer rettet som kunne tillate tjenestenektangrep og heap skriving utenfor grensene operasjoner. Oppdater til libde265-1.0.18. 13.0-011
libexif
13.0 044 libexif Dato: 15.04.2026 Alvorlighetsgrad: Høy
I libexif-0.6.26 ble tre sikkerhetsproblemer rettet som kunne tillate vilkårlig utførelse av kode, tjenestenekt (programkrasj) og informasjonsavsløring. Oppdater til libexif-0.6.26, spesielt hvis du behandler upålitelige bilder eller EXIF metadata regelmessig. 13.0-044
libgcrypt
13.0 056 libgcrypt Dato: 29.04.2026 Alvorlighetsgrad: Høy
I libgcrypt-1.12.2 ble to sikkerhetsproblemer fikset som kunne tillate tjenestenekt ved bruk av Dilithium signeringsalgoritmen eller ved bruk av ECDH kryptering (inkludert NIST, Brainpool, X448 eller X25519 kurver). Effekten av tjenestenekt er minnekorrupsjon og påfølgende programkrasj. Det er også en mulig effekt av ekstern kodekjøring, men muligheten for dette er ekstremt minimal på grunn av moderne herding i glibc. Oppdater til libgcrypt-1.12.2. 13.0-056
libgpg-error
13.0 088 libgpg-error Dato: 24.05.2026 Alvorlighetsgrad: Høy
I libgpg-error-1.61 ble to sikkerhetsproblemer rettet som kunne tillate tjenestenekt (programkrasj) og muligens utførelse av vilkårlig kode. Disse problemene oppstår i funksjonene es_printf() og vfnameconcat. Oppdater til libgpg-error-1.61. 13.0-088
libinput
13.0 034 libinput Dato: 06.04.2026 Alvorlighetsgrad: Høy
I libinput-1.31.1 ble to sikkerhetsproblemer rettet som kunne tillate en sandkasse-rømming og avsløring av informasjon. Begge disse problemene oppstår i undersystemet til libinput sine programtillegg. Oppdater til libinput-1.31.1. 13.0-034
libpng
13.0 047 libpng Dato: 15.04.2026 Alvorlighetsgrad: Medium
I libpng-1.6.57 ble et sikkerhetsproblem rettet som kunne tillate tjenestenektelse (programkrasj) eller muligens heap informasjon avsløring. Dette kan forekomme med gyldige PNG filer som samsvarer med PNG spesifikasjonen, ettersom ethvert bilde som inneholder en berørt chunk kan utløse sikkerhetsproblemet. Det er imidlertid vurdert som Middels fordi bare programmer som bruker funksjonene png_set_PLTE, png_set_tRNS og png_set_hIST er berørt, og bare hvis de sender en peker på et identisk strukturpar. De fleste brukere bør fortsatt vurdere å oppgradere, fordi dette problemet oppstår med gyldige PNG filer. Oppdater til libpng-1.6.57. 13.0-047
13.0 016 libpng Dato: 26.03.2026 Alvorlighetsgrad: Høy
I libpng-1.6.56 ble to sikkerhetsproblemer rettet som kunne tillate ekstern kjøring av kode og avsløring av informasjon. Det første sårbarheten er i funksjonene png_set_PLTE og png_set_tRNS, der en 100 % gyldig PNG fil kan utløse en use-after-free feil som kan lekke sensitivt heap innhold, skrive angriperpåvirket informasjon til frigjort heap minne, og på systemer som bruker glibc (som LFS systemer), forårsake triviell ekstern kodekjøring når PNG filen lastes inn i kontekster som en nettleser. Den andre sårbarheten er en lesing/skriving utenfor grensene som bare forekommer på ARM/AArch64 systemer som bruker Neon optimaliseringene. Alle brukere som har libpng installert oppfordres til å oppdatere umiddelbart. 13.0-016
libraw
13.0 045 libraw Dato: 15.04.2026 Alvorlighetsgrad: Kritisk
I libraw-0.22.1 ble åtte sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring, vilkårlig kodekjøring og tjenestenekt (programkrasj og minneutmattelse). Disse sårbarhetene er for det meste klassifisert som heapbufferoverløp og heltallsoverløp, og de forekommer i en rekke forskjellige funksjoner og kontekster. Enhver bruker som behandler upålitelige RAW bilder bør oppdatere til denne versjonen umiddelbart for å beskytte systemet sitt. Oppdater til libraw-0.22.1. 13.0-045
libxml2
13.0 057 libxml2 Dato: 29.04.2026 Alvorlighetsgrad: Høy
I libxml2-2.15.3 ble fem sikkerhetsproblemer rettet som kunne føre til typeforvirring og tjenestenekt (programkrasj). Disse tjenestenektelsesproblemene oppstår på grunn av problemer med bruk etter frigjøring og doble frigjøringer. Sårbarhetene er i selve parseren, samt enhetsstøtte, c14n støtte og Python bindinger. Tre ytterligere problemer ble rettet som kunne føre til minnelekkasjer, men som ikke ble klassifisert som sikkerhetsproblemer. Oppdater til libxml2-2.15.3. 13.0-057
13.0 005 libxml2 Dato: 06.03.2026 Alvorlighetsgrad: Medium
I libxml2-2.15.2 ble fem sikkerhetsproblemer rettet som kunne tillate tjenestenekt (ressursutmattelse og programkrasj) ved bruk av xmllint verktøyet under noen sjeldne omstendigheter, når et program kaller xmlCatalogXMLResolveURI funksjonen når en XML mappe inneholder en URI oppføring som refererer til seg selv, ved behandling av XML mapper med gjentatte nextCatalog elementer som peker til den samme nedstrømsmappen, ved parsing av XSL noder, og ved bruk av RelaxNG parseren til å inkludere eksterne skjemaer. Oppdater til libxml2-2.15.2. 13.0-005
libXpm
13.0 060 libXpm Dato: 30.04.2026 Alvorlighetsgrad: Medium
I libXpm-3.5.19 ble et sikkerhetsproblem rettet som kunne tillate informasjonsavsløring og tjenestenekt (programkrasj) når en håndlaget XPM fil ble lest. Oppdater til libXpm-3.5.19. 13.0-060
lxml (Python Modul)
13.0 058 lxml (Python Modul) Dato: 30.04.2026 Alvorlighetsgrad: Høy
I lxml-6.1.0 ble et sikkerhetsproblem rettet som kunne tillate at uklarert XML inndata leser lokale filer på systemet. Dette skyldtes et problem med XML External Entity Injection i iterparse() funksjonen og ETCompatXMLParser parseren. Dette påvirker standardkonfigurasjonen til lxml, og et program må initialisere den med resolve_entities alternativet eksplisitt satt til False eller 'internal' for å omgå problemet. Brukere som regelmessig behandler uklarert XML inndata anbefales å oppgradere umiddelbart. Oppdater til lxml-6.1.0. 13.0-058
MIT Kerberos V5
13.0 081 MIT Kerberos V5 Dato: 24.05.2026 Alvorlighetsgrad: Medium
I krb5-1.22.2 ble det oppdaget to sikkerhetsproblemer som kunne tillate eksternt utnyttbar tjenestenekt (Kerberos serverkrasj). Disse problemene er forårsaket av en nullpeker dereferanse og en leseoverrun når krb5-kdc daemonen mottar håndlaget inndata under autentisering. Dette kan tillate at uautoriserte eksterne angripere krasjer daemonen. Minneavsløring ser ikke ut til å være mulig. Klientbibliotekene og programmene påvirkes ikke. Installer sikkerhetsrettelsene hvis du bruker serveren. 13.0-081
nfs-utils
13.0 007 nfs-utils Dato: 09.06.2026 Alvorlighetsgrad: Medium
I nfs-utils-2.8.6 ble det rettet et sikkerhetsproblem som kunne tillate en NFSv3 klient å eskalere privilegier som var tildelt den i /etc/exports filen ved montering. Dette lar en klient få tilgang til enhver undermappe eller undertre i en eksportert mappe uavhengig av filtillatelser eller andre attributter som normalt forventes å gjelde for klienten. Dette påvirker primært servere som kjører NFS, men alle brukere bør oppdatere på grunn av andre feilrettinger i denne pakken. Oppdater til nfs-utils-2.8.6. 13.0-007
nghttp2
13.0 013 nghttp2 Dato: 21.03.2026 Alvorlighetsgrad: Høy
I nghttp2-1.68.1 ble et sikkerhetsproblem rettet som kunne tillate tjenestenekt via en påstandsfeil. Oppdater til nghttp2-1.68.1. 13.0-013
Node.js
13.0 030 Node.js Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Node.js-24.14.1 ble 8 sikkerhetsproblemer fikset som kunne tillate omgåelse av tillatelser, eksternt utnyttbar tjenestenekt (ressursutmattelse og applikasjonskrasj) og potensiell MAC forfalskning. Disse kan oppstå i en rekke situasjoner, inkludert når man behandler HTTP forespørsler, analyserer URL-er, utfører kryptografioperasjoner og får tilgang til filer på systemet. Merk at den potensielle MAC forfalskningssårbarheten oppstår på grunn av et problem med timing sidekanalen. Oppdater til Node.js-24.14.1. 13.0-030.
ntfs-3g
13.0 054 ntfs-3g Dato: 29.04.2026 Alvorlighetsgrad: Høy
I ntfs-3g-2026.2.25 ble et sikkerhetsproblem rettet som kunne tillate kjøring av vilkårlig kode, mulig privilegieeskalering og tjenestenektelse (programkrasj og muligens kjernepanikk) ved å åpne et skadelig laget NTFS bilde eller filsystem. Oppdater til ntfs-3g-2026.2.25. 13.0-054
OpenSSH
13.0 032 OpenSSH Dato: 03.04.2026 Alvorlighetsgrad: Høy
I OpenSSH-10.3p1 ble fem sikkerhetsproblemer rettet som kunne tillate upassende samsvar mellom authorized_keys filen under noen sjeldne omstendigheter, at nedlastinger fra SCP installeres med SUID/SGID i noen situasjoner, at uventet kommandoutførelse skjer via skall metategn i et brukernavn, at OpenSSH bruker utilsiktede ECSDA algoritmer, og at OpenSSH utelater bekreftelse av tilkoblingsmultipleksing for multipleksingsøkter i proxy modus. De fleste av disse sårbarhetene er avhengige av ikke-standard konfigurasjoner eller spesifikke handlinger. Hvis du har endret standard BLFS konfigurasjon for OpenSSH, bør du lese den konsoliderte veiledningen for å sikre at du ikke er berørt. Hvis du er berørt, oppdater til OpenSSH-10.3p1. Det er ingen grunn til å oppgradere hvis du ikke er berørt. 13.0-032
Postfix
13.0 084 Postfix Dato: 24.05.2026 Alvorlighetsgrad: Høy
I Postfix-3.11.2 ble et sikkerhetsproblem rettet som kunne tillate en eksternt utnyttbar tjenestenekt (daemonkrasj). Problemet er en bufferoverlesning, som kan oppstå når Postfix mottar en forbedret statuskode som ikke etterfølges av annen tekst (f.eks. 5.7.2 uten tekst etter tresifferkoden). Oppdater til Postfix-3.11.2. 13.0-084
ProFTPD
13.0 075 ProFTPD Dato: 23.05.2026 Alvorlighetsgrad: Høy
I ProFTPD-1.3.9a ble et sikkerhetsproblem rettet som kunne tillate uautorisert ekstern kjøring av kode, privilegieeskalering og autentiseringsomgåelse under visse omstendigheter. Problemet ligger i mod_sql modulen, der en logisk feil i is_escaped_text() funksjonen lar et utformet brukernavn utføre SQL kommandoer når logging er aktivert. Standard konfigurasjonen i BLFS påvirkes ikke av dette sikkerhetsproblemet, da den ikke bruker mod_sql for å hente legitimasjon fra en SQL database, og den aktiverer heller ikke logging til en SQL database. Hvis du har endret standard BLFS konfigurasjon for å aktivere SQL støtte, må du oppdatere ProFTPD så snart som mulig. Oppdater til ProFTPD-1.3.9a. 13.0-075
pytest
13.0 035 pytest Dato: 08.04.2026 Alvorlighetsgrad: Medium
I pytest-9.0.3 ble et sikkerhetsproblem rettet som kunne tillate tjenestenekt (programkrasj) eller muligens eskalering av rettigheter. Dette skyldes usikker bruk av midlertidige mapper, der tidligere versjoner tillot alle brukere å skrive til katalogen /tmp/pytest-of-${USER}. Merk at dette bare ville kunne utnyttes lokalt oppstrøms, og kan bare utnyttes mens en testpakke kjører. Oppdater til pytest-9.0.3. 13.0-035
Python
13.0 070 Python (LFS og BLFS) Dato: 22.05.2026 Alvorlighetsgrad: Kritisk
I Python-3.14.5 ble tre sikkerhetsproblemer fikset som kunne tillate XML-hash oversvømmelse, omdirigering av FTP tilkoblinger og portskanning via FTP, og at 'pip' kommandoen installerer feil filer basert på navnet på et arkiv. Oppdater til Python-3.14.5 med sikkerhetsoppdateringen. Merk at du også må oppdatere til Expat-2.8.0 eller nyere for å løse sikkerhetsproblemet med XML-hash oversvømmelse fullt ut. 13.0-070
13.0 038 Python (LFS og BLFS) Dato: 15.04.2026 Alvorlighetsgrad: Kritisk
I Python-3.14.4 (og 3.13.13) ble fire sikkerhetsproblemer rettet. Etter utgivelsen ble imidlertid ytterligere fire løst. Disse sårbarhetene kan føre til en rekke påvirkninger, inkludert tjenestenektelse (programkrasj), slik at data kan aksepteres av base64 modulen som burde vært behandlet annerledes, forbigåelse av inndatavalidering når man arbeider med informasjonskapsler i http.Cookies.Morsel (som tillater injeksjon av kontrolltegn i informasjonskapsler), at eldre *.pyc filer håndteres feil (som fører til utilsiktet oppførsel under kjøring for ulike programmer), for vilkårlig kodeutførelse ved behandling av LZMA, BZ2 eller GZIP komprimerte filer i Python, at CR/LF byte ikke avvises av HTTP klientproxy tunneloverskrifter, at kommandoer injiseres i det underliggende skallet når et Python skript åpner en nettleser, og at minnekorrupsjon oppstår når man bruker fjernfeilsøkingsfunksjonen i Python 3.14 og senere. Oppdater til Python-3.14.4 med sikkerhetsrettelsene. BLFS 12.4 brukere kan trygt bruke 3.13.13 med oppdateringen, men må hoppe over en manglende fil under oppdateringsprosessen. 13.0-038
13.0 022 Python (LFS og BLFS) Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Python-3.14.3 ble det funnet tre sikkerhetsproblemer som kunne tillate tjenestenektelse (programkrasj), tillate kontrolltegn i HTTP informasjonskapsler, og tillate Python å ved et uhell sende uventede alternativer til nettlesere. Gjenoppbygg Python med sikkerhetsoppdateringen. BLFS 12.4 brukere kan trygt bruke oppdateringen mot Python 3.13 med merknaden om at en ny testfeil vil oppstå på grunn av at testen er avhengig av et nyere test API fra Python 3.14. 13.0-022
QtWebEngine
13.0 026 QtWebEngine Dato: 01.04.2026 Alvorlighetsgrad: Kritisk
I QtWebEngine-6.11.0 ble 47 sikkerhetsproblemer fikset. Disse kunne tillate ekstern kjøring av kode, objektkorrupsjon, avsløring av sensitiv informasjon, datautvinning på tvers av opprinnelse, sandkasserømming, at ondsinnede utvidelser injiserer skript eller HTML på privilegerte sider, at retningslinjeomgåelser med samme opprinnelse og at navigasjonsbegrensninger omgås. To av disse sårbarhetene er kjent for å bli aktivt utnyttet av en trusselaktør, og det anbefales derfor at du oppdaterer til Qt6 og QtWebEngine 6.11.0 umiddelbart. 13.0-026
requests
13.0 017 requests Dato: 26.03.2026 Alvorlighetsgrad: Medium
I requests-2.33.0 ble det rettet et sikkerhetsproblem som kunne tillate en lokal angriper med skrivetilgang til /tmp å forhåndsopprette en skadelig fil som ville bli lastet inn i stedet for en legitim fil. Dette påvirker bare requests.utils.extract_zipped_paths() verktøyfunksjonen, og ikke standardbruken av requests biblioteket. Bare applikasjoner som bruker denne funksjonen direkte påvirkes, og ingen i BLFS bruker den for øyeblikket. Men hvis du har tredjepartsmoduler installert som kan bruke forespørsler, bør du oppdatere til requests-2.33.0 når det passer deg. 13.0-017
rsync
13.0 083 rsync Dato: 24,05,2026 Alvorlighetsgrad: Høy
I rsync-3.4.3 ble seks sikkerhetsproblemer rettet som kunne tillate lokal privilegieeskalering, eksternt utnyttbare filoverskrivinger, omgåelse av vertsnavn/ACL, eksternt utnyttbar informasjonsavsløring (lekkasje av prosessminneinnhold, inkludert passord, heap- og bibliotekpekere og miljøvariabler), og eksternt utnyttbar tjenestenekt (daemon krasjer). Standard BLFS konfigurasjonen er påvirket av tre av disse sårbarhetene, mens de andre tre bare kan utnyttes når en bruker har RSYNC_PROXY satt eller når serveren kjører med "daemon chroot = no". Sårbarhetene som standardkonfigurasjonen er påvirket av inkluderer eksternt utnyttbar informasjonsavsløring og de to tjenestenektproblemene. Oppdater til rsync-3.4.3 umiddelbart, spesielt hvis du kjører rsyncd daemonen. 13.0-083
13.0 053 rsync Dato: 29.04.2026 Alvorlighetsgrad: Høy
I rsync-3.4.1 ble det oppdaget et sikkerhetsproblem som kunne tillate et eksternt utnyttbart krasj og avsløring av informasjon når en rsync klient kobler seg til en ondsinnet server. Bare brukere som sender -X alternativet til rsync er berørt, og dette alternativet sendes ikke som standard. Hvis du bruker -X alternativet, bør du imidlertid installere sikkerhetsoppdateringen i BLFS for å fikse dette sikkerhetsproblemet umiddelbart. 13.0-053
Ruby
13.0 061 Ruby Dato: 30.04.2026 Alvorlighetsgrad: Høy
I Ruby-4.0.3 ble et sikkerhetsproblem rettet som kunne tillate vilkårlig kodekjøring når et program kaller Marshal.load funksjonen når activesupport og ERB støtte lastes inn. Dette sikkerhetsproblemet ligger i ERB gemen som følger med Ruby. Selv om brukere kan oppdatere gemenen på egenhånd, anbefaler BLFS teamet å oppdatere Ruby i stedet, siden det er en garantert måte å sikre at en reparert versjon er tilgjengelig. Oppdater til Ruby-4.0.3. 13.0-061
rustc
13.0 055 rustc Dato: 29.04.2026 Alvorlighetsgrad: Medium
I rustc-1.94.1 ble to sikkerhetsproblemer rettet i 'tar' pakken som fulgte med Cargo. Disse kunne tillate at en laget tarball endret tillatelsene til vilkårlige mapper utenfor utvinningsroten og at tarballer kunne genereres i en annen størrelse under visse omstendigheter. Etter at denne oppdateringen ble lagt inn i BLFS, ble det lagt inn en annen oppdatering for å tillate OpenSSL-4.x kompatibilitet, som også rettet flere sårbarheter som påvirker 'rust-openssl' craten uavhengig av hvilken OpenSSL versjon som er i bruk. Fordi BLFS 13.0 ble levert med OpenSSL-3.6.x, ble tre problemer rettet i denne oppdateringen til rust-openssl craten som kan forårsake vilkårlig kodekjøring og tjenestenekt (programkrasj) når man arbeider med sertifikater. Brukere som har rust installert, oppfordres til å oppdatere til rustc-1.94.1. Oppdatering til 1.95.0 kan kreve endringer i andre pakker for å sikre at de bygger riktig. Oppdater til rustc-1.94.1. 13.0-055
Spidermonkey
13.0 072 Spidermonkey Dato: 23.05.2026 Alvorlighetsgrad: Høy
I Spidermonkey fra Firefox-140.11.0esr ble fire sikkerhetsproblemer rettet som kunne tillate ekstern kjøring av kode, informasjonsavsløring og tjenestenekt. Disse problemene oppstår på grunn av feil grensetilgang, ugyldige pekere og sårbarheter for bruk etter frigjøring. Problemene er i kjerne JavaScript motoren samt WebAssembly og JIT komponentene. Oppdater til Spidermonkey-140.11.0. 13.0-072
13.0 028 Spidermonkey Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Spidermonkey fra Firefox-140.9.0esr ble fire sikkerhetsproblemer rettet som kunne føre til vilkårlig kodekjøring, tjenestenekt eller uventet oppførsel. Disse problemene er et resultat av JIT feilkompilering, bruk-etter-fri problemer, bruk av uinitialisert minne og feil grensebetingelser. Oppdater til Spidermonkey-140.9.0. 13.0-028
systemd
13.0 008 systemd (LFS og BLFS) Dato: 21.03.2026 Alvorlighetsgrad: Medium
I systemd-259.5 ble et sikkerhetsproblem rettet som kunne tillate lokal privilegieeskalering. Dette sikkerhetsproblemet ble funnet i systemd-machined, som kan utløses av en vanlig bruker som er logget inn i et grafisk miljø og som kan eskalere til rotbrukeren via et IPC kall. Oppdater til systemd-259.5. 13.0-008
Text::CSV_XS
13.0 082 Text::CSV_XS Dato: 24.05.2026 Alvorlighetsgrad: Høy
I Text::CSV_XS-1.62 ble et sikkerhetsproblem rettet som kunne tillate typeforvirring eller tjenestenekt (programkrasj). Dette kan dukke opp i utformet CSV inndata som sendes til denne Perl modulen, og oppstår på grunn av en bruk-etter-frigjøring feil når registrerte tilbakekall utvider Perl argumentstakken. Denne Perl modulen brukes bare av Biber i BLFS, så brukere som har den pakken installert og som behandler uklarert inndata, bør oppdatere. Brukere som har skrevet Perlkode som bruker denne modulen, bør også oppdatere hvis de bruker Parse, print, getline eller getline_all metodene i koden sin. Oppdater til Text::CSV_XS-1.62. 13.0-082
Thunderbird
13.0 074 Thunderbird Dato: 23.05.2026 Alvorlighetsgrad: Kritisk
I Thunderbird-140.11.0esr ble femtifem sikkerhetsproblemer rettet som kunne tillate ekstern kodekjøring, tjenestenekt (programkrasj og ressursutmattelse), informasjonsavsløring, eskalering av rettigheter grensesnittforfalskning, omgåelser av begrensninger, omgåelser av policyer med samme opprinnelse og sandkasse-rømminger. Alle brukere av Thunderbird må oppdatere umiddelbart for å beskytte systemene sine, spesielt siden sandkasse-rømming sårbarhetene forsterker alvorlighetsgraden av sikkerhetsproblemene for ekstern kodekjøring betydelig som er rettet i denne oppdateringen. Oppdater til Thunderbird-140.11.0esr. 13.0-074
13.0 029 Thunderbird Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Thunderbird-140.9.0esr ble 40 sikkerhetsproblemer fikset som kunne tillate vilkårlig kodekjøring, ekstern kodekjøring, sandkasserømming, tjenestenektelse (programkrasj og ressursutmattelse), udefinert oppførsel, omgåelser av begrensninger, UI forfalskning, avsløring av sensitive data og eskalering av rettigheter. Alle brukere som har Thunderbird installert oppfordres til å oppdatere umiddelbart, spesielt på grunn av sandkasserømming sårbarhetene som deretter forsterker virkningene av de andre sårbarhetene. Merk at to problemer her også er Thunderbird spesifikke, særlig et UI forfalskningssårbarhet og avsløring av sensitive data ved tilkobling til en ondsinnet IMAP server. Oppdater til Thunderbird-140.9.0esr. 13.0-029
urllib3
13.0 089 urllib3 Dato: 24.05.2026 Alvorlighetsgrad: Høy
I urllib3-2.7.0 ble to sikkerhetsproblemer rettet som kunne tillate videresending av sensitive overskrifter på tvers av kilder, og for tjenestenektelse (betydelig CPU bruk og massivt minneforbruk). Sårbarheten for videresending av sensitive overskrifter oppstår hvis et program kaller funksjonen ProxyManager.connection_from_url() og de tillater omdirigeringer på tvers av kilder. Tjenestenektelsessårbarheten oppstår på grunn av en dekompresjonsbombe som kan utnyttes i streaming API-et. Merk at brukere også bør være på minst brotli-1.2.0 for å forhindre ytterligere påvirkninger fra dette sikkerhetsproblemet. Oppdater til urllib3-2.7.0. 13.0-089
vim
13.0 071 vim (LFS og BLFS) Dato: 22.05.2026 Alvorlighetsgrad: Medium
I vim-9.2.0481 ble fire sikkerhetsproblemer fikset som kunne tillate tjenestenektelse (programkrasj), injeksjon av OS kommandoer, og injeksjon av vimscript kode. Brukere som bruker vimscript, utfører stavekontroll, bruker ':find' kommandoen, eller som ser på vilkårlige tar filer ved hjelp av vim, anbefales å oppdatere. Oppdater til vim-9.2.0481. 13.0-071
13.0 063 vim (LFS og BLFS) Dato: 30.04.2026 Alvorlighetsgrad: Medium
I vim-9.2.0421 ble to sikkerhetsproblemer rettet som kunne tillate injeksjon av OS kommandoer ved behandling av tagfiler og ved bruk av sftp://- og file://-URL-er for å få tilgang til en fil. Alle brukere som bruker sftp://- eller file://-URL-er for å få tilgang til en fil, eller som bruker tagnavigasjon, bør oppdatere umiddelbart på grunn av risikoen for vilkårlig kommandoutførelse. Oppdater til vim-9.2.0421. 13.0-063
13.0 037 vim (LFS og BLFS) Dato: 15.04.2026 Alvorlighetsgrad: Høy
I vim-9.2.0340 ble to sikkerhetsproblemer fikset som kunne tillate injeksjon av kommandoer i operativsystemet (som følge av en sandkasserømming i modeline funksjonaliteten), og for problemer med sti traversering når innholdet i Zip arkiver endres, slik at vim overskriver filer på det underliggende systemet i stedet for det tiltenkte innholdet i Zip arkivet. Alle brukere oppfordres til å oppdatere til vim-9.2.0340 umiddelbart på grunn av risikoen for vilkårlig kommandoutførelse. 13.0-037
13.0 025 vim (LFS og BLFS) Dato: 01.04.2026 Alvorlighetsgrad: Kritisk
I vim-9.2.0272 ble et sikkerhetsproblem rettet som kunne tillate vilkårlig OS kommandoinjeksjon ved lasting av en håndlaget fil. Merk at filen bare trenger å lastes inn av VIM, en bruker trenger ikke å redigere den eller utføre noen spesielle kommandoer for at sårbarheten skal utløses. Alle brukere bør oppdatere til vim-9.2.0272 umiddelbart, spesielt hvis de regelmessig ser kildekode eller andre filer fra upålitelige eller eksterne kilder. 13.0-025
WebKitGTK
13.0 015 WebKitGTK Dato: 26.03.2026 Alvorlighetsgrad: Kritisk
I WebKitGTK-2.52.0 ble åtte sikkerhetsproblemer rettet som kunne tillate operasjoner etter frigjøring, intern applikasjonstilstandsavsløring, eksterne og lokale tjenestenektangrep og brukersporing. Oppdater til WebKitGTK-2.52.0. 13.0-015
Wireshark
13.0 077 Wireshark Dato: 13.05.2026 Alvorlighetsgrad: Høy
I Wireshark-4.6.5 ble trettini sikkerhetsproblemer fikset som kunne tillate tjenestenekt og potensielt ekstern kjøring av kode ved henting av håndlagde pakker på et nettverk, ved bruk av sharkd verktøyet, og ved import av profiler fra andre systemer. Disse påvirker spesifikt pakke og protokoll dissektorene HTTP, SMB2, GSM RP, WebSocket, RPKI-ruter, MBIM, OpenFlow v5, OpenFlow v6, GNW, MySQL, IEEE 802.11, RTSP, ASN.1 PER, TLS, iLBC, DCP-ETSI, SANE, Kismet, USB HID, DLMS/COSEM, ZigBee, BEEP, iLBC, SDP, AMR-NB, RDP, SBC, K12 RF5, AFP, ICMPv6, FC-SWILS, BT-DHT og Monero. Alle brukere som har Wireshark installert bør oppdatere til Wireshark-4.6.5 siden flere av disse protokollene ofte brukes på nettverk. 13.0-077.
13.0 006 Wireshark Dato: 08.03.2026 Alvorlighetsgrad: Medium
I Wireshark-4.6.4 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenekt (minneutmattelse og eksternt utnyttbar krasj) ved disseksjon av USB HID pakker, RF4CE profilpakker eller NTS-KE pakker. Brukere som bruker Wireshark, men ikke driver et nettverk med NTS-KE eller RF4CE profilpakker, eller som ikke bruker USB HID dissektoren, trenger ikke å oppgradere. Men hvis du er på et nettverk der disse pakketypene er i bruk, eller bruker Wireshark til å dissekere USB HID trafikk, bør du oppdatere Wireshark hvis du opplever krasj. Oppdater til Wireshark-4.6.4. 13.0-006
x265
13.0 062 x265 Dato: 30.04.2026 Alvorlighetsgrad: Medium
I x265-4.2 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenektelse (overdrevent minneforbruk) ved bruk av kommandolinjeverktøyet x265, samt ved lagring og lasting av analyser av en fil, og ved beregning av SEI bufferen. Svært begrensede detaljer er tilgjengelige om problemene, og commit oppstrøms inneholder alle rettelsene samlet i én stor commit. Alle brukere som bruker x265 til å analysere H.265 filer eller som bruker kommandolinjeverktøyet x265, bør oppdatere til x265-4.2. 13.0-062
xdg-dbus-proxy
13.0 042 xdg-dbus-proxy Dato: 15.04.2026 Alvorlighetsgrad: Høy
I xdg-dbus-proxy-0.1.7 ble et sikkerhetsproblem rettet som kunne tillate D-Bus klienter å fange opp meldinger de ikke skulle ha tilgang til. Dette ble rettet ved å justere policyparseren slik at den kunne håndtere innstillinger med anførselstegn og andre tilfeller. I BLFS er den eneste kjente pakken som bruker xdg-dbus-proxy WebKitGTK. Oppdater til xdg-dbus-proxy-0.1.7. 13.0-042
xdg-desktop-portal
13.0 043 xdg-desktop-portal Dato: 15.04.2026 Alvorlighetsgrad: Medium
I xdg-desktop-portal-1.20.4 ble det rettet et sikkerhetsproblem som kunne tillate at et program som bruker papirkurvportalen sletter enhver vilkårlig fil fra verten som det har tilgang til. Dette er identisk med det nylige Flatpak sikkerhetsproblemet knyttet til dette, men påvirker alle programmer som bruker papirkurvportalen – ikke bare i en Flatpak kontekst. I BLFS inkluderer dette primært filbehandlere og noen nettlesere, men kan også påvirke andre programmer avhengig av om de rutinemessig oppretter eller sletter filer. Oppdater til xdg-desktop-portal-1.20.4. 13.0-043
Xorg-Server
13.0 048 Xorg-Server Dato: 15.04.2026 Alvorlighetsgrad: Høy
I Xorg-Server-21.1.22 ble fem sikkerhetsproblemer rettet som kunne tillate vilkårlig kodekjøring eller tjenestenekt (Xorg krasjer). Disse sårbarhetene oppstår i XKB og XSYNC utvidelsene. Den første sårbarheten er et heltallsunderflow i XkbSetCompatMap() funksjonen i XKB utvidelsen, mens den andre er en utenfor grensene lesing i CheckSetGeom() funksjonen (også i XKB utvidelsen). Den neste sårbarheten oppstår i XSYNC utvidelsens miSyncTriggerFence() funksjon, og er klassifisert som en bruk-etter-fri. Det neste problemet er en utenfor grensene lesing i CheckModifierMap() funksjonen i XKB utvidelsen, og det siste problemet er et bufferoverløp i CheckKeyTypes() funksjonen i XKB utvidelsen. Oppdater til Xorg-Server-21.1.22, og gjenoppbygg TigerVNC mot 21.1.22 hvis den er installert. 13.0-048
Xwayland
13.0 049 Xwayland Dato: 15.04.2026 Alvorlighetsgrad: Høy
I Xwayland-24.1.10 ble fem sikkerhetsproblemer rettet som kunne tillate vilkårlig kodekjøring eller tjenestenekt (Xorg krasj). Disse sårbarhetene oppstår i XKB og XSYNC utvidelsene. Den første sårbarheten er et heltallsunderflow i XkbSetCompatMap() funksjonen i XKB utvidelsen, mens den andre er en utenfor grensene lesning i CheckSetGeom() funksjonen (også i XKB utvidelsen). Den neste sårbarheten oppstår i XSYNC utvidelsens miSyncTriggerFence() funksjon, og er klassifisert som en bruk-etter-fri. Det neste problemet er en utenfor grensene lesing i CheckModifierMap() funksjonen i XKB utvidelsen, og det siste problemet er et bufferoverløp i CheckKeyTypes() funksjonen i XKB utvidelsen. Oppdater til Xwayland-24.1.10. 13.0-049