ALT-BU-2021-4447-12
Branch p10 update bulletin.
Closed vulnerabilities
BDU:2022-02394
Уязвимость функции simplexml_load_file() интерпретатора PHP , позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Modified: 2024-11-21
CVE-2021-21707
In PHP versions 7.3.x below 7.3.33, 7.4.x below 7.4.26 and 8.0.x below 8.0.13, certain XML parsing functions, like simplexml_load_file(), URL-decode the filename passed to them. If that filename contains URL-encoded NUL character, this may cause the function to interpret this as the end of the filename, thus interpreting the filename differently from what the user intended, which may lead it to reading a different file than intended.
- https://bugs.php.net/bug.php?id=79971
- https://bugs.php.net/bug.php?id=79971
- [debian-lts-announce] 20221215 [SECURITY] [DLA 3243-1] php7.3 security update
- [debian-lts-announce] 20221215 [SECURITY] [DLA 3243-1] php7.3 security update
- https://security.netapp.com/advisory/ntap-20211223-0005/
- https://security.netapp.com/advisory/ntap-20211223-0005/
- DSA-5082
- DSA-5082
- https://www.tenable.com/security/tns-2022-09
- https://www.tenable.com/security/tns-2022-09
Closed bugs
Не отрисовываются графики
Package chromium-gost updated to version 96.0.4664.45-alt2.p10.1 for branch p10 in task 290499.
Closed vulnerabilities
BDU:2021-05226
Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
BDU:2021-05227
Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, позволяющая нарушителю получить доступ к системе
BDU:2021-05433
Уязвимость модуля отображения Blink браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
BDU:2021-05500
Уязвимость компонента входа в систему Sign-In браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
BDU:2021-05503
Уязвимость компонента Garbage Collection браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
BDU:2021-05504
Уязвимость компонента Web Transport браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
BDU:2021-05505
Уязвимость обработчика JavaScript-сценариев V8 браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
BDU:2021-05583
Уязвимость компонента storage foundation браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
BDU:2021-05584
Уязвимость компонента loader браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
BDU:2021-05589
Уязвимость компонента media браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
BDU:2021-05590
Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
BDU:2021-05591
Уязвимость компонента Garbage Collection браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
BDU:2021-05615
Уязвимость функции Автозаполнения Autofil браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-05637
Уязвимость реализации компонента «New Tab Page» («Новая вкладка») браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю выполнить произвольный код
BDU:2021-05839
Уязвимость компонента Swiftshader браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
BDU:2021-05870
Уязвимость компонента Contacts Picker браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
BDU:2021-06093
Уязвимость компонента Navigation браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2021-06094
Уязвимость реализации ввода текста браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2021-06131
Уязвимость реализации механизма CORS браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
BDU:2021-06138
Уязвимость компонента Referer браузера Google Chrome, связанная с неправильно реализованной проверкой безопасности для стандартных элементов, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2021-06262
Уязвимость изолированной среды iframe браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
BDU:2021-06420
Уязвимость функции фоновой загрузки браузера Google Chrome, позволяющая нарушителю обойти политику безопасности контента и получить несанкционированный доступ к защищаемой информации
BDU:2021-06423
Уязвимость функции загрузок браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2021-06425
Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2021-06429
Уязвимость набора инструментов для веб-разработки DevTools браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2021-06430
Уязвимость компонента для отображения веб-страниц WebView браузера Google Chrome, операционной системы Android, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2022-00030
Уязвимость обработчика JavaScript-сценариев V8 веб-браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-00043
Уязвимость службы Service Worker браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
BDU:2022-00045
Уязвимость обработчика PDF-содержимого PDFium браузеров Google Chrome и Microsoft Edge, связанная с использованием памяти после её освобождения, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2022-00046
Уязвимость компонента Profiles браузера Google Chrome, позволяющая нарушителю перенаправить пользователей на вредоносную веб-страницу
BDU:2022-00058
Уязвимость графической библиотеки Skia браузера Google Chrome, позволяющая нарушителю выйти из изолированной программной среды
BDU:2022-00061
Уязвимость компонента WebAudio браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности с помощью специально созданной HTML страницы
BDU:2022-00062
Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
BDU:2022-00063
Уязвимость обработчика PDF-содержимого PDFium браузера Google Chrome, позволяющая нарушителю вызвать переполнение буфера с помощью специально созданной HTML страницы
BDU:2022-00064
Уязвимость режима инкогнито браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2022-00066
Уязвимость настроек Settings браузера Google Chrome, позволяющая нарушителю вызвать переполнение буфера
BDU:2022-00067
Уязвимость компонента cache браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
BDU:2022-00068
Уязвимость компонента iFrame Sandbox браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2022-00071
Уязвимость установщика WebApp браузера Google Chrome , позволяющая нарушителю подделать содержимое адресной строки с помощью специально созданной HTML страницы
BDU:2022-00080
Уязвимость сетевых API браузера Google Chrome, связанная с использованием памяти после её освобождения, позволяющая нарушителю обойти существующие ограничения безопасности с помощью специально созданной HTML страницы
BDU:2022-00142
Уязвимость механизма аутентификации пользователей WebAuthentication браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-00158
Уязвимость реализации функции распознавания отпечатков пальцев браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
Modified: 2024-11-21
CVE-2021-37977
Use after free in Garbage Collection in Google Chrome prior to 94.0.4606.81 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37978
Heap buffer overflow in Blink in Google Chrome prior to 94.0.4606.81 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37979
heap buffer overflow in WebRTC in Google Chrome prior to 94.0.4606.81 allowed a remote attacker who convinced a user to browse to a malicious website to potentially exploit heap corruption via a crafted HTML page.
- https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop.html
- https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop.html
- https://crbug.com/1247260
- https://crbug.com/1247260
- FEDORA-2021-5093f11905
- FEDORA-2021-5093f11905
- DSA-5046
- DSA-5046
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2021-1372
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2021-1372
Modified: 2024-11-21
CVE-2021-37981
Heap buffer overflow in Skia in Google Chrome prior to 95.0.4638.54 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37982
Use after free in Incognito in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37983
Use after free in Dev Tools in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37984
Heap buffer overflow in PDFium in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37985
Use after free in V8 in Google Chrome prior to 95.0.4638.54 allowed a remote attacker who had convinced a user to allow for connection to debugger to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37986
Heap buffer overflow in Settings in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to engage with Dev Tools to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37987
Use after free in Network APIs in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37988
Use after free in Profiles in Google Chrome prior to 95.0.4638.54 allowed a remote attacker who convinced a user to engage in specific gestures to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37989
Inappropriate implementation in Blink in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to abuse content security policy via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37990
Inappropriate implementation in WebView in Google Chrome on Android prior to 95.0.4638.54 allowed a remote attacker to leak cross-origin data via a crafted app.
Modified: 2024-11-21
CVE-2021-37991
Race in V8 in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37992
Out of bounds read in WebAudio in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37993
Use after free in PDF Accessibility in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37994
Inappropriate implementation in iFrame Sandbox in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to bypass navigation restrictions via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37995
Inappropriate implementation in WebApp Installer in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially overlay and spoof the contents of the Omnibox (URL bar) via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37996
Insufficient validation of untrusted input Downloads in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to bypass navigation restrictions via a malicious file.
Modified: 2024-11-21
CVE-2021-37997
Use after free in Sign-In in Google Chrome prior to 95.0.4638.69 allowed a remote attacker who convinced a user to sign into Chrome to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37998
Use after free in Garbage Collection in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-37999
Insufficient data validation in New Tab Page in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to inject arbitrary scripts or HTML in a new browser tab via a crafted HTML page.
Modified: 2025-03-13
CVE-2021-38000
Insufficient validation of untrusted input in Intents in Google Chrome on Android prior to 95.0.4638.69 allowed a remote attacker to arbitrarily browser to a malicious URL via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38001
Type confusion in V8 in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38002
Use after free in Web Transport in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page.
Modified: 2025-02-05
CVE-2021-38003
Inappropriate implementation in V8 in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38004
Insufficient policy enforcement in Autofill in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to leak cross-origin data via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38005
Use after free in loader in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38006
Use after free in storage foundation in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38007
Type confusion in V8 in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38008
Use after free in media in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
- https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html
- https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html
- https://crbug.com/1263620
- https://crbug.com/1263620
- FEDORA-2021-6a292e2cf4
- FEDORA-2021-6a292e2cf4
- DSA-5046
- DSA-5046
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2021-1398
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2021-1398
Modified: 2024-11-21
CVE-2021-38009
Inappropriate implementation in cache in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to leak cross-origin data via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38010
Inappropriate implementation in service workers in Google Chrome prior to 96.0.4664.45 allowed a remote attacker who had compromised the renderer process to bypass site isolation via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38011
Use after free in storage foundation in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38012
Type confusion in V8 in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38013
Heap buffer overflow in fingerprint recognition in Google Chrome on ChromeOS prior to 96.0.4664.45 allowed a remote attacker who had compromised a WebUI renderer process to potentially perform a sandbox escape via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38014
Out of bounds write in Swiftshader in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38015
Inappropriate implementation in input in Google Chrome prior to 96.0.4664.45 allowed an attacker who convinced a user to install a malicious extension to bypass navigation restrictions via a crafted Chrome Extension.
Modified: 2024-11-21
CVE-2021-38016
Insufficient policy enforcement in background fetch in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to bypass same origin policy via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38017
Insufficient policy enforcement in iframe sandbox in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to bypass navigation restrictions via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38018
Inappropriate implementation in navigation in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to perform domain spoofing via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38019
Insufficient policy enforcement in CORS in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to leak cross-origin data via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38020
Insufficient policy enforcement in contacts picker in Google Chrome on Android prior to 96.0.4664.45 allowed a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38021
Inappropriate implementation in referrer in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to bypass navigation restrictions via a crafted HTML page.
Modified: 2024-11-21
CVE-2021-38022
Inappropriate implementation in WebAuthentication in Google Chrome prior to 96.0.4664.45 allowed a remote attacker to leak cross-origin data via a crafted HTML page.
Closed bugs
Некорректное отображение окна браузера на системе с xfce
Closed vulnerabilities
BDU:2022-02394
Уязвимость функции simplexml_load_file() интерпретатора PHP , позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Modified: 2024-11-21
CVE-2021-21707
In PHP versions 7.3.x below 7.3.33, 7.4.x below 7.4.26 and 8.0.x below 8.0.13, certain XML parsing functions, like simplexml_load_file(), URL-decode the filename passed to them. If that filename contains URL-encoded NUL character, this may cause the function to interpret this as the end of the filename, thus interpreting the filename differently from what the user intended, which may lead it to reading a different file than intended.
- https://bugs.php.net/bug.php?id=79971
- https://bugs.php.net/bug.php?id=79971
- [debian-lts-announce] 20221215 [SECURITY] [DLA 3243-1] php7.3 security update
- [debian-lts-announce] 20221215 [SECURITY] [DLA 3243-1] php7.3 security update
- https://security.netapp.com/advisory/ntap-20211223-0005/
- https://security.netapp.com/advisory/ntap-20211223-0005/
- DSA-5082
- DSA-5082
- https://www.tenable.com/security/tns-2022-09
- https://www.tenable.com/security/tns-2022-09