Avisos de Segurança para o LFS 12.1 e para os livros de desenvolvimento atuais.

LFS-12.1 foi lançado em 2024-03-01

Esta página está em ordem alfabética de pacotes e, se um pacote tiver vários avisos, o mais recente virá primeiro.

Os links no final de cada item apontam para detalhes mais completos que tem links para os livros em desenvolvimento.

Expat

12.1 010 Expat (LFS) Data: 2024-03-20 Gravidade: Média

No Expat-2.6.2, uma vulnerabilidade de segurança foi corrigida que poderia permitir a negação de serviço por meio de um ataque de Expansão de Entidade de XML quando existir uso isolado de analisadores externos (criados usando a função XML_ExternalEntityParserCreate). O problema foi classificado como um ataque de “bilhões de risadas”, também conhecido como um ataque de bomba de XML. Atualize para Expat-2.6.2. 12.1-010

Glibc

Atualizar a Glibc a partir de uma versão anterior em um sistema LFS em execução exige precauções extras para evitar quebrar o sistema. As precauções estão documentadas em uma caixa "Importante" da seção para a Glibc do livro LFS. Siga-as rigorosamente ou você poderá tornar o sistema completamente não usável.

12.1 037 Glibc Data: 2024-05-02 Gravidade: Alta

Na Glibc 2.39 e anteriores, existe uma vulnerabilidade em um módulo iconv que pode permitir uma execução remota de código por intermédio de serviços de rede em execução no sistema. Uma exploração por meio de aplicativos da web baseados em PHP foi demonstrada. E existem quatro vulnerabilidades no Name Service Cache Daemon (NSCD) da Glibc.

Por favor, leia-se o link para corrigir essas vulnerabilidades: 12.0-037

Núcleo Linux

12.1 029 Núcleo Linux (LFS) Data: 2024-04-17 Gravidade: Média

No Linux-6.8.5, uma mitigação insuficiente contra a vulnerabilidade de hardware conhecida como Branch History Injection, ou BHI (veja-se 11.1-011 para detalhes), em alguns processadores Intel foi corrigida. Leia-se 12.1-029 para como mitigar totalmente o BHI para processadores Intel afetados.