Atualizações de Segurança do deepin (CVE-2017-12134 &CVE-2017-12153 &CVE-2017-12154 …&CVE-2017-1000252)

Atualizações de Segurança do deepin (CVE-2017-12134 &CVE-2017-12153 &CVE-2017-12154 …&CVE-2017-1000252)

As atualizações de segurança de sistemas e do kernel linux. Informações de vulnerabilidade CVE-2017-12134 —Atualizações de Segurança Detalhes sobre a segurança da base de dados: A função xen_biovec_phys_mergeable em drivers/xen/biomerge.c no Xen pode permitir que os usuários visitantes do SO local corrompam os fluxos de dados do dispositivo de bloqueio e conseqüentemente, obtenham informações de memória sensíveis, causando uma negação de serviço, ou obtendo privilégios de host no SO ao alavancar o bloqueio incorreto de cálculo da E/S merge-ability (mesclagem). CVE-2017-12153 —Atualizações de Segurança Detalhes sobre a segurança da base de dados: Uma falha de segurança foi descoberta na função nl80211_set_rekey_data() em net/wireless/nl80211.c no através do kernel do Linux 4.13.3. Esta função não verifica se os atributos necessários estão presentes em uma solicitação Netlink. Essa solicitação pode ser emitida por um usuário com o recurso CAP_NET_ADMIN e pode resultar em uma contemplação do ponteiro NULO e causar falha do sistema. CVE-2017-12154 —Atualizações de SegurançaDetalhes sobre a segurança da base de dados: Este requerente foi reservado por uma organização ou indivíduo que o usará ao anunciar um novo problema de segurança. Quando o requerente for divulgado, os detalhes para este requerente serão fornecidos. CVE-2017-14051 —Atualizações de Segurança Detalhes sobre a segurança da base de ...Read more

Atualização da segurança Deepin——Vulnerabilidade da segurança do BlueBorne corrigida de forma urgente CVE-2017-1000250 nas implementações Bluetooth

Atualização da segurança Deepin——Vulnerabilidade da segurança do BlueBorne corrigida de forma urgente CVE-2017-1000250 nas implementações Bluetooth

O Armis Labs revelou uma nova vulnerabilidade de ataque que põe em risco os principais sistemas operacionais móveis, desktop e IoT, incluindo Android, iOS, Windows e Linux, e os dispositivos que os utilizam. A nova vulnerabilidade é apelidado de "BlueBorne", e o ataque é realizado via dispositivos Bluetooth. Armis também revelou oito vulnerabilidades relacionadas com dia zero, quatro das quais classificadas como críticas. O BlueBorne permite que os invasores assumam o controle de dispositivos, acessem dados corporativos e redes, penetrem em redes seguras e espalhem malware para dispositivos adjacentes. A Armis relatou essas vulnerabilidades aos responsáveis e está trabalhando com eles para identificar e divulgar as correções.   O que é o BlueBorne? BlueBorne é uma vulnerabilidade de ataque pelo qual os hackers podem aproveitar as conexões Bluetooth para penetrar e controlar completamente os dispositivos direcionados. O BlueBorne afeta computadores comuns, telefones celulares e o domínio em expansão dos dispositivos IoT. O ataque não exige que o dispositivo segmentado esteja emparelhado com o dispositivo do invasor, ou mesmo esteja configurado no modo detectável. Armis Labs identificou oito vulnerabilidades de dia zero até agora. A Armis acredita que existe outras vulnerabilidades nas várias plataformas usando o Bluetooth. Essas vulnerabilidades são totalmente ...Read more

Atualizações de segurança (DSA 3890-1 &DSA 3891-1 &DSA 3893-1 &DSA 3895-1&DSA 3896-1 &DSA 3898-1)

Atualizações de segurança (DSA 3890-1 &DSA 3891-1 &DSA 3893-1 &DSA 3895-1&DSA 3896-1 &DSA 3898-1)

As atualizações de segurança do spip, tomcat8, jython, flatpak, apache2 e expat. Informação de vulnerabilidade DSA-3890-1 spip — Atualizações de segurança Detalhes do bando de dados de segurança: Emeric Boit da ANSSI informou que o SPIP, um mecanismo de site para publicação, limpou insuficientemente o valor do campo de cabeçalho HTTP X-Forwarded-Host. Um invasor não autenticado pode aproveitar esta falha para causar a execução remota de código.   DSA-3891-1 tomcat8 — Atualizações de segurança Detalhes do bando de dados de segurança: Aniket Nandkishor Kulkarni descobriu que no tomcat8, o servlet e o JSP Engine, páginas de erro estático usavam o método HTTP do pedido original para servir conteúdo, em vez de usar sistematicamente o método GET. Isso pode, em determinadas condições, resultar em indesejáveis resultados, incluindo a substituição ou remoção da página de erro personalizada.   DSA-3893-1 jython — Atualizações de segurança Detalhes do bando de dados de segurança: Alvaro Munoz e Christian Schneider descobriram jython, uma implementação da linguagem Python perfeitamente integrada com Java, é propenso a execução de código arbitrário desencadeada quando enviado uma função serializada para o deserializador.   DSA-3895-1 flatpak — Atualizações de segurança Detalhes do bando de dados de segurança: Descobriu-se que o Flatpak, um framework ...Read more

Atualizações de Segurança(DSA 3786-1 &DSA 3799-1 &DSA 3808-1... &DSA 3885-1)

Atualizações de Segurança(DSA 3786-1 &DSA 3799-1 &DSA 3808-1... &DSA 3885-1)

As atualizações de segurança de vim, imagemagick, imagemagick, icu, firefox-esr, weechat, ghostscript, libxstream-java, tomcat7, tomcat8, tiff, libtirpc, libytnef, xen, git, kde4libs, rtmpdump, bitlbee, bind9, jbig2dec, deluge, mysql-connector-java, puppet, imagemagick, fop, mosquitto, strongswan, sudo, openldap, tnef, wordpress, perl, ettercap, libmwaw, otrs2, tor, zziplib, libosip2, libgcrypt20, firefox-esr, request-tracker4, gnutls28, irssi. Informação de Vulnerabilidade DSA-3786-1 vim —Atualizações de Segurança Detalhes do banco de dados de segurança: Editor ortográfico arquivos passados para o vim (Vi IMproved) editor pode resultar em um estouro inteiro na alocação de memória e um estouro de buffer poderia resultar na execução de código malicioso ou negação de serviço.   DSA-3799-1 imagemagick —Atualizações de Segurança Detalhes do banco de dados de segurança: Esta atualização corrige várias vulnerabilidades no imagemagick: vários problemas de manipulação de memória e casos de falta ou incompleta desinfecção, podem resultar em negação de serviço ou a execução de código malicioso se os arquivos TIFF, WPG, IPL, MPC ou PSB contaminados forem processados.   DSA-3808-1 imagemagick —Atualizações de Segurança Detalhes do banco de dados de segurança: Esta atualização corrige várias vulnerabilidades no imagemagick: vários problemas de manipulação de memória e casos de falta ou incompleta desinfecção, podem resultar em negação de serviço ou a execução de código malicioso se os arquivos ...Read more

Atualizações de Segurança (DSA 3761-1 &DSA 3762-1 &DSA 3764-1... &DSA 3840-1)

Atualizações de Segurança (DSA 3761-1 &DSA 3762-1 &DSA 3764-1... &DSA 3840-1)

As atualizações de segurança de rabbitmq-server, tiff, pdns, mapserver, libphp-swiftmailer, libxpm, openssl, lcms2, tcpdump, libgd2, wordpress, ntfs-3g, svgsalamander, viewvc, libevent, spice, libreoffice, munin, bind9, apache2, mupdf, libquicktime, ruby-zip, zabbix, texlive-base, icoutils, chromium-browser, wireshark, ioquake3, r-base, audiofile, wordpress, jbig2dec, gst-plugins-bad1.0, gst-plugins-base1.0, gst-plugins-good1.0, gst-plugins-ugly1.0, gstreamer1.0, eject, jhead, tryton-server, libreoffice, mysql-connector-java. Informação de vulnerabilidade DSA-3761-1 rabbitmq-server —Atualizações de Segurança Detalhes do banco de dados de segurança: Descobriu-se que o RabbitMQ, uma implementação do protocolo AMQP, não validava corretamente a autenticação de conexão MQTT (MQ Telemetry Transport). Isso permitia que qualquer pessoa iniciasse sessão em uma conta de usuário existente sem ter que fornecer uma senha.   DSA-3762-1 tiff —Atualizações de Segurança Detalhes do banco de dados de segurança: Múltiplas vulnerabilidades foram descobertas na biblioteca libtiff e as ferramentas inclusas tiff2rgba, rgb2ycbcr, tiffcp, tiffcrop, tiff2pdf e tiffsplit, que podem resultar em negação de serviço, exposição da memória ou execução de código arbitrário.   DSA-3764-1 pdns —Atualizações de Segurança Detalhes do banco de dados de segurança: Múltiplas vulnerabilidades foram encontradas em pdns, um servidor DNS confiável. O projeto Common Vulnerabilities and Exposures identificou os seguintes problemas: CVE-2016-2120: Mathieu Lafon descobriu que o pdns não valida adequadamente registros em zonas. Um usuário autorizado pode aproveitar esta falha para bloquear o servidor, inserindo um registro especialmente criado em uma zona sob seu controle e depois enviando uma consulta DNS para esse registro. CVE-2016-7068: Florian Heinz e Martin Kluge relataram que o pdns analisa todos os registros presentes ...Read more

Atualizações de Segurança do Samba (DSA 3860-1)

Atualizações de Segurança do Samba (DSA 3860-1)

Visão geral da vulnerabilidade DSA-3860-1 smba — Atualização de Segurança Informação do banco de dados de segurança: CVE-2017-7494 steelo descobriu uma vulnerabilidade no código de execução no Samba, um arquivo do SMB/CIFS e no servidor de login do Unix. Um cliente mal intencionado e com acesso de escrita aos compartilhamentos do servidor (shares), poderia tomar vantagem dessa falha, fazendo o upload de uma biblioteca compartilhada e então fazer com que o servidor carregasse e executasse essa biblioteca.   Status de correção Os problemas do samba foram corrigidos na versão 2:4.5.8+dfsg-2 Atualize para a versão mais recente do deepin para obter esses patches.