Обновление системы безопасности deepin  (CVE-2017-12134 &CVE-2017-12153 &CVE-2017-12154 …&CVE-2017-1000252)

Обновление системы безопасности deepin (CVE-2017-12134 &CVE-2017-12153 &CVE-2017-12154 …&CVE-2017-1000252)

Обновления безопасности systemd и ядра Linux. Информация о Уязвимостях CVE-2017-12134 —Обновления Системы Безопасности Сведения о базе данных безопасности: Функция xen_biovec_phys_mergeable в драйверах / xen / biomerge.c в Xen может позволить локальным пользователям гостевой ОС повреждать потоки данных блочных устройств и, следовательно, получать конфиденциальную информацию о памяти, вызывать отказ в обслуживании или получать привилегии хост-ОС за счет использования некорректного слияния блоков IO, CVE-2017-12153 —Обновления Системы Безопасности Сведения о базе данных безопасности: В функции nl80211_set_rekey_data () в net / wireless / nl80211.c в ядре Linux обнаружен дефект безопасности в 4.13.3. Эта функция не проверяет наличие необходимых атрибутов в запросе Netlink. Этот запрос может быть выдан пользователем с возможностями CAP_NET_ADMIN и может привести к постороннему указателю NULL и сбою системы. CVE-2017-12154 —Обновления Системы БезопасностиСведения о базе данных безопасности: Этот кандидат зарезервирован организацией или физическим лицом, которые будут использовать ее при объявлении новой проблемы безопасности. Когда кандидат будет опубликован, детали этого кандидата будут предоставлены. CVE-2017-14051 —Обновления Системы БезопасностиСведения о базе данных безопасности: Целочисленное переполнение функции qla2x00_sysfs_write_optrom_ctl в драйверах / scsi / qla2xxx / qla_attr.c в ядре Linux через 4.12.10 позволяет локальным пользователям вызывать отказ в обслуживании (повреждение памяти и сбой системы) за счет использования корневого доступа. CVE-2017-14140 —Обновления Системы БезопасностиСведения о базе данных безопасности: Системный вызов move_pages …Читать еще

Обновление системы безопасности Deepin ——Срочно исправлена уязвимость в безопасности BlueBorne CVE-2017-1000250 в Bluetooth реализации

Обновление системы безопасности Deepin ——Срочно исправлена уязвимость в безопасности BlueBorne CVE-2017-1000250 в Bluetooth реализации

В Armis Labs появился новый вектор атаки, угрожающий основным мобильным, настольным и IoT операционным системам, включая Android, iOS, Windows и Linux, а также устройства, использующие их. Новый вектор дублируется «BlueBorne», поскольку он распространяется по воздуху (бортовой) и атакует устройства через Bluetooth. Armis также раскрыл восемь связанных уязвимостей с нулевым днем, четыре из которых классифицируются как критические. BlueBorne позволяет злоумышленникам управлять устройствами, получать доступ к корпоративным данным и сетям, проникать в безопасные «воздушно-боковые» сети и распространять вредоносное ПО сбоку на соседние устройства. Армис сообщил об этих уязвимостях ответственным субъектам и работает с ними, так как исправления и идентификация исправляются.   Что такое BlueBorne? BlueBorne — это вектор атаки, с помощью которого хакеры могут использовать Bluetooth-соединения для проникновения и полного контроля над целевыми устройствами. BlueBorne влияет на обычные компьютеры, мобильные телефоны и расширяющееся пространство устройств IoT. Атака не требует, чтобы целевое устройство было сопряжено с устройством злоумышленника или даже было установлено в режиме обнаружения. На сегодняшний день Armis Labs определила восемь уязвимостей в течение дня, которые указывают на существование и потенциал вектора атаки. Армис считает, что многие другие уязвимости ждут обнаружения на разных платформах с использованием Bluetooth. Эти уязвимости полностью работоспособны и могут быть успешно использованы, как показано в наших исследованиях. Вектор …Читать еще

Обновления Системы Deepin (2017.09.15)

Обновления Системы Deepin (2017.09.15)

Обновлен PulseAudio до версии 10.0 Поддерживается больше аппаратных средств, теперь поддерживается аппаратное обеспечение AirPlay; Вновь вставленная звуковая карта USB или подключенное устройство Bluetooth, система теперь будет отдавать предпочтение выбору их по умолчанию без ручных настроек пользователями; Улучшенная функция памяти для конфигурации устройства с возможностью «горячей» замены; Поддерживается ядро GNU Hurd; Поддерживаются 32-разрядные приложения на 64-битной системе в padsp. Исправлены ошибки в системе и приложениях Глубокое обновление безопасности. Исправлена уязвимость протокола Bluetooth. BlueBorne (CVE-2017-1000250); Файл конфигурации Synaptics изменен на предыдущую версию, чтобы решить часть конкретной модели тачпада, которую использовать нельзя; Обновлен Firefox, Chrome, Opera соответствующий Flash-модуль до версии 27.0.0.130.

Обновления Системы Deepin (2017.09.13)

Обновления Системы Deepin (2017.09.13)

Обновлен flatpak до версии 0.9.7-1 Добавлен новый API для символ файла Добавлены требуемые версии libostree и bubblewrap Безопасность исправлена, чтобы заблокировать некоторые недопустимые разрешения на развертывание файлов Добавлены libglib2.0-doc и libostree-doc для Build-Depends-Indep, так что libflatpak-doc может перекрестно ссылаться на эти документы Добавлен патч для более тщательного теста изоляции для $ HOME Исправлены ошибки в системе и приложениях Исправлена ошибка, связанная с неправильным отображением значка метода ввода sogou, вызванного flatpak Исправлена ошибка, из-за которой сеть не может быть подключена, вызванная сетевым менеджером Исправлена проблема перевода в Deepin Image Viewer Исправлена ошибка, из-за которой истек срок действия товарного знака alibaba и не может быть обновлен

Обновления Системы Deepin (2017.09.08)

Обновления Системы Deepin (2017.09.08)

Обновления системы Обновления конфигурационных файлов Synaptics, в основном для решения проблем сенсорной панели Shiatsu и ладоней, улучшена работа сенсорной панели.   Обновление сетевого менеджера с 1.2.4 до версии 1.8.2, конкретный журнал изменений, см. https://cgit.freedesktop.org/NetworkManager/NetworkManager/tree/NEWS?h=1.8.2.   Wechat исправлена ошибка с черными блоками на рабочем столе.   Терминал Deepin обновлен до версии 2.6, см. Https://www.deepin.org/2017/09/08/deepin-terminal-v2-6-0-is-released/.

Deepin Security Update — Срочно исправлено плохое вступление Уязвимость для системы безопасности CVE-2017-11421 в файлах GNOME

Deepin Security Update — Срочно исправлено плохое вступление Уязвимость для системы безопасности CVE-2017-11421 в файлах GNOME

Обновления безопасности Bad Taste (gnome-exe-thumbnailer).   Информация об уязвимостях CVE-2017-11421 —Обновления Безопасности Сведения о базе данных безопасности: Gnome-exe-thumbnailer до 0.9.5 склонен к VBScript Injection при создании миниатюр для файлов MSI, а также проблема «Bad Taste». Существует локальная атака, если жертва использует файловый менеджер файлов GNOME и переходит в каталог, содержащий файл .msi с кодом VBScript в имени своего файла.   Статус Исправления Уязвимости безопасности gnome-exe-thumbnailer были исправлены в обновлениях обновлений 15.4.1 (20170727). Мы рекомендуем вам обновить систему, чтобы получить исправления для устранения уязвимостей.

Обновления Безопасности (DSA 3890-1 &DSA 3891-1 &DSA 3893-1 &DSA 3895-1&DSA 3896-1 &DSA 3898-1)

Обновления Безопасности (DSA 3890-1 &DSA 3891-1 &DSA 3893-1 &DSA 3895-1&DSA 3896-1 &DSA 3898-1)

Обновления безопасности spip, tomcat8, jython, flatpak, apache2 и expat. Информация о Уязвимостях DSA-3890-1 spip — Обновления Безопасности Сведения о базе данных безопасности: Emeric Boit из ANSSI сообщила, что SPIP, механизм веб-сайта для публикации, недостаточно очищает значение из поля заголовка HTTP с пересылкой-хостом. Неисправный злоумышленник может воспользоваться этим недостатком, чтобы вызвать удаленное выполнение кода.   DSA-3891-1 tomcat8 — Обновления Безопасности Сведения о базе данных безопасности: Aniket Nandkishor Kulkarni обнаружил, что в tomcat8, сервлет и JSP-движок, страницы статической ошибки использовали HTTP-метод исходного запроса для обслуживания контента вместо систематического использования метода GET. Это может при определенных условиях приводить к нежелательным результатам, включая замену или удаление страницы пользовательских ошибок.   DSA-3893-1 jython — Обновления Безопасности Сведения о базе данных безопасности: Альваро Муньос и Кристиан Шнайдер обнаружили, что jython, реализация языка Python, полностью интегрированная с Java, подвержена произвольному выполнению кода, вызванному при отправке сериализованной функции в десериализатор.   DSA-3895-1 flatpak — Обновления Безопасности Сведения о базе данных безопасности: Было обнаружено, что Flatpak, инфраструктура развертывания приложений для настольных приложений, недостаточно ограничивает файловые разрешения в сторонних репозиториях, что может привести к эскалации привилегий.   DSA-3896-1 apache2 — Обновления Безопасности Сведения о базе данных безопасности: На Apache HTTPD-сервере обнаружено несколько уязвимостей. CVE-2017-3167: Emmanuel Dreyfus reported that the use of …Читать еще

Обновления Безопасности (DSA 3761-1 &DSA 3762-1 &DSA 3764-1… &DSA 3840-1)

Обновления Безопасности (DSA 3761-1 &DSA 3762-1 &DSA 3764-1… &DSA 3840-1)

Обновления безопасности для rabbitmq-server, tiff, pdns, mapserver, libphp-swiftmailer, libxpm, openssl, lcms2, tcpdump, libgd2, wordpress, ntfs-3g, svgsalamander, viewvc, libevent, spice, libreoffice, munin, bind9, apache2, mupdf, libquicktime, ruby-zip, zabbix, texlive-base, icoutils, chromium-browser, wireshark, ioquake3, r-base, audiofile, wordpress, jbig2dec, gst-plugins-bad1.0, gst-plugins-base1.0, gst-plugins-good1.0, gst-plugins-ugly1.0, gstreamer1.0, eject, jhead, tryton-server, libreoffice, mysql-connector-java. Информация об уязвимости DSA-3761-1 rabbitmq-server —Security Updates Сведения о базе данных безопасности: Было обнаружено, что RabbitMQ, реализация протокола AMQP, неправильно проверила аутентификацию соединения MQTT (MQ Telemetry Transport). Это позволило любому пользователю войти в существующую учетную запись пользователя без необходимости предоставления пароля.   DSA-3762-1 tiff —Security Updates Сведения о базе данных безопасности: В библиотеке libtiff обнаружены многочисленные уязвимости и включены инструменты tiff2rgba, rgb2ycbcr, tiffcp, tiffcrop, tiff2pdf и tiffsplit, что может привести к отказу в обслуживании, раскрытию информации о памяти или выполнению произвольного кода.   DSA-3764-1 pdns —Security Updates Сведения о базе данных безопасности: В pdns, авторитетном DNS-сервере обнаружено множество уязвимостей. Проект Common Vulnerabilities and Exposures идентифицирует следующие проблемы: CVE-2016-2120: Матье Лафон обнаружил, что pdns неправильно проверяет записи в зонах. Авторизованный пользователь может воспользоваться этим недостатком для аварийного сервера, вставив специально созданную запись в зону под их контролем, а затем отправив DNS-запрос для этой записи.1 CVE-2016-7068: Флориан Хайнц и Мартин Клюге сообщили, что pdns анализирует все записи, присутствующие в запросе, независимо от того, являются ли они необходимыми или даже законными, позволяя удаленному, не прошедшему проверку подлинности злоумышленнику вызвать ненормальную загрузку процессора на сервере pdns, в результате чего В частичном отказе в обслуживании, если система перегружена. CVE-2016-7072: Mongo …Читать еще