ProHoster > Pūnaewele > nūhou pūnaewele > Nā mea palupalu i ka Linux kernel, Glibc, GStreamer, Ghostscript, BIND a me CUPS

Nā mea palupalu i ka Linux kernel, Glibc, GStreamer, Ghostscript, BIND a me CUPS

Ua ʻike ʻia kekahi mau mea nāwaliwali:

  • ʻO CVE-2023-39191 kahi mea nāwaliwali i ka subsystem eBPF e hiki ai i kahi mea hoʻohana kūloko ke hoʻonui i ko lākou mau pono a hoʻokō i ke code ma ka pae kernel Linux. Hoʻokumu ʻia ka nāwaliwali ma muli o ka hōʻoia hewa ʻana o nā papahana eBPF i waiho ʻia e ka mea hoʻohana no ka hoʻokō. No ka hoʻokō ʻana i kahi hoʻouka kaua, pono e hiki i ka mea hoʻohana ke hoʻouka i kāna polokalamu BPF ponoʻī (inā ua hoʻonohonoho ʻia ka kernel.unprivileged_bpf_disabled parameter i 0, no ka laʻana, e like me ka Ubuntu 20.04). Ua hoʻouna ʻia ka ʻike e pili ana i ka nāwaliwali i nā mea hoʻomohala kernel i ka mahina o Dekemaba i ka makahiki i hala, a ua hoʻokomo mālie ʻia ka hoʻoponopono ma Ianuali.
  • CVE-2023-42753 He pilikia me nā papa kuhikuhi kikoʻī i ka hoʻokō ipset i loko o ka ʻōnaehana kernel netfilter, hiki ke hoʻohana ʻia e hoʻonui a hoʻohaʻahaʻa i nā kuhikuhi a hana i nā kūlana no ke kākau ʻana a heluhelu paha i kahi wahi hoʻomanaʻo ma waho o ka buffer i hāʻawi ʻia. No ka nānā ʻana i ka hiki ʻana mai o kahi nāwaliwali, ua hoʻomākaukau ʻia kahi prototype hoʻohana e hoʻopau ai i kahi hoʻopau ʻokoʻa (ʻaʻole hiki ke haʻalele ʻia nā hiʻohiʻona hoʻoweliweli ʻoi aku). Hoʻopili ʻia ka hoʻoponopono i nā hoʻokuʻu kernel 5.4.257, 6.5.3, 6.4.16, 6.1.53, 5.10.195, 5.15.132.
  • CVE-2023-39192, CVE-2023-39193, CVE-2023-39193 - he mau haʻahaʻa i loko o ka Linux kernel e alakaʻi ai i ka leakage o nā mea hoʻomanaʻo kernel ma muli o ka hiki ke heluhelu mai nā wahi ma waho o ka pale i hāʻawi ʻia i nā hana match_flags a me u32_match_it. o ka Netfilter subsystem, a me ka helu hoʻoponopono kānana mokuʻāina. Ua hoʻopaʻa ʻia nā nāwaliwali i ʻAukake (1, 2) a me Iune.
  • ʻO CVE-2023-42755 kahi nāwaliwali e hiki ai i kahi mea hoʻohana kūloko pono ʻole ke kumu i ka ulia kernel ma muli o kahi hewa i ka hana ʻana me nā kuhikuhi i ka rsvp traffic classifier. Hōʻike ʻia ka pilikia ma LTS kernels 6.1, 5.15, 5.10, 5.4, 4.19 a me 4.14. Ua hoʻomākaukau ʻia kahi prototype hoʻohana. ʻAʻole i ʻae ʻia ka hoʻoponopono i loko o ka kernel a loaʻa iā ia ma ke ʻano he patch.
  • ʻO CVE-2023-42756 kahi kūlana lāhui i loko o ka ʻōnaehana kernel NetFilter hiki ke hoʻohana ʻia e hoʻoulu i kahi mea hoʻohana kūloko i kahi kūlana Panic. Loaʻa kahi prototype exploit e hana ma ka liʻiliʻi ma nā kernels 6.5.rc7, 6.1 a me 5.10. ʻAʻole i ʻae ʻia ka hoʻoponopono i loko o ka kernel a loaʻa iā ia ma ke ʻano he patch.
  • CVE-2023-4527 Loaʻa ka hoʻopaʻa ʻana i ka waihona Glibc ma ka hana getaddrinfo i ka wā e hoʻoponopono ai i kahi pane DNS ʻoi aku ka nui ma mua o 2048 bytes. Hiki i ka haʻahaʻa ke alakaʻi i ka leakage data a hāʻule paha. Hōʻike wale ʻia ka nāwaliwali ma nā mana Glibc hou aʻe ma mua o 2.36 ke hoʻohana nei i ke koho "no-aaaa" ma /etc/resolv.conf.
  • ʻO CVE-2023-40474, CVE-2023-40475 nā mea palupalu i ka GStreamer multimedia framework i hoʻokumu ʻia e ka integer overflow ma MXF video file handler. Hiki i nā nāwaliwali ke alakaʻi i ka hoʻokō code attacker i ka wā e hoʻoili ai i nā faila MXF i hoʻolālā kūikawā ʻia i kahi noi e hoʻohana ana iā GStreamer. Hoʻopaʻa ʻia ka pilikia ma ka pūʻolo gst-plugins-bad 1.22.6.
  • CVE-2023-40476 - Hoʻonui ka pahu i loko o ka polokalamu wikiō H.265 i hāʻawi ʻia ma GStreamer, kahi e hiki ai ke hoʻokō i nā code i ka wā e hana ai i kahi wikiō i hoʻohālikelike ʻia. Ua hoʻopaʻa ʻia ka vulnerability i ka pūʻolo gst-plugins-bad 1.22.6.
  • Ka nānā 'ana - ka nānā 'ana i kahi ho'ohana e ho'ohana ana i ka vulnerability CVE-2023-36664 i loko o ka pū'olo Ghostscript e ho'okō i kāna code i ka wā e wehe ai i nā palapala PostScript i ho'olālā kūikawā. Hoʻokumu ʻia ka pilikia ma muli o ka hana hewa ʻana o nā inoa faila e hoʻomaka ana me ke ʻano "|". a i ʻole ka prefix %pipe%. Ua hoʻopaʻa ʻia ka vulnerability i ka Ghostscript 10.01.2 hoʻokuʻu.
  • CVE-2023-3341, CVE-2023-4236 - nā nāwaliwali i loko o ka BIND 9 DNS server e alakaʻi i ka hāʻule ʻana o ke kaʻina hana i ka wā e hoʻoponopono ai i nā memo mana i hoʻolālā ʻia (hiki ke komo i ke awa TCP kahi i mālama ʻia ai ka inoa ua lawa (wehe wale ʻia). ma ka paʻamau). no ka loopback interface), ʻaʻole koi ʻia ka ʻike o ke kī RNDC) a i ʻole ka hana ʻana i kahi haʻahaʻa kiʻekiʻe ma ke ʻano DNS-over-TLS. Ua hoʻoholo ʻia nā nāwaliwali ma BIND i hoʻokuʻu ʻia 9.16.44, 9.18.19, a me 9.19.17.
  • ʻO CVE-2023-4504 kahi mea palupalu i ka server paʻi CUPS a me ka waihona libppd e alakaʻi ana i ka hoʻoheheʻe ʻana i ka wā e paʻi ana i nā palapala Postscript i hoʻohālikelike ʻia. Hiki ke hoʻohana ʻia ka nāwaliwali e hoʻonohonoho i ka hoʻokō ʻana i ke code o kekahi ma ka ʻōnaehana. Hoʻoholo ʻia ka pilikia ma nā hoʻokuʻu o CUPS 2.4.7 (patch) a me libppd 2.0.0 (patch).

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka