此次安全漏洞更新包括spip、tomcat8、jython、flatpak、apache2及expat更新。

漏洞概述

DSA-3890-1 spip — 安全更新

安全数据库详细信息：

spip是一个用于发布的网站引擎，被发现没有对X-Forwarded Host HTTP头域的值做足够的清理。未认证的远程攻击者可以利用这一个漏洞执行恶意代码。

 

DSA-3891-1 tomcat8 — 安全更新

安全数据库详细信息：

tomcat8是一个servlet和JSP引擎,静态错误页面使用原始请求的HTTP方法来提供内容，而不是系统地使用GET方法。这可能在某些情况下会导致不良结果，包括更换或删除自定义错误页面。

 

DSA-3893-1 jython — 安全更新

安全数据库详细信息：

jython是与Java无缝集成的Python语言的实现，当将序列化函数发送到解串器时，易于执行任意代码。

 

DSA-3895-1 flatpak — 安全更新

安全数据库详细信息：

Flatpak，一个桌面应用程序的应用程序部署框架不足以限制第三方存储库中的文件权限，这可能导致特权升级。

 

DSA-3896-1 apache2 — 安全更新

安全数据库详细信息：

Apache HTTPD服务器被发现了数个漏洞。

 

DSA-3898-1 expat — 安全更新

安全数据库详细信息：

expat是一个解析XML的C语言库，被发现了几个漏洞:

• CVE-2016-9063: 在解析XML的时候有一个整数溢出漏洞，攻击者可以利用它进行服务瘫痪攻击。
• CVE-2017-9233: 在解析一个异常XML文件时函数entityValueInitProcessor()有一个无限循环漏洞,攻击者可以利用这一点发起服务瘫痪攻击。

 

 

修复情况

spip的安全漏洞在3.1.4-3版本中进行了修复；

tomcat8的安全漏洞在8.5.14-2版本中进行了修复；

jython的安全漏洞在2.5.3-17版本中进行了修复；

flatpak的安全漏洞在0.8.7-1版本中进行了修复；

apache2的安全漏洞在2.4.25-4版本中进行了修复；

expat的安全漏洞在2.2.1-1版本中进行了修复。

请各位尽快更新系统以获取漏洞修复补丁。