BLFS sikkerhetsråd for BLFS 13.0 og gjeldende utviklingsbøker.
BLFS-13.0 ble utgitt den 05.03.2026
Denne siden er i alfabetisk rekkefølge etter pakker, og hvis en pakke har flere råd, kommer den nyeste først.
Lenkene på slutten av hvert element peker til flere detaljer som har lenker til utgitte bøker.
Generelt sett hentes alvorlighetsgraden fra oppstrøms, hvis oppgitt, eller fra NVD (https://nvd.nist.gov/vuln/detail/) hvis en analyse er tilgjengelig der, men individuelle alvorlighetsgrader ved NVD kan endres over tid. Hvis ingen annen informasjon er tilgjengelig, antas det vanligvis en «Høy» alvorlighetsgrad.
BIND
13.0 002 BIND Dato: 06.03.2026 Alvorlighetsgrad: Lav
I BIND-9.20.20 ble et sikkerhetsproblem rettet i delv verktøyet som kunne tillate et eksternt utnyttbart krasj i dns_client_resolve() funksjonen utløst av et DNAME svar. Problemet skyldes en bruk etter å ha installert et program, og er avhengig av at en bruker sender et svært sjeldent sett med alternativer for å utnytte det. Den eneste kjente effekten er et krasj, og problemet krever brukerinteraksjon for å utnytte det, så oppstrøms har vurdert sårbarheten som Lav. Dette verktøyet er kun installert i en full BIND installasjon, og påvirker IKKE BIND Verktøy pakken i BLFS. Hvis du ikke opplever krasj i 'delv' verktøyet, er det ikke nødvendig å oppgradere. Oppdater til BIND-9.20.20. 13.0-002
cURL
13.0 009 cURL Dato: 21.03.2026 Alvorlighetsgrad: Medium
I cURL-8.19.0 ble fire sikkerhetsproblemer rettet som kunne tillate upassende gjenbruk av HTTP forhandlingstilkoblinger, tokenlekkasjer, upassende gjenbruk av proxy tilkoblinger med påloggingsinformasjon og bruk-etter-frigjøring operasjoner via gjenbruk av SMB tilkoblinger. Oppdater til cURL-8.19.0. 13.0-009
Exiv2
13.0 004 Exiv2 Dato: 06.03.2026 Alvorlighetsgrad: Lav
I Exiv2-0.28.8 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenektelse (programkrasj) ved bruk av kommandolinjeverktøyet exiv2. Selve biblioteket er ikke berørt. Brukere som bruker forhåndsvisningskomponenten (f.eks. sender '-pp' til kommandolinjeverktøyet exiv2) eller behandler CRW videoer, bør oppdatere, ettersom problemene bare påvirker disse brukstilfellene. Det er ikke nødvendig å oppdatere ellers. Oppdater til Exiv2-0.28.8. 13.0-004
Firefox
13.0 027 Firefox Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Firefox-140.9.0esr ble 38 sikkerhetsproblemer fikset som kunne tillate vilkårlig kodekjøring, ekstern kodekjøring, sandkasserømming, tjenestenekt (programkrasj og ressursutmattelse), udefinert oppførsel, omgåelser av risikoreduksjoner og eskalering av rettigheter. Alle brukere som har Firefox installert oppfordres til å oppdatere umiddelbart, spesielt på grunn av sandkasserømming sårbarhetene som deretter forsterker virkningene av de andre sårbarhetene. Oppdater til Firefox-140.9.0esr. 13.0-027
FreeRDP
13.0 031 FreeRDP Dato: 01.04.2026 Alvorlighetsgrad: Høy
I FreeRDP-3.24.2 ble ni sikkerhetsproblemer rettet som kunne tillate ekstern kjøring av kode, udefinert oppførsel og tjenestenekt (programkrasj og minnekorrupsjon). Disse sårbarhetene oppstår i en rekke situasjoner, inkludert når en bruker kobler seg til et system eller samhandler med et system etter tilkobling. Dette kan inkludere når man mottar lyd fra det eksterne systemet. Brukere som bruker FreeRDP serveren eller kobler seg til uklarerte klienter, bør oppdatere til FreeRDP-3.24.2 umiddelbart. 13.0-031
13.0 012 FreeRDP-3.24.0 Dato: 21.03.2026 Alvorlighetsgrad: Kritisk
I FreeRDP-3.24.0 ble åtte sikkerhetsproblemer rettet som kunne føre til heap bufferoverløp, lese og skriveoperasjoner utenfor grensene, heltallsunderflyt, heap overskrivinger, gigantiske while-loop-iterasjoner og tjenestenektelse angrep via divisjon med null. Oppdater øyeblikkelig til FreeRDP-3.24.0. 13.0-012
13.0 001 FreeRDP Dato: 06.03.2026 Alvorlighetsgrad: Høy
I FreeRDP-3.23.0 ble tolv sikkerhetsproblemer rettet som kunne muliggjøre eksternt utnyttbare klient og serverkrasj, informasjonsavsløring og ekstern kjøring av kode. Dette kan forekomme i en rekke situasjoner, inkludert når du bruker omdirigeringsfunksjonen for utklippstavlen, kobler til en server og endrer størrelsen på vinduet. Brukere som har FreeRDP installert, bør vurdere å oppdatere umiddelbart hvis de kobler til upålitelige servere eller er vert for en offentlig tilgjengelig RDP server. Oppdater til FreeRDP-3.23.0. 13.0-001
FreeType
13.0 024 FreeType Date: 2026-04-01 Severity: High
I FreeType-2.14.3 ble flere potensielle minnesikkerhetsproblemer løst som kunne tillate vilkårlig kodekjøring (stakkoverløp) og tjenestenektelse (minnelekkasjer og grenseproblemer). Oppstrøms har vært ganske vage om detaljene rundt disse problemene, og BLFS teamet var bare i stand til å finne de eksakte problemene ved å gjennomgå commits for 2.14.3-utgivelsen. Oppstrøms anbefaler imidlertid at brukere oppgraderer umiddelbart for å løse disse problemene, så vi sender inn en veiledning selv om det ikke er mye detaljer. Oppdater til FreeType-2.14.3. 13.0-024
13.0 003 FreeType2 Dato: 06.03.2026 Alvorlighetsgrad: Medium
I FreeType-2.14.2 ble det rettet et sikkerhetsproblem som kunne tillate kjøring av vilkårlig kode, avsløring av informasjon eller tjenestenektelse (programkrasj) ved behandling av HVAR, VVAR eller MVAR tabellene i en OpenType variabel skrifttype. Dette problemet oppstår på grunn av en lesing utenfor grensene, forårsaket av et problem med heltallsoverløp. Denne oppdateringen har også flere andre rettelser for andre potensielle sikkerhetsproblemer, og oppstrøms anbefaler at alle brukere oppdaterer til denne versjonen av FreeType. Oppdater til FreeType-2.14.2. 13.0-003
Fuse
13.0 014 Fuse Dato: 21.03.2026 Alvorlighetsgrad: Høy
I Fuse-3.18.2 ble to sikkerhetsproblemer rettet som kunne tillate bruk-etter-frigjøring, dereferering av NULL-pekere, og minnelekkasjer. Oppdater til Fuse-3.18.2. 13.0-014
giflib
13.0 010 giflib Dato: 21.03.2026 Alvorlighetsgrad: Høy
I giflib-6.1.2 ble tre tildelte sikkerhetssårbarheter, blant mange ikke-tildelte AI reviderte sårbarheter, fikset som kunne tillate dobbeltfrie operasjoner, tjenestenektangrep via minne lekkasjer, utnyttelse av heap bufferoverløp, sti-traversering, skriveoperasjoner utenfor grensene og heltalls og bufferoverløp. Oppdater til giflib-6.1.2. 13.0-010
glib
13.0 033 glib Dato: 03.04.2026 Alvorlighetsgrad: Høy
I glib-2.86.5 ble fem sikkerhetsproblemer rettet som kunne tillate informasjonsavsløring eller tjenestenekt (programkrasj). Disse sårbarhetene oppstår alle på grunn av små lesninger utenfor grensene og bufferoverlesninger i en rekke viktige funksjoner. Oppdater til glib-2.86.5. 13.0-033
gstreamer
13.0 036 gstreamer Dato: 08.04.2026 Alvorlighetsgrad: Høy
I gst-plugins-base, gst-plugins-bad og gst-plugins-good 1.28.2, ble elleve sikkerhetsproblemer fikset som kunne tillate informasjonsavsløring, tjenestenekt (minneutmattelse og programkrasj), og vilkårlig kodekjøring. Disse forekommer i en rekke funksjoner, inkludert SRT/WebVTT analyseren, Matroska-demuxeren, WAV analyseren ved dekoding av CUE filer, FLV demuxeren, mDVDsub undertekstanalyseren, MOV/MP4 demuxeren, H.266/VVC analyseren, JPEG 2000 desimatoren, AV1 LEB128 analyseren og H.264 videoanalyseren. På grunn av variasjonen i omstendigheter der gstreamer brukes (inkludert nettlesere og medie spillere), anbefales alle brukere som har det installert å oppdatere stakken til 1.28.2 umiddelbart. 13.0-036
libde265
13.0 011 libde265 Dato: 21.03.2026 Alvorlighetsgrad: Høy
I libde265-1.0.18 ble to sikkerhetsproblemer rettet som kunne tillate tjenestenektangrep og heap skriving utenfor grensene operasjoner. Oppdater til libde265-1.0.18. 13.0-011
libinput
13.0 034 libinput Dato: 06.04.2026 Alvorlighetsgrad: Høy
I libinput-1.31.1 ble to sikkerhetsproblemer rettet som kunne tillate en sandkasse-rømming og avsløring av informasjon. Begge disse problemene oppstår i undersystemet til libinput sine programtillegg. Oppdater til libinput-1.31.1. 13.0-034
libpng
13.0 016 libpng Dato: 26.03.2026 Alvorlighetsgrad: Høy
I libpng-1.6.56 ble to sikkerhetsproblemer rettet som kunne tillate ekstern kjøring av kode og avsløring av informasjon. Det første sårbarheten er i funksjonene png_set_PLTE og png_set_tRNS, der en 100 % gyldig PNG fil kan utløse en use-after-free feil som kan lekke sensitivt heap innhold, skrive angriperpåvirket informasjon til frigjort heap minne, og på systemer som bruker glibc (som LFS systemer), forårsake triviell ekstern kodekjøring når PNG filen lastes inn i kontekster som en nettleser. Den andre sårbarheten er en lesing/skriving utenfor grensene som bare forekommer på ARM/AArch64 systemer som bruker Neon optimaliseringene. Alle brukere som har libpng installert oppfordres til å oppdatere umiddelbart. 13.0-016
libxml2
13.0 005 libxml2 Dato: 06.03.2026 Alvorlighetsgrad: Medium
I libxml2-2.15.2 ble fem sikkerhetsproblemer rettet som kunne tillate tjenestenekt (ressursutmattelse og programkrasj) ved bruk av xmllint verktøyet under noen sjeldne omstendigheter, når et program kaller xmlCatalogXMLResolveURI funksjonen når en XML mappe inneholder en URI oppføring som refererer til seg selv, ved behandling av XML mapper med gjentatte nextCatalog elementer som peker til den samme nedstrømsmappen, ved parsing av XSL noder, og ved bruk av RelaxNG parseren til å inkludere eksterne skjemaer. Oppdater til libxml2-2.15.2. 13.0-005
nfs-utils
13.0 007 nfs-utils Dato: 09.06.2026 Alvorlighetsgrad: Medium
I nfs-utils-2.8.6 ble det rettet et sikkerhetsproblem som kunne tillate en NFSv3 klient å eskalere privilegier som var tildelt den i /etc/exports filen ved montering. Dette lar en klient få tilgang til enhver undermappe eller undertre i en eksportert mappe uavhengig av filtillatelser eller andre attributter som normalt forventes å gjelde for klienten. Dette påvirker primært servere som kjører NFS, men alle brukere bør oppdatere på grunn av andre feilrettinger i denne pakken. Oppdater til nfs-utils-2.8.6. 13.0-007
nghttp2
13.0 013 nghttp2 Dato: 21.03.2026 Alvorlighetsgrad: Høy
I nghttp2-1.68.1 ble et sikkerhetsproblem rettet som kunne tillate tjenestenekt via en påstandsfeil. Oppdater til nghttp2-1.68.1. 13.0-013
Node.js
13.0 030 Node.js Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Node.js-24.14.1 ble 8 sikkerhetsproblemer fikset som kunne tillate omgåelse av tillatelser, eksternt utnyttbar tjenestenekt (ressursutmattelse og applikasjonskrasj) og potensiell MAC forfalskning. Disse kan oppstå i en rekke situasjoner, inkludert når man behandler HTTP forespørsler, analyserer URL-er, utfører kryptografioperasjoner og får tilgang til filer på systemet. Merk at den potensielle MAC forfalskningssårbarheten oppstår på grunn av et problem med timing sidekanalen. Oppdater til Node.js-24.14.1. 13.0-030.
OpenSSH
13.0 032 OpenSSH Dato: 03.04.2026 Alvorlighetsgrad: Høy
I OpenSSH-10.3p1 ble fem sikkerhetsproblemer rettet som kunne tillate upassende samsvar mellom authorized_keys filen under noen sjeldne omstendigheter, at nedlastinger fra SCP installeres med SUID/SGID i noen situasjoner, at uventet kommandoutførelse skjer via skall metategn i et brukernavn, at OpenSSH bruker utilsiktede ECSDA algoritmer, og at OpenSSH utelater bekreftelse av tilkoblingsmultipleksing for multipleksingsøkter i proxy modus. De fleste av disse sårbarhetene er avhengige av ikke-standard konfigurasjoner eller spesifikke handlinger. Hvis du har endret standard BLFS konfigurasjon for OpenSSH, bør du lese den konsoliderte veiledningen for å sikre at du ikke er berørt. Hvis du er berørt, oppdater til OpenSSH-10.3p1. Det er ingen grunn til å oppgradere hvis du ikke er berørt. 13.0-032
pytest
13.0 035 pytest Dato: 08.04.2026 Alvorlighetsgrad: Medium
I pytest-9.0.3 ble et sikkerhetsproblem rettet som kunne tillate tjenestenekt (programkrasj) eller muligens eskalering av rettigheter. Dette skyldes usikker bruk av midlertidige mapper, der tidligere versjoner tillot alle brukere å skrive til katalogen /tmp/pytest-of-${USER}. Merk at dette bare ville kunne utnyttes lokalt oppstrøms, og kan bare utnyttes mens en testpakke kjører. Oppdater til pytest-9.0.3. 13.0-035
Python
13.0 022 Python (LFS og BLFS) Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Python-3.14.3 ble det funnet tre sikkerhetsproblemer som kunne tillate tjenestenektelse (programkrasj), tillate kontrolltegn i HTTP informasjonskapsler, og tillate Python å ved et uhell sende uventede alternativer til nettlesere. Gjenoppbygg Python med sikkerhetsoppdateringen. BLFS 12.4 brukere kan trygt bruke oppdateringen mot Python 3.13 med merknaden om at en ny testfeil vil oppstå på grunn av at testen er avhengig av et nyere test API fra Python 3.14. 13.0-022
QtWebEngine
13.0 026 QtWebEngine Dato: 01.04.2026 Alvorlighetsgrad: Kritisk
I QtWebEngine-6.11.0 ble 47 sikkerhetsproblemer fikset. Disse kunne tillate ekstern kjøring av kode, objektkorrupsjon, avsløring av sensitiv informasjon, datautvinning på tvers av opprinnelse, sandkasserømming, at ondsinnede utvidelser injiserer skript eller HTML på privilegerte sider, at retningslinjeomgåelser med samme opprinnelse og at navigasjonsbegrensninger omgås. To av disse sårbarhetene er kjent for å bli aktivt utnyttet av en trusselaktør, og det anbefales derfor at du oppdaterer til Qt6 og QtWebEngine 6.11.0 umiddelbart. 13.0-026
requests
13.0 017 requests Dato: 26.03.2026 Alvorlighetsgrad: Medium
I requests-2.33.0 ble det rettet et sikkerhetsproblem som kunne tillate en lokal angriper med skrivetilgang til /tmp å forhåndsopprette en skadelig fil som ville bli lastet inn i stedet for en legitim fil. Dette påvirker bare requests.utils.extract_zipped_paths() verktøyfunksjonen, og ikke standardbruken av requests biblioteket. Bare applikasjoner som bruker denne funksjonen direkte påvirkes, og ingen i BLFS bruker den for øyeblikket. Men hvis du har tredjepartsmoduler installert som kan bruke forespørsler, bør du oppdatere til requests-2.33.0 når det passer deg. 13.0-017
Spidermonkey
13.0 028 Spidermonkey Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Spidermonkey fra Firefox-140.9.0esr ble fire sikkerhetsproblemer rettet som kunne føre til vilkårlig kodekjøring, tjenestenekt eller uventet oppførsel. Disse problemene er et resultat av JIT feilkompilering, bruk-etter-fri problemer, bruk av uinitialisert minne og feil grensebetingelser. Oppdater til Spidermonkey-140.9.0. 13.0-028
systemd
13.0 008 systemd (LFS og BLFS) Dato: 21.03.2026 Alvorlighetsgrad: Medium
I systemd-259.5 ble et sikkerhetsproblem rettet som kunne tillate lokal privilegieeskalering. Dette sikkerhetsproblemet ble funnet i systemd-machined, som kan utløses av en vanlig bruker som er logget inn i et grafisk miljø og som kan eskalere til rotbrukeren via et IPC kall. Oppdater til systemd-259.5. 13.0-008
Thunderbird
13.0 029 Thunderbird Dato: 01.04.2026 Alvorlighetsgrad: Høy
I Thunderbird-140.9.0esr ble 40 sikkerhetsproblemer fikset som kunne tillate vilkårlig kodekjøring, ekstern kodekjøring, sandkasserømming, tjenestenektelse (programkrasj og ressursutmattelse), udefinert oppførsel, omgåelser av begrensninger, UI forfalskning, avsløring av sensitive data og eskalering av rettigheter. Alle brukere som har Thunderbird installert oppfordres til å oppdatere umiddelbart, spesielt på grunn av sandkasserømming sårbarhetene som deretter forsterker virkningene av de andre sårbarhetene. Merk at to problemer her også er Thunderbird spesifikke, særlig et UI forfalskningssårbarhet og avsløring av sensitive data ved tilkobling til en ondsinnet IMAP server. Oppdater til Thunderbird-140.9.0esr. 13.0-029
vim
13.0 025 vim (LFS og BLFS) Dato: 01.04.2026 Alvorlighetsgrad: Kritisk
I vim-9.2.0272 ble et sikkerhetsproblem rettet som kunne tillate vilkårlig OS kommandoinjeksjon ved lasting av en håndlaget fil. Merk at filen bare trenger å lastes inn av VIM, en bruker trenger ikke å redigere den eller utføre noen spesielle kommandoer for at sårbarheten skal utløses. Alle brukere bør oppdatere til vim-9.2.0272 umiddelbart, spesielt hvis de regelmessig ser kildekode eller andre filer fra upålitelige eller eksterne kilder. 13.0-025
WebKitGTK
13.0 015 WebKitGTK Dato: 26.03.2026 Alvorlighetsgrad: Kritisk
I WebKitGTK-2.52.0 ble åtte sikkerhetsproblemer rettet som kunne tillate operasjoner etter frigjøring, intern applikasjonstilstandsavsløring, eksterne og lokale tjenestenektangrep og brukersporing. Oppdater til WebKitGTK-2.52.0. 13.0-015
Wireshark
13.0 006 Wireshark Dato: 08.03.2026 Alvorlighetsgrad: Medium
I Wireshark-4.6.4 ble tre sikkerhetsproblemer rettet som kunne tillate tjenestenekt (minneutmattelse og eksternt utnyttbar krasj) ved disseksjon av USB HID pakker, RF4CE profilpakker eller NTS-KE pakker. Brukere som bruker Wireshark, men ikke driver et nettverk med NTS-KE eller RF4CE profilpakker, eller som ikke bruker USB HID dissektoren, trenger ikke å oppgradere. Men hvis du er på et nettverk der disse pakketypene er i bruk, eller bruker Wireshark til å dissekere USB HID trafikk, bør du oppdatere Wireshark hvis du opplever krasj. Oppdater til Wireshark-4.6.4. 13.0-006