Verschidde kierzlech entdeckt Schwachstelle:
- D'Ënnerhaltungsverëffentlechung vu Perl 5.38.1 adresséiert eng Schwachstelle (CVE-2023-47038) déi verursaache kéint datt en eenzege Byte ausserhalb vun de Grenzen am zougeloossene Puffer geschriwwe gëtt wann Dir kompiléiert regulär Ausdréck mat enger interner Unicode-Eegeschaft veraarbecht, falsch nei definéiert mat engem Numm unzefänken mat "utf8::" perl. De Problem erschéngt zënter der Perl 5.30 Filial.
Zousätzlech huet Perl 5.38.1 eng plattformspezifesch ... eliminéiert Windows Eng Schwachstelle (CVE-2023-47039) erlaabt eng arbiträr Codeausféierung beim Ausféiere vu Skripter, wann eng cmd.exe-Datei am aktuellen Verzeichnis placéiert ka ginn (wéinst engem Manktem u Pfad-Botzen bei der Sich no ausféierbare Dateien probéiert Perl als éischt cmd.exe am aktuellen Verzeichnis auszeféieren). Zum Beispill kéint en Ugräifer eng personaliséiert cmd.exe am Verzeichnis C:\ProgramData placéieren an seng Privilegien erhéijen, wann en Administrateur e Perl-Skript vun deem Verzeichnis aus ausféiert.
- Eng Schwachstelle (CVE-2023-49103) gouf an der ownCloud Cloud Plattform entdeckt, vun där aus den Nextcloud Projet am Joer 2016 forked gouf, déi d'Graphapi Applikatioun beaflosst huet an et erlaabt huet, den Inhalt vun Ëmweltvariablen ze bestëmmen, déi d'Administrateurpasswuert, de Lizenzschlëssel an d'Umeldungsinformatioune fir d'Verbindung mat der Mail enthalen kënnen. ServerDe Problem gëtt duerch d'Benotzung vun enger Drëttubidder-Bibliothéik a Graphapi verursaacht, déi ënner anerem den GetPhpInfo.php-Handler ubitt, deen d'phpinfo()-Funktioun oprufft, där hir Ausgab Ëmweltvariablen enthält.
- Zwou Schwachstelle goufen am GStreamer Multimedia Kader identifizéiert: CVE-2023-44446 - Gedächtniszougang nom Befreiung (Use-After-Free) am MXF Datei Parsing Code; CVE-2023-44429 - Buffer Iwwerfloss am AV1 Format Parsing Code. Den éischte Problem gëtt verursaacht andeems den Objet net kontrolléiert ier Dir Operatiounen dorop ausféiert, an deen zweeten andeems Dir d'Gréisst vun den Donnéeën net iwwerpréift ier se op e fixe Puffer kopéiert ginn. D'Schwächheeten kënnen et erlaben den Ugräifer Code auszeféieren wann Dir probéiert speziell entworf MXF Dateien an AV1 Medien ze veraarbecht. Et gëtt bemierkt datt d'Attackvektore vun der Ëmsetzung vun der attackéierter Applikatioun ofhänken. D'Problemer goufen e Schwieregkeetsniveau vun 8.8 aus 10 zougewisen. D'Schwieregkeeten ginn an der GStreamer 1.22.7 Verëffentlechung geléist.
- 25 Schwachstelle goufen am Zephyr RTOS Echtzäit Betriebssystem identifizéiert, déi meescht vun deenen potenziell zur Ausféierung vum Ugräifercode féieren. D'Schwächheete ginn duerch Puffer Iwwerfloss an der WiFi Shell, Bluetooth Stack, IPM Chauffer, USB Stack, IEEE 802.15.4 Chauffer, Mgmt Subsystem, Dateiesystem, eS-WiFi Chauffer, an CANbus Subsystem verursaacht. Déi meescht vun de Schwachstelle ginn an der Zephyr 3.5.0 Verëffentlechung geléist, awer een Thema (CVE-2023-4261) bleift onfix (Detailer iwwer dës Schwachstelle ginn net publizéiert bis e Fix verfügbar ass).
Source: opennet.ru
