From 2aa73ff15bfc4eb2afd85ca6d3ba081babf22432 Mon Sep 17 00:00:00 2001
From: Thomas Lange Hibát találtak a hirbernate-core-ban. A JPA Criteria API megvalósításában
-lévő SQL injection lehetővé tesz szanitizálatlan literálokat, ha a literál az SQL
-lekérdezés kommentkében található. Ez a hiba lehetővé teszi, hogy a támdó
-jogosultalanul hozzáférjen adatokhoz vagy további támadásokat kövessen el. A Debian 9 Azt tanácsoljuk, hogy frissítsd a libhibernate3-java csomagjaidat. A libhibernate3-java csomag biztonság állapotával kapcsolatban lásd a bizonsági nyomkövető oldalát:
-
-https://security-tracker.debian.org/tracker/libhibernate3-java További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a
-frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt:
-https://wiki.debian.org/LTS Néhány memóriabiztonsági probélma érinti az RCP protokollt, amit a p11-kit-ben
-javítottak, a könyvtár lehetőséget biztosít, hogy betöltsék és megszámolják a PKCS#11
-modulokat. Többszörös egész szám túlcsordulás Halomalapú buffer túlolvasás A Debian 9 stretch esetén a probléma a 0.23.3-2+deb9u1 verzióban javításra került. Azt tanácsoljuk, hogy frissítsd a p11-kit csomagjaidat. A p11-kit részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető
-oldalát:
-https://security-tracker.debian.org/tracker/p11-kit További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a
-frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt:
-https://wiki.debian.org/LTS Két biztonsági sebezhetőséget javítottak a flac-ban, Free Lossless Audio Codec
-könyvtárában. Memória szivárgás egy speciálisan kialakított FLAC fájlon keresztül Határon kívüli olvasás a heap buffer túlcsordulása miatt A Debian 9 stretch esetén a probléma a 1.3.2-2+deb9u1 verzióban javításra került. Azt tanácsoljuk, hogy frissítsd a flac csomagjaidat. A flac részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető oldalát:
-https://security-tracker.debian.org/tracker/flac További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a
-frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt:
-https://wiki.debian.org/LTS Felfedezték, hogy a csync2, a klaszter szinkronizációs eszköz nem megfelelően
-ellenőrzi a GnuTLS biztonsági ejárás visszatérési értékét. Kevesebbszer hívják
-meg ezt a függvént, mint azt az API kialakítása indokolná. Problémát fedeztek fel a LINBIT csync2 through 2.0-ig. Nem megfelelően ellenőrzi
- gnutls_handshake() funkció GNUTLS_E_WARNING_ALERT_RECEIVED változójának értékét.
- Nem hívja meg ezt a függvényt újra, mint azt az API felépítése megkívánja. A Debian 9 stretch esetén a probléma a 2.0-8-g175a01c-4+deb9u2 verzióban javításra
-került. Azt tanácsoljuk, hogy frissítsd a csync2 csomagjaidat. További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a
-frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt:
-https://wiki.debian.org/LTS Problémát fedeztek fel a gssproxy jogosultság megosztásában, amit az okoz,
-hogy a gssproxy által nem kerül felszabadításra a stretch
esetén a probléma a 3.6.10.Final-6+deb9u1 verzióban javításra
-került.
-
-
-
-
-
-
-
-
-
-
-
-cond_mutex
,
-mielőtt meghívná a pthread_exit
-et.
gssproxy (aka gss-proxy) a 0.8.3 előtt nem szabadítja fel a cond_mutex-et - mielőtt a ptherad kilép a gp_workers.c-ben lévő gp_worker_main()-ből.
A Debian 9 stretch
esetén a probléma a 0.5.1-2+deb9u1 verzióban javításra
-került.
Azt tanácsoljuk, hogy frissítsd a gssproxy csomagjaidat.
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
- - -# do not modify the following line -#include "$(ENGLISHDIR)/lts/security/2021/dla-2516.data" -# $Id: $ diff --git a/hungarian/lts/security/2021/dla-2517.wml b/hungarian/lts/security/2021/dla-2517.wml deleted file mode 100644 index e41d57c5e33..00000000000 --- a/hungarian/lts/security/2021/dla-2517.wml +++ /dev/null @@ -1,36 +0,0 @@ -#use wml::debian::translation-check translation="18fabfef6df13e6df691c79d1fbbbf72785dbc7f" maintainer="Szabolcs Siebenhofer" -Felfedezték, hogy két biztonsági probléma található a Dovecot IMAP szerverben
- -Egy problémát fedeztek fel a 2.3.13 verzió előtti Dovecot-ban. Az IMAP IDLE - használatakor, az azonosított támadó a hibaernációt meg tudja szakítani - támadó-vezérelt paraméterekkel, ami hozzáférést biztosít más felhasználók email - üzeneteihez (és az útvonal felfedéséhez)
A 2.3.13 előtti Dovecot nem megfelelő beviteli validációt használ az lda-ban, - lmtp-ben és imap-ban, ami az alkalmazás összeomlását okozhatja egy olyan preparált - email-lel, ami tízezer darabból áll.
A Debian 9 stretch
esetén a probléma a 1:2.2.27-3+deb9u7 verzióban javításra
-került.
Azt tanácsoljuk, hogy frissítsd a dovecot csomagjaidat.
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
-A LibreOffice bemutató megszakad veremtúlcsordulással a cario composite_box-aiban.
- -A Debian 9 stretch
esetén a probléma a 1.14.8-1+deb9u1 verzióban javításra
-került.
Azt tanácsoljuk, hogy frissítsd a dovecot csomagjaidat.
- -A cario csomag biztonság állapotával kapcsolatban lásd a bizonsági nyomkövető oldalát: -https://security-tracker.debian.org/tracker/cairo
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
-Néhány sebezhetőségi probléma kapcsolódik a pacemaker-hez, a klaszter erőforrás -menedzserhez.
- -AHibát találtal a pacemaker kliens-szerver authentikációjának megvalósításában. - A helyi támadó ki tudja használni ezt a hibát, kombinálva más IPC gyengeségekkel, - hogy helyi jogosultságokat szerezzen.
A nem megfelelő ellenőrzés miatt az ellenőrizetlen folyamatok előnyben részesítése a - szolgáltatás megtagadásához vezethet. -
ACL megkerülési hibát találtak a peacemaker-ben. A támadó rendelkezik helyi fiókkal a - kalszteren és a haclient csoport közvetlen IPC kommunikációt tud használni különféle - háttérben futó folyamatokkal, hogy feladatokat hajtson végre, az ACL megakadályozza őket - abbban, hogy elvégezzék a konfigurávciót. -
A Debian 9 stretch
esetén a probléma a 1.1.24-0+deb9u1 verzióban javításra
-került.
Azt tanácsoljuk, hogy frissítsd a pacemaker csomagjaidat.
- -A pacemaker csomag biztonság állapotával kapcsolatban lásd a bizonsági -nyomkövető oldalát: -https://security-tracker.debian.org/tracker/pacemaker
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
-Websocket kapcsolaton keresztül fogadott websocket keretek hosszát érint egészszám -túlcsordulásos sebezhetőség volt. A támadó ezzel szolgáltatás megtagadást tudott -okozni websocket kacpcsolatokat elfogadó HTTP szerverek esetén
- -A Debian 9 stretch
esetén a probléma a 1.1.0-1+deb9u1 verzióban javításra
-került.
Azt tanácsoljuk, hogy frissítsd a golang-websocket csomagjaidat.
- -A golang-websocket csomag biztonság állapotával kapcsolatban lásd a bizonsági nyomkövető oldalát: -https://security-tracker.debian.org/tracker/golang-websocket
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
-Biztonsági hibát találtak a Mozilla Firefox böngészőben, ami potenciálisan -tetszőleges kód futtatásának lehetőségét okozhatja.
- -A Debian 9 stretch
esetén a probléma a 78.6.1esr-1~deb9u1 verzióban javításra
-került.
Azt tanácsoljuk, hogy frissítsd a firefox-esr csomagjaidat.
- -A firefox-esr csomag biztonság állapotával kapcsolatban lásd a bizonsági -nyomkövető oldalát: -https://security-tracker.debian.org/tracker/firefox-esr
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
-Biztonsági hibát fedeztek fel a coturn-ban, a VOIP TURN és STUN szerverében.
-Alapbeállításban a coturn nem engedélyez kapcsolatokat a loopback címen
-(127.x.x.x és ::1). A távoli támadó megkerülheti a védelmet speciálisan
-módosított kéréssel, a 0.0.0.0
cím használatával, és kicselezheti
-a coturn-t, hogy azt loopback interfészre továbbítsa. Ha IPv6-ot használ, a
-loopback interfészen elérhető a [::1] vagy [::] címen is.
A Debian 9 stretch
esetén a probléma a 4.5.0.5-1+deb9u3 verzióban javításra
-került.
Azt tanácsoljuk, hogy frissítsd a coturn csomagjaidat.
- -A coturn csomag biztonság állapotával kapcsolatban lásd a bizonsági -nyomkövető oldalát: -https://security-tracker.debian.org/tracker/coturn
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
-Néhány biztonsági problémát találtak az ImageMagik-ban, a kép -manipulációs programcsomagban. A támadó szolgáltatás megtagadást -tud okozni és tetszőleges kódot tud futtatni, ha speciálisan átlakított -képet dolgoznak fel.
- -A TIFFSetProfiles funkcó a coders/tiff.c fájlban inkorrekt - elvárásokkal rendelkezik a LibTIFF TIFFGetField visszatérési értékével - kapcsolatban, ami lehetővé szolgáltatás megtagadás okozását teszi a - távoli támadó számára módosított file esetén (A TIFFSetField hibás hivása után - a use-after-free összedönti az alkalmazást.)
Verem puffer túlcsordulás és feltétel nélküli ugrás a ReadXPMImage-ben, a - coders/xpm.c fájlban.
A PALM kép kódoló a coders/palm.c fájlban helytelen hívást kezdeményez a - AcquireQuantumMemory() felé a WritePALMImage() rutinban, mert 256-al kell - eltolni. Ez később határon kívüliolvasást okoz a rutinban. Ennek hatása van a - megbízhatóságra.
WriteOnePNGImage() a coders/png.c fájlból (a PNG kódoló) helytelen - kilépési kondíciójú for ciklussal rendelkezik, ami határon kívüli - READ-et tesz lehetővé heap-buffer-overflow-n keresztül. Ez azért lehetséges - mert a színtérkép 256-nál kevesebb érvényes értéket enged meg, de a cikluss - 256 alkalommal fut le, ezzel megpróbál érvénytelen színtérkép adatokat próbál - átadni az eseménynalpónak.
Az ImageMagik nullával való osztást tesz lehetővé a MagickCore/layer.c - fájlban a OptimizeLayerFrames funkcóban, ami szolgáltatás megtagadást - okozhat.
Hiba volt a MagickCore/colorspace-private.h és a - MagickCore/quantum.h fájlban. A távoli támadó, aki egy speciálisan kialakított - fájlt tölt fel, meghatározhatatlan viselkedést válthat ki `unsigned char` - típus tartományán kívüli matematikai nulla osztással. Ez nagy valószínűséggel - hatással lesz az alkalmazások elérhetőségére, de potenciálisan más problémákat - is okozhat a meghatározatlan viselkedés miatt.
A /MagickCore/enhance.c fájl `GammaImage ()` fájljában a `gamma` - értéktől függően lehetséges a nullával osztás feltétel aktiválása, - amikor a speciálisam kialakított bemeneti fájlt az ImageMagick - feldolgozza.
Hibát találtak a MagickCore / resize.c fájlban. Az a támadó, aki egy - speciálisan elkészített fájlt küld be, amelyet az ImageMagick dolgoz fel, - meghatározhatatlan viselkedést válthat ki matematikai nullával való osztás - formájában. Ez nagy valószínűséggel hatással lesz az alkalmazások - elérhetőségére, de más problémákat is okozhat a meghatározatlan viselkedés - miatt.
A MagickCore / segment.c fájlban hibát találtak. Az a támadó, aki - egy speciálisan elkészített fájlt küld be, amelyet az ImageMagick - dolgoz fel, meghatározhatatlan viselkedést válthat ki matematikai - nullával való osztás formájában. Ez nagy valószínűséggel hatással - lesz az alkalmazások elérhetőségére, de potenciálisan más - problémákat is okozhat a meghatározatlan viselkedése miatt.
Hiba volt a MagickCore/gem-private.h fájlban. A távoli támadó, aki - egy speciálisan kialakított fájlt tölt fel, meghatározhatatlan - viselkedést válthat ki `unsigned char` típus tartományán kívüli - matematikai nulla osztással. Ez nagy valószínűséggel - hatással lesz az alkalmazások elérhetőségére, de potenciálisan más - problémákat is okozhat a meghatározatlan viselkedés miatt.
Az ImageMagick rosszul kezeli az -authenticate opciót, amely - lehetővé teszi a jelszó beállítását a jelszóval védett PDF - fájlokhoz. A felhasználó által vezérelt jelszót nem sikerült - elkerülni/megtisztítani, ezért további shell parancsokat lehetett - bebevinni a coders / pdf.c keresztül.
A Debian 9 stretch
esetén a probléma a 8:6.9.7.4+dfsg-11+deb9u11 verzióban
-javításra került.
Azt tanácsoljuk, hogy frissítsd az imagemagick csomagjaidat.
- -Az imagemagick csomag biztonság állapotával kapcsolatban lásd a bizonsági -nyomkövető oldalát: -https://security-tracker.debian.org/tracker/imagemagick
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
-Néhány sebezhetőéget fedeztek fel a spice-vdagent-ben, ami egy spice -guest agent, a SPICE integrációjának javítása és az élmény fokozása miatt.
- -A spice-vdagent nem megfelelően semlegesíti a mentési könyvtárat, - mielőtt átadja a shell-nek, amivel lehetővé teszi, hogy a helyi - támadó hozzáférjen az agent által futtatott munkamenethez, amiben - bármilyen tetszőleges kódot le tud futtatni.
Hibát találtak abban, ahogy a spice-vdagentd a fájl átviteleket - kezelte a host rendszer és a virtuális gép között. Bármely - privilegizálatlan helyi vendég felhasználó, akinek hozzáférése volt a - `/run/spice-vdagentd/spice-vdagent-sock` elérési úthoz, képes volt - a spice-vdagentd-ben memória szolgáltatás megtagadást okozni, - vagy akár a virtuális gép más folyamataiban. Ez a rés legjobban - a rendszer elérhetőségét fenyegeti. Ez a hiba a 0.20 és az előtti - verziókat érinti. -
Hibát találtak a SPICE fájlátviteli protokollban. A gazda rendszerből - származó adatok teljes egészében vagy részekben kerülhetnek egy - jogosulatlan felhasználó kliens kapcsolatában a VM rendszerben. Más - felhasználóktól származó aktív fájlátvitel megszakadhat, ami szolgáltatás - megtagadást eredményezhet. A sérülékenység legjobban az adatok - biztonságát és a rendszer elérhetősége veszélyezteti.
Hibát találtak a spice-vdagentd démonban, ahol az nem megfelelően - kezelte a `/run/spice-vdagentd/spice-vdagent-sock` UNIX domain socketen - keresztüli kliens kapcsolatokat. Bármely jogosulatlan helyi felhasználó - megakadályozhatja, hogy jogosult agent-ek csatlakozzanak a - spice-vdagentd démonhoz, ezzel szolgáltatás megtagadást okozva. - A hiba legjobban a rendszer elérhetőségét veszélyezteti.
Versenyfeltétel sérülékenységet találtak abban, ahogy a spice-vdagentd - az új kliens kapcsolatokat kezelte. Ez a hiba lehetővé teszi, hogy - jogosulatlan helyi vendég felhasználó a spice-vdagentd agent-évé váljon, - ami szolgáltatás megtagadást vagy a szerverről információszivárgást - okozhat. A sebezhetőség legjobban az adatok titkosságát, valamint a - rendszer elérhetőségét veszélyezteti.
A Debian 9 stretch
esetén a probléma a 0.17.0-1+deb9u1 verzióban
-javításra került.
Azt tanácsoljuk, hogy frissítsd az spice-vdagent csomagjaidat.
- -Az spice-vdagent csomag biztonság állapotával kapcsolatban lásd a bizonsági -nyomkövető oldalát: -https://security-tracker.debian.org/tracker/spice-vdagent
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
-Több sebezhetőséget találtak a wavpack-ben, mint határon kívüli -olvasás (OOB read), ami potenciális DOS támadáshoz vezethet, váratlen -vezérlési folyamat, összeomlás, egész szám túlcsordulás és -szegmentációs hibák.
- -A Debian 9 stretch
esetén a probléma a 5.0.0-2+deb9u3 verzióban
-javításra került.
Azt tanácsoljuk, hogy frissítsd az wavpack csomagjaidat.
- -A wavpack csomag biztonság állapotával kapcsolatban lásd a bizonsági -nyomkövető oldalát: -https://security-tracker.debian.org/tracker/wavpack
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
-A Redcarpet 3.5.1 előtti veziókban befecskendezéses sérülékenység -található, ami lehetővé tesz site-okon keresztüli parancsfájl -támadást.
- -Az érintett verziókban nincs HTML mentesítés, ha idézőjeleket dolgoz -fel. Ez akkor is érvényes, ha a `:escape_html` opciót használják.
- -A Debian 9 stretch
esetén a probléma a 3.3.4-2+deb9u1 verzióban
-javításra került.
Azt tanácsoljuk, hogy frissítsd a ruby-redcarpet csomagjaidat.
- -A ruby-redcarpet csomag biztonság állapotával kapcsolatban lásd a bizonsági -nyomkövető oldalát: -https://security-tracker.debian.org/tracker/ruby-redcarpet
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
-A golang-go.crypto nemrégiben frissítve lett a CVE-2019-11840 -sérülékenység miatt. Ahhoz, hogy a biztonsági javítás érvényre kerüljön, minden csomag újrafordítása szükséges.
- -Egy hibát fedeztek fel a Go kriptográfiai könyvtárakban, más néven a - golang-googlecode-go-crypto-ban. Amennyiben 256 GiB-ot meghaladó kulcsfolyam - generálódott, vagy a számláló 32 bit-nél nagyobbra nőtt, az amd64 implementáció - először inkorrekt kimenetet generált, majd visszatért a korábban használt - kulcsfolyamhoz. Az ismétlődő kulcsfolyam bájtok a bizalmasság elvesztéséhez - vezethettek titkosító alkalmazásokban, vagy megjósolhatóvá váltak CSPRNG - alkalmazásokban.
A Debian 9 stretch
esetén a probléma a 2.21-2+deb9u1 verzióban
-javításra került.
Azt tanácsoljuk, hogy frissítsd a snapd csomagjaidat.
- -A snapd csomag biztonság állapotával kapcsolatban lásd a bizonsági -nyomkövető oldalát: -https://security-tracker.debian.org/tracker/snapd
- -További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a -frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: -https://wiki.debian.org/LTS
-A debian-lts-announce -levelező listára feliratkozva megkaphatod a legfrissebb biztonsági figyelmezetetéseket. -Szintén tudsz a lista \ -archívumában keresni.
diff --git a/hungarian/security/2021/Makefile b/hungarian/security/2021/Makefile deleted file mode 100644 index a1d78b62587..00000000000 --- a/hungarian/security/2021/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/hungarian,webwml/english,$(CURDIR))/Makefile diff --git a/hungarian/security/2021/dsa-4822.wml b/hungarian/security/2021/dsa-4822.wml deleted file mode 100644 index 9b80bf384de..00000000000 --- a/hungarian/security/2021/dsa-4822.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="ce053bc67f7e188f5978ad5bbfd7c2786669f07c" maintainer="Szabolcs Siebenhofer" - -David Cook néhány, a p11-kit-ben lévő RPC modult érintő memóriabiztonsági -problémát fedezett fel, a könyvtár lehetőséget ad, hogy betöltsék és -kilistázzák a PKCS#11 modulokat. -
- -A stabil kiadásban (buster) javításra került a 0.23.15-2+deb10u1 verzióban.
- -Azt tanácsoljuk, hogy frissítsd a p11-kit csomagjaidat.
- -A p11-kit részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető -oldalát: -https://security-tracker.debian.org/tracker/p11-kit
-Felfedezték, hogy az InfluxDB-ben, ami idősorozat, metrika és analitikai -adatbázis, a JWT-tokenek helytelen ellenőrzése a hitelesítés megkerüléséhez -vezethet. -
- -A stabil kiadásban (buster) javításra került a 1.6.4-1+deb10u1 verzióban.
- -Azt tanácsoljuk, hogy frissítsd a influxdb csomagjaidat.
- -Az influxDB részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető -oldalát: -\ -https://security-tracker.debian.org/tracker/influxdb
-Több biztonsági problémát fedeztek fel a Chromium web böngészőben, ami -rosszindulatú kód futtatását, szolgáltatás magtagadást vagy információk -nyilvánosságra hozatalát okozhatja.
- -A stabil kiadásban (buster) javításra került a 87.0.4280.88-0.4~deb10u1 -verzióban.
- -Azt tanácsoljuk, hogy frissítsd a chromium csomagjaidat.
- -A chromium részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető -oldalát: -\ -https://security-tracker.debian.org/tracker/chromium
-Több sebezhetőséget fedeztek fel a Dovecot levelező szerverben.
- -Amenniyben az imap hibernáció aktív, a támadó (a rendszer eléréséhez érvényes - tanusítványokkal) Dovecot-ban fel tudja fedezni a központi fájlrendszer struktúrát - és hozzá férhet más felhasználók emailjaihez speciálisan parancsokkal.
Innokentii Sennovskiy jelentette, hogy az email kézbesítés és elemzés a - Dovecot-ot össze tudja dönteni ha a 10000. MIME rész message/rfc822 (vagy a szülő - multipart/digest volt). Ezt a hibát a korábbi - \ - CVE-2020-12100 módosítás okozta.
A stabil kiadásban (buster) javításra került a 1:2.3.4.1-5+deb10u5 verzióban.
- -Azt tanácsoljuk, hogy frissítsd a dovecot csomagjaidat.
- -A dovecot részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető -oldalát: -\ -https://security-tracker.debian.org/tracker/dovecot
-Két sebezhetőséget fedeztek fel a Node.js-ben, ami szolgáltatás megtagadás tud -okozni és potenciálisan lehetővé teszi tetszőleges kód futtatását vagy -HTTP Request Muggling-ot.
- -A stabil kiadásban (buster) javításra került a 10.23.1~dfsg-1~deb10u1 verzióban.
- -Azt tanácsoljuk, hogy frissítsd a nodejs csomagjaidat.
- -A nodejs részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető -oldalát: -\ -https://security-tracker.debian.org/tracker/nodejs
-Biztonsági hibát találtak a Mozilla Firefox böngészőben, ami potenciálisan -tetszőleges kód futtatásának lehetőségét okozhatja.
- -A stabil kiadásban (buster) javításra került a 78.6.1esr-1~deb10u1 verzióban.
- -Azt tanácsoljuk, hogy frissítsd a firefox-esr csomagjaidat.
- -A firefox-esr részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető -oldalát: -\ -https://security-tracker.debian.org/tracker/firefox-esr
-Liaogui Zhong két biztonsági problémát fedezett fel az XStream-ben, abban -a Java könyvátrban, ami az objetumokat XML-be sorosítja és vissza. Fájlok törlésével -vagy unmarhalling során a szerver oldali kérlem hamisításával járhat.
- -A stabil kiadásban (buster) a problémák javításra kerültek a 1.4.11.1-1+deb10u2 verzióban.
- -Azt tanácsoljuk, hogy frissítsd a libxstream-java csomagjaidat.
- -A libxstream-java részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető -oldalát: -\ -https://security-tracker.debian.org/tracker/libxstream-java
-Biztonsági hibát fedeztek fel a coturn-ban, a VOIP TURN és STUN szerverében.
-Alapbeállításban a coturn nem engedélyez kapcsolatokat a loopback címen
-(127.x.x.x és ::1). A távoli támadó megkerülheti a védelmet speciálisan
-módosított kéréssel, a 0.0.0.0
cím használatával, és kicselezheti
-a coturn-t, hogy azt loopback interfészre továbbítsa. Ha IPv6-ot használ, a
-loopback interfészen elérhető a [::1] vagy [::] címen is.
A stabil kiadásban (buster) ez a probléma javításra került a 4.5.1.1-1.1+deb10u2 verzióban.
- -Azt tanácsoljuk, hogy frissítsd a coturn csomagjaidat.
- -A coturn részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető -oldalát: -https://security-tracker.debian.org/tracker/coturn
-Simon McVittie felfedezett egy hibát a flatpak-portal szolgáltatásban, -ami lehetővé teszi a homokveremben (sandbox) futattott alkalmazásnak, -hogy tetszőleges kódot futasson a gazda rendszeren (sandbox escape).
- -A Flatpak portál D-Bus szolgáltatás (flatpak-portal, vagy más néven -org.freedesktop.portal.Flatpak-ként ismerik a D-Bus szolgáltatását) -lehetővé teszi a Flatpak homokveremben futtatott alkalmazásoknak, hogy -saját alfolyamatot indítsanak egy új homokveremben, ugyanolyan vagy -szigorúbb biztonsági beállításokkal, mint a hívó. Például, ezt használják -a Flatpak csomagolású böngészőkben, mint például a Chromium, olyan -alfolyamatok elindítására, melyek nem megbítható webtartalmat dolgoznak -fel és ezeknek az alfolyamatoknak szigorúbb homokvermet adnak, mint maga -a böngésző.
- -A sebezhető verziókban a Flatpak portál szolgáltatás átadja a hívó-specifikus -környezeti változókat egy nem homokveremben futó folyamatnak a gazda -rendszeren, különösen a flatpak run parancsnak, ami új homokverem példányok -indítására használatos. Gyanús vagy kompromittált Flatpak alkalmazás olyan -környezeti változókat állíthat be, amelyben a flatpak run parancs megbízik, -és tetszőleges parancs futtatására használhatja a homokvermen kívül.
- -A stabil kiadásban (buster) ez a probléma javításra került a 1.2.5-0+deb10u2 -verzióban.
- -Azt tanácsoljuk, hogy frissítsd a flatpak csomagjaidat.
- -A flatpak részletes biztonsági állapotáért keresd fel a biztonsági -nyomkövető oldalát: -\ -https://security-tracker.debian.org/tracker/flatpak
-Johan Smits felfedezte, hogy a ruby-redcarpet, ami egy markdown értelmező, -nem megfelelően validálja a bemenetét. Ez lehetővé tette, hogy egy támadó -site-ok közötti parancsfájl támadást indítson.
- -A stabil kiadásban (buster) ez a probléma javításra került a 3.4.0-4+deb10u1 -verzióban.
- -Azt tanácsoljuk, hogy frissítsd a ruby-redcarpet csomagjaidat.
- -A ruby-redcarpet részletes biztonsági állapotáért keresd fel a biztonsági -nyomkövető oldalát: -\ -https://security-tracker.debian.org/tracker/ruby-redcarpet
-Multiple security issues were discovered in the Chromium web browser, which -could result in the execution of arbitrary code, denial of service -or information disclosure. -Több biztonsági hibát fedeztek fel a Chromium web böngészőben, ami tetszőleges kód -futtatását, szolgáltatás megtagadást vagy információ nyilvámosságra kerülését tette -lehetővé.
- -A stabil kiadásban (buster) ezek a problémák javításra kerültek a -87.0.4280.141-0.1~deb10u1 verzióban.
- -Azt tanácsoljuk, hogy frissítsd a chromium csomagjaidat.
- -A chromium részletes biztonsági állapotáért keresd fel a biztonsági -nyomkövető oldalát: -https://security-tracker.debian.org/tracker/chromium
-Hogy megkapd a legfrisebb Debian biztonsági frissítéseket, iratkozz fel a -\ -debian-security-announce levelező listára. -\ -Átnézheted az archívumot is a listáért.
-- cgit v1.2.3