LFS sikkerhetsråd for LFS 13.0

LFS-13.0 ble utgitt den 05.03.2026

Denne siden er en alfabetisk rekkefølge av pakker, og hvis en pakke har flere råd, kommer den nyeste først.

Linkene på slutten av hvert element peker til mer detaljerte detaljer som har lenker til utviklingsbøkene.

Glibc

Oppdatering av Glibc fra en tidligere versjon på et kjørende LFS system krever ekstra forholdsregler for å unngå å ødelegge systemet. Forholdsreglene er dokumentert i en "Viktig" boks i LFS bokdelen for Glibc. Følg dem strengt, ellers kan du gjøre systemet fullstendig ubrukelig.

I glibc-2.43 ble det oppdaget tre sikkerhetsproblemer som kunne tillate tjenestenekt (programkrasj) og muligens vilkårlig utførelse av kode og avsløring av informasjon. Brukere bør gjenoppbygge glibc med den konsoliderte oppdateringen i utviklingsboken umiddelbart. Merk at gjenoppbygging av glibc bør gjøres med ekstrem forsiktighet, og instruksjonene på den siden bør følges strengt for å forhindre et ødelagt system. 13.0-067

I glibc-2.43 ble det oppdaget to sikkerhetsproblemer som kunne tillate applikasjoner å behandle ugyldige DNS svar som gyldige. Disse problemene er begge klassifisert som brudd på DNS spesifikasjonen, og ble løst ved å telle antall forventede poster, samt utføre inndatavalidering på vertsnavn i DNS poster. Brukere bør gjenoppbygge glibc med sed i utviklingsboken. Merk at gjenoppbygging av glibc bør gjøres med ekstrem forsiktighet, og instruksjonene for oppdatering av glibc på den siden bør følges strengt for å forhindre et ødelagt system. 13.0-021

Expat

I Expat-2.8.1 ble et sikkerhetsproblem rettet som kunne tillate tjenestenektelse (programkrasj og overdrevent ressursforbruk) ved behandling av håndlaget XML inndata. Det underliggende problemet skyldtes ekstrem beregningskompleksitet i kollisjonskontrollene for attributtnavn. Oppdater til Expat-2.8.1 så snart som mulig. 13.0-069

I Expat-2.8.0 ble et sikkerhetsproblem rettet som kunne tillate hash oversvømmelse ved behandling av en håndlaget XML fil. Problemet oppstår på grunn av utilstrekkelig entropi i den nåværende implementeringen av hash oversvømmelsesbeskyttelse, der 4 til 8 byte med entropi brukes på et salt når opptil 16 faktisk støttes. Oppdater til Expat-2.8.0. 13.0-065

I Expat-2.7.5 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenekt (krasj og ressursutmattelse) ved behandling av håndlagde XML filer. Fordi Expat kan brukes i en rekke forskjellige kontekster på et LFS system, inkludert noen nettlesere, anbefales det at brukere å oppdaterere Expat. Oppdater til Expat-2.7.5. 13.0-019

inetutils

I inetutils-2.8 ble tre sikkerhetsproblemer løst i telnet serveren som kunne tillate ekstern kjøring av kode, informasjonsavsløring, eskalering av rettigheter og autentiseringsomgåelse. I tillegg hadde telnet klienten en løsning på et problem som tillater at en ekstern telnet server dumpet hele miljøet til en telnet klients skall. I LFS er ikke telnet serveren bygget som standard. Men hvis du har aktivert telnet serveren av en eller annen grunn, må du oppdatere umiddelbart. Brukere som bruker telnet klienten bør også oppdatere. Oppdater til inetutils-2.8. 13.0-064

libcap

I libcap-2.78 ble et sikkerhetsproblem rettet som kunne tillate en lokal, ikke-privilegert bruker med skrivetilgang til en mappe å omdirigere oppdateringer av filfunksjoner til en angriperkontrollert fil. Dette kan føre til at funksjoner injiseres i (eller fjernes fra) utilsiktede kjørbare filer, noe som fører til eskalering av rettigheter. Oppdater til libcap-2.78. 13.0-040

Linux Kjernen

I Linux-7.0.9 og 6.18.32 ble flere nylige, høyprofilerte sårbarheter løst. Disse sårbarhetene har blitt kalt CopyFail, DirtyFrag, DirtyCrypt og ssh-keysign-pwn. Alle fire sårbarhetene tillater ekstremt triviell privilegieeskalering, og CopyFail overskriver spesielt su binærfilen i minnet via sidens hurtigbuffer, slik at den kan omgå all passordverifisering inntil systemet har blitt startet på nytt. ssh-keysign-pwn er oppkalt etter en av de fungerende utnyttelsene for denne sårbarheten, som lar en uprivilegert angriper lese innholdet i ssh_host_*_key eller /etc/shadow (via kommandoen 'chage -l'). Alle fire av disse sårbarhetene har våpenutnyttelser tilgjengelig, og er under aktiv utnyttelse for dette tidspunktet. LFS versjoner tilbake til LFS 9.1 er bekreftet å være påvirket av CopyFail, i likhet med de fleste distribusjoner fra 2017 og utover, ettersom funksjonaliteten som kreves for å utnytte den er innebygd i kjernen via 'make defconfig'. For øyeblikket er to ytterligere sårbarheter i CopyFail klassen kalt Fragnesia og PinTheft ikke løst, men er også under aktiv utnyttelse. Merk at selv om lokal privilegiumsøkning er identifisert som en av de primære konsekvensene, blir disse sårbarhetene kjedet sammen med utnyttelser i andre pakker for å gi eksterne angripere root tilgang på et system når det har blitt kompromittert på andre måter. ALLE brukere av LFS må umiddelbart oppdatere til Linux-6.18.32 eller 7.0.9. Viktigheten av å oppdatere kan ikke understrekes nok. Brukere må også ta seg av andre sikkerhetsoppdateringer for å redusere eksponering så snart som mulig. Fortsett å overvåke siden Konsoliderte råd for ytterligere oppdateringer. 13.0-066

OpenSSL

I OpenSSL-3.6.2 ble sju sikkerhetsproblemer rettet som kunne tillate at innhold i uinitialisert minne ble sendt til en ondsinnet motpart, for tjenestenekt (programkrasj) og kjøring av vilkårlig kode. Disse forekommer i en rekke sammenhenger i OpenSSL, inkludert når applikasjoner bruker RSASVE nøkkelinnkapsling for å etablere en hemmelig krypteringsnøkkel, når applikasjoner bruker AES-CFB128 kryptering eller dekryptering på systemer som støtter AVX-512 instruksjonssettet, når klienter er konfigurert til å utføre DANE TLSA basert serverautentisering, når de behandler en delta CRL, når de behandler CMS EnvelopedData meldinger med KeyAgreeRecipientInfo, når de behandler CMS EnvelopedData meldinger med KeyTransportRecipientInfo, og når de utfører heksadesimale strenger på 32-biters plattformer. Oppdater til OpenSSL-3.6.2. Hvis du fortsatt er på et *LFS 12.4-system, bruk 3.5.5. 13.0-039

Perl

I Perl-5.42.2 ble et sikkerhetsproblem rettet ved å oppdatere den medfølgende Compress::Raw::Zlib modulen som kunne føre til at flere av zlib sikkerhetsrådene fra SA-12.4-099 ble utnyttet, samt en rekke andre interne forbedringer av den modulen som løser problemer med nyere versjoner av zlib. Brukere anbefales å oppdatere umiddelbart, ettersom CISA har vurdert dette sikkerhetsproblemet som kritisk. Oppdater til Perl-5.42.2 13.0-023

Python

I Python-3.14.5 ble tre sikkerhetsproblemer fikset som kunne tillate XML-hash oversvømmelse, omdirigering av FTP tilkoblinger og portskanning via FTP, og at 'pip' kommandoen installerer feil filer basert på navnet på et arkiv. Oppdater til Python-3.14.5 med sikkerhetsoppdateringen. Merk at du også må oppdatere til Expat-2.8.0 eller nyere for å løse sikkerhetsproblemet med XML-hash oversvømmelse fullt ut. 13.0-070

I Python-3.14.4 (og 3.13.13) ble fire sikkerhetsproblemer rettet. Etter utgivelsen ble imidlertid ytterligere fire løst. Disse sårbarhetene kan føre til en rekke påvirkninger, inkludert tjenestenektelse (programkrasj), slik at data kan aksepteres av base64 modulen som burde vært behandlet annerledes, forbigåelse av inndatavalidering når man arbeider med informasjonskapsler i http.Cookies.Morsel (som tillater injeksjon av kontrolltegn i informasjonskapsler), at eldre *.pyc filer håndteres feil (som fører til utilsiktet oppførsel under kjøring for ulike programmer), for vilkårlig kodeutførelse ved behandling av LZMA, BZ2 eller GZIP komprimerte filer i Python, at CR/LF byte ikke avvises av HTTP klientproxy tunneloverskrifter, at kommandoer injiseres i det underliggende skallet når et Python skript åpner en nettleser, og at minnekorrupsjon oppstår når man bruker fjernfeilsøkingsfunksjonen i Python 3.14 og senere. Oppdater til Python-3.14.4 med sikkerhetsrettelsene. BLFS 12.4 brukere kan trygt bruke 3.13.13 med oppdateringen, men må hoppe over en manglende fil under oppdateringsprosessen. 13.0-038

I Python-3.14.3 ble det funnet tre sikkerhetsproblemer som kunne tillate tjenestenekt (programkrasj), tillate kontrolltegn i HTTP informasjonskapsler, og tillate Python ved et uhell å sende uventede alternativer til nettlesere. Gjenoppbygg Python med sikkerhetsrettelsene. 13.0-022

sed

I sed-4.10 ble et sikkerhetsproblem rettet som kunne tillate en angriper å overskrive en fil med angriperkontrollert innhold på grunn av en TOCTOU kappløpstilstand. For at dette sikkerhetsproblemet skal kunne utnyttes, må en bruker kalle sed med både '-i' og '--follow symbolkoblinger' alternativene, og en angriper må erstatte målet for en symbolkobling innen et ekstremt lite tidsvindu. På grunn av dette grunn har oppstrøms merket sårbarheten som lav. Oppdater til sed-4.10. 13.0-068

systemd

I systemd-259.5 ble et sikkerhetsproblem rettet som kunne tillate lokal privilegieeskalering. Dette sikkerhetsproblemet ble funnet i systemd-machined, som kan utløses av en vanlig bruker som er logget inn i et grafisk miljø og som kan eskalere til rotbrukeren via et IPC kall. Oppdater til systemd-259.5. 13.0-008

I Util-Linux-2.42 ble to sikkerhetsproblemer fikset. Disse kunne tillate uautorisert lesetilgang til rotbeskyttede filer og blokkere enheter, og føre til krasj ved bruk av udisks og andre programmer som bruker libblkid biblioteket. Sårbarheten for uautorisert lesing oppstår når kommandoen 'mount' brukes på grunn av et TOCTOU symbollenke angrep via en løkkeenhet. Merk at for å bli påvirket, må ikke-root brukere kunne montere løkkeenheter. Oppdater til Util-Linux-2.42. 13.0-041

vim

I vim-9.2.0481 ble fire sikkerhetsproblemer fikset som kunne tillate tjenestenektelse (programkrasj), injeksjon av OS kommandoer, og injeksjon av vimscript kode. Brukere som bruker vimscript, utfører stavekontroll, bruker ':find' kommandoen, eller som ser på vilkårlige tar filer ved hjelp av vim, anbefales å oppdatere. Oppdater til vim-9.2.0481. 13.0-071

I vim-9.2.0421 ble to sikkerhetsproblemer rettet som kunne tillate injeksjon av OS kommandoer ved behandling av tagfiler og ved bruk av sftp://- og file://-URL-er for å få tilgang til en fil. Alle brukere som bruker sftp://- eller file://-URL-er for å få tilgang til en fil, eller som bruker tagnavigasjon, bør oppdatere umiddelbart på grunn av risikoen for vilkårlig kommandoutførelse. Oppdater til vim-9.2.0421. 13.0-063

I vim-9.2.0340 ble to sikkerhetsproblemer fikset som kunne tillate injeksjon av kommandoer i operativsystemet (som følge av en sandkasserømming i modeline funksjonaliteten), og for problemer med sti traversering når innholdet i Zip arkiver endres, slik at vim overskriver filer på det underliggende systemet i stedet for det tiltenkte innholdet i Zip arkivet. Alle brukere oppfordres til å oppdatere til vim-9.2.0340 umiddelbart på grunn av risikoen for vilkårlig kommandoutførelse. 13.0-037

I vim-9.2.0272 ble et sikkerhetsproblem rettet som kunne tillate vilkårlig OS kommandoinjeksjon ved lasting av en håndlaget fil. Merk at filen bare trenger å lastes inn av VIM, en bruker trenger ikke å redigere den eller utføre noen spesielle kommandoer for at sårbarheten skal utløses. Alle brukere bør oppdatere til vim-9.2.0272 umiddelbart, spesielt hvis de regelmessig ser kildekode eller andre filer fra upålitelige eller eksterne kilder. 13.0-025

XML-Parser

I XML-Parser-2.54 ble to sikkerhetsproblemer rettet som kunne tillate ekstern kjøring av kode eller tjenestenekt (programkrasj) ved behandling av håndlagde XML dokumenter. Begge disse sårbarhetene er kjent for å bli utnyttet i stor skala. Oppdater til XML-Parser-2.54 umiddelbart. 13.0-020

xz

I xz-5.8.3 ble et sikkerhetsproblem rettet som kunne tillate bufferoverløp i lzma_index_append() funksjonen, noe som muligens kunne tillate kjøring av vilkårlig kode under noen sjeldne omstendigheter. Oppstrøms har bemerket at det er svært usannsynlig at feilen kan utløses i noen virkelige applikasjoner, men sårbarheten er likevel merket som kritisk. Sårbarheten oppstår hvis lzma_index_decoder() ble brukt til å dekode en indeks som ikke inneholder noen poster, da den resulterende lzma_index ble etterlatt i en tilstand der en påfølgende lzma_index_append() ikke ville allokere nok minne, og dermed oppstår bufferoverløp. Det er imidlertid vanligvis ingen grunn til å legge til poster i en dekodet lzma_index. Oppdater til xz-5.8.3. 13.0-018