דריי וואַלנעראַביליטיז פאַרפעסטיקט אין FreeBSD

FreeBSD אַדרעסז דריי וואַלנעראַביליטיז וואָס קען לאָזן קאָד דורכפירונג ווען ניצן ליבפעטטש, IPsec פּאַקאַט ריטראַנסמיססיאָן אָדער אַקסעס צו קערן דאַטן. די פּראָבלעמס זענען פאַרפעסטיקט אין דערהייַנטיקונגען 12.1-RELEASE-p2, 12.0-RELEASE-p13 און 11.3-RELEASE-p6.

• CVE-2020-7450 - אַ באַפער אָוווערפלאָו אין די libfetch ביבליאָטעק, געניצט צו לאָדן טעקעס אין די פעטש באַפֿעל, די pkg פּעקל פאַרוואַלטער און אנדערע יוטילאַטיז. די וואַלנעראַביליטי קען פירן צו קאָד דורכפירונג ווען פּראַסעסינג אַ ספּעציעל קראַפטעד URL. די באַפאַלן קענען זיין דורכגעקאָכט ווען אַקסעסינג אַ פּלאַץ קאַנטראָולד דורך די אַטאַקער, וואָס, דורך אַ הטטפּ רידערעקט, איז ביכולת צו אָנהייבן פּראַסעסינג פון אַ בייזע URL;
• CVE-2019-15875 - אַ וואַלנעראַביליטי אין די מעקאַניזאַם פֿאַר דזשענערייטינג האַרץ פּראָצעס דאַמפּס. רעכט צו אַ טעות, אַרויף צו 20 ביטעס פון דאַטן פון די קערן סטאַק זענען רעקאָרדעד אין האַרץ דאַמפּס, וואָס קען פּאַטענטשאַלי אַנטהאַלטן קאַנפאַדענשאַל אינפֿאָרמאַציע פּראַסעסט דורך די קערן. ווי אַ וואָרקאַראָונד פֿאַר שוץ, איר קענען דיסייבאַל די דור פון האַרץ טעקעס דורך sysctl kern.coredump=0;
• CVE-2019-5613 - אַ זשוק אין די קאָד פֿאַר בלאַקינג דאַטן שייַעך-שיקט אין IPsec געמאכט עס מעגלעך צו רעסענד פריער קאַפּטשערד פּאַקיץ. דעפּענדינג אויף די הויך-מדרגה פּראָטאָקאָל טראַנסמיטטעד איבער IPsec, די יידענאַפייד פּראָבלעם אַלאַוז, למשל, פריער טראַנסמיטטעד קאַמאַנדז צו פאַרדריסן.

מקור: opennet.ru