ProHoster > Blog > internet nuus > Kwetsbaarhede in Unbound, Kata-Containers, BIND, PostgreSQL, HPLIP, MongoDB, Rsync, 7-zip, Yelp, qSnapper en Suricata

Kwetsbaarhede in Unbound, Kata-Containers, BIND, PostgreSQL, HPLIP, MongoDB, Rsync, 7-zip, Yelp, qSnapper en Suricata

Verskeie gevaarlike kwesbaarhede is onlangs geïdentifiseer:

  • Ses kwesbaarhede bestaan ​​in die rsync-lêersinchronisasiehulpprogram. Die ernstigste probleem (CVE-2026-29518), veroorsaak deur 'n wedrenvoorwaarde in die hantering van simboliese skakels, laat voorreg-eskalasie toe wanneer rsync in die agtergrond sonder chroot-isolasie uitgevoer word. Die aanval word uitgevoer deur 'n lêer te vervang met 'n simboliese skakel wat na 'n arbitrêre lêer in die stelsel wys, nadat die kontrole uitgevoer is, maar voordat die skryfbewerking begin. Die kwesbaarhede is in rsync 3.4.3 reggestel. CVE's in verspreidings: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
  • Kwetsbaarhede (CVE-2026-8631) in HPLIP, 'n stel oopbron-drukker- en MFP-drywers, maak voorsiening vir voorreg-eskalasie en kode-uitvoering. Hierdie probleme word veroorsaak deur opdragvervanging en bufferoorloop. Die kwesbaarhede is in HPLIP 3.26.4 reggestel. CVE's in verspreidings: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
  • Kwetsbaarhede bestaan ​​in die D-Bus-diens wat in qSnapper gebruik word, 'n grafiese koppelvlak vir die bestuur van Btrfs-kiekies. Hierdie kwesbaarhede kan lei tot voorreg-eskalasie (CVE-2026-41046), die lek van inligting oor veranderinge tussen kiekies (CVE-2026-41047), en die omseil van verifikasie wanneer toegang tot Polkit verkry word (CVE-2026-41045). Die ernstigste kwesbaarheid word veroorsaak deur 'n ontbrekende kontrole vir "../"-karakters in paaie wat aan die snapper::Snapper()-funksie deurgegee word wanneer toegang via D-Bus verkry word. Dit kan gebruik word om die libsnapper-konfigurasielêer te vervals in 'n hanteerder wat met verhoogde voorregte loop.
    CVE in verspreidings: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
  • 'n Kwetsbaarheid (CVE-2026-48095) in die 7-Zip-argiveerder lei tot 'n bufferoorloop wanneer saamgeperste NTFS-data verwerk word. Hierdie kwesbaarheid kan moontlik lei tot die uitvoering van kode deur 'n aanvaller wanneer toegang tot 'n spesiaal vervaardigde NTFS-lêerstelselbeeld deur 7-Zip verkry word. Die kwesbaarheid is in 7-Zip weergawe 26.01 reggestel. CVE's in verspreidings: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
  • Ongebonde DNS-bediener 1.25.1 maak 11 kwesbaarhede reg. Die ernstigste kwesbaarhede is CVE-2026-33278 (potensiële uitvoering van afstandkode tydens DNSSEC-validering), CVE-2026-44608 (gebruik-na-vrygestelde geheue in RPZ-kode), en CVE-2026-42944 (hoopoorloop tydens nsid-verwerking). CVE's in verspreidings: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
  • 'n Kwetsbaarheid (CVE-2026-3593) in die BIND DNS-bediener maak voorsiening vir geheuetoegang na vrye geheue en geheuekorrupsie deur 'n spesiaal vervaardigde versoek te stuur na bediener DNS-oor-HTTPS. Die probleem is in BIND-weergawes 9.20.23 en 9.21.22 opgelos. Konfigurasies wat nie DNS-oor-HTTPS gebruik nie, is nie kwesbaar nie. CVE's in verspreidings: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
  • 'n Kwetsbaarheid (CVE-2026-47243) in Kata Containers, 'n houeruitvoeringsstapel wat virtualisering-gebaseerde isolasie gebruik, laat wortelregte in 'n houer toe om 'n simboliese skakel op die gasheerstelsel te skep. Deur 'n simboliese skakel in /etc/cron.d te skep, kan gebruikers persoonlike kode met wortelregte in die gasheeromgewing uitvoer. Die kwesbaarheid word veroorsaak deur die vermoë om 'n direkte FUSE_SYMLINK-versoek na die virtiofsd-hanteerder wat op die gasheer loop, te stuur. Die probleem manifesteer wanneer runtime-rs gebruik word en is in weergawe 3.31.0 reggestel.

    CVE in verspreidings: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.

  • 'n Kwetsbaarheid (CVE-2026-46529) in die Atril-dokumentkyker laat aanvallerkode toe om uitgevoer te word wanneer op 'n skakel in 'n spesiaal vervaardigde PDF-lêer geklik word wat 'n PDF-dokument en 'n ELF-biblioteek kombineer. 'n Uitbuiting is beskikbaar. 'n Soortgelyke probleem bestaan ​​in die Evince- en Xreader PDF-kykers. Die probleem word veroorsaak deur 'n gebrek aan ontsnapping vir die dop wat spesiale karakters in die ev_spawn()-funksie aanhaal. Die kwesbaarheid is reggestel in Evince 48.2, Atril 1.28.4/1.26.3, en Xreader 4.6.4/3.6.7. CVE's in verspreidings: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
  • 'n Kwetsbaarheid (CVE ongeassigneerd) in die Yelp-hulpkyker (GNOME Help) bied toegang tot gasheerstelsellêers deur die Flatpak-pakketsandkas te omseil deur 'n spesiaal vervaardigde hulplêer oop te maak. Die kwesbaarheid is soortgelyk aan verlede jaar se probleem en verskil deurdat dit CSS-style gebruik wat in 'n SVG-lêer ingebed is vir stilering. Die probleem is in Yelp 49.1 opgelos.
  • 'n Kwetsbaarheid (CVE-2026-41054) in haveged, 'n agtergrondproses wat entropie genereer vir 'n pseudo-ewekansige getalgenerator, maak voorsiening vir voorreg-eskalasie na die wortelgebruiker deur 'n spesiaal vervaardigde opdrag oor 'n Unix-beheersok te stuur. Die probleem is in haveged 1.9.21 opgelos. CVE's in verspreidings: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
  • Elf kwesbaarhede in die PostgreSQL DBMS, waarvan die gevaarlikste (CVE-2026-6637) kan lei tot kode-uitvoering op bedryfstelselvlak met die voorregte van die PostgreSQL-bedienerproses wanneer spesiaal vervaardigde SQL-navrae uitgevoer word (die aanvaller moet onbevoorregte toegang tot die DBMS hê). Nog 'n gevaarlike kwesbaarheid (CVE-2026-6475) laat toe dat lêers oorskryf word. bediener (bv. /var/lib/postgres/.bashrc) as gevolg van simboliese skakelmanipulasie wanneer bewerkings met pg_basebackup en pg_rewind uitgevoer word. Die probleme is in PostgreSQL 18.4, 17.10, 16.14, 15.18 en 14.23 opgelos. Ook noemenswaardig is die publikasie van 'n werkende aanval vir 'n voorheen geïdentifiseerde kwesbaarheid (CVE-2026-2005) in die pgcrypto-uitbreiding.

    CVE in verspreidings: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.

  • Sestien kwesbaarhede is geïdentifiseer in die Suricata-netwerk se indringingsopsporing- en voorkomingstelsel, waarvan vier as krities gegradeer word. Besonderhede van die kwesbaarhede is nog nie publiek bekend gemaak nie, maar te oordeel aan hul ernstigheidsvlakke, laat hulle kode-uitvoering op die bediener toe wanneer spesiaal vervaardigde verkeer geïnspekteer word. Die kwesbaarhede is in Suricata 8.0.5 en 7.0.16 reggestel.
  • 'n Kwetsbaarheid (CVE-2026-8053) in MongoDB-bediener laat 'n gebruiker met skryftoegang tot die databasis toe om 'n bufferoorloop te veroorsaak en arbitrêre kode op die bediener uit te voer met die voorregte van die mongod-proses. Die kwesbaarheid is reggestel in MongoDB 5.0.33, 6.0.28, 7.0.34, 8.0.23, 8.2.9 en 8.3.2. CVE's in verspreidings: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
  • Tien kwesbaarhede (CVE nie toegeken nie) in die Memcached in-geheue data-kasstelsel is ontdek, waarvan die ernstigste bufferoorloop veroorsaak het wanneer spesiaal vervaardigde versoeke gestuur word en moontlik uitgebuit kan word om kode op die bediener uit te voer. Die kwesbaarhede is in Memcached 1.6.42 reggestel.

Bron: opennet.ru

Koop betroubare hosting vir werwe met DDoS-beskerming, VPS VDS-bedieners 🔥 Koop betroubare webwerfhosting met DDoS-beskerming, VPS VDS-bedieners | ProHoster