ALT-BU-2021-4718-1
Branch p10_e2k update bulletin.
Closed vulnerabilities
BDU:2021-03746
Уязвимость компонента encoding.c оконного менеджера GNU Screen, связанная с внедрением или модификацией аргумента, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Modified: 2024-11-21
CVE-2021-26937
encoding.c in GNU Screen through 4.8.0 allows remote attackers to cause a denial of service (invalid write access and application crash) or possibly have unspecified other impact via a crafted UTF-8 character sequence.
- [oss-security] 20210210 Re: screen crash processing combining characters
- [oss-security] 20210210 Re: screen crash processing combining characters
- https://ftp.gnu.org/gnu/screen/
- https://ftp.gnu.org/gnu/screen/
- [debian-lts-announce] 20210219 [SECURITY] [DLA 2570-1] screen security update
- [debian-lts-announce] 20210219 [SECURITY] [DLA 2570-1] screen security update
- FEDORA-2021-9107eeb95c
- FEDORA-2021-9107eeb95c
- FEDORA-2021-5e9894a0c5
- FEDORA-2021-5e9894a0c5
- https://lists.gnu.org/archive/html/screen-devel/2021-02/msg00000.html
- https://lists.gnu.org/archive/html/screen-devel/2021-02/msg00000.html
- GLSA-202105-11
- GLSA-202105-11
- DSA-4861
- DSA-4861
- https://www.openwall.com/lists/oss-security/2021/02/09/3
- https://www.openwall.com/lists/oss-security/2021/02/09/3
Closed vulnerabilities
BDU:2022-02263
Уязвимость инструмента мониторинга Glances, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Modified: 2024-11-21
CVE-2021-23418
The package glances before 3.2.1 are vulnerable to XML External Entity (XXE) Injection via the use of Fault to parse untrusted XML data, which is known to be vulnerable to XML attacks.
- https://github.com/nicolargo/glances/commit/4b87e979afdc06d98ed1b48da31e69eaa3a9fb94
- https://github.com/nicolargo/glances/commit/4b87e979afdc06d98ed1b48da31e69eaa3a9fb94
- https://github.com/nicolargo/glances/commit/85d5a6b4af31fcf785d5a61086cbbd166b40b07a
- https://github.com/nicolargo/glances/commit/85d5a6b4af31fcf785d5a61086cbbd166b40b07a
- https://github.com/nicolargo/glances/commit/9d6051be4a42f692392049fdbfc85d5dfa458b32
- https://github.com/nicolargo/glances/commit/9d6051be4a42f692392049fdbfc85d5dfa458b32
- https://github.com/nicolargo/glances/issues/1025
- https://github.com/nicolargo/glances/issues/1025
- https://snyk.io/vuln/SNYK-PYTHON-GLANCES-1311807
- https://snyk.io/vuln/SNYK-PYTHON-GLANCES-1311807
Closed bugs
Переместить из /usr/sbin/ в /usr/bin
Closed vulnerabilities
BDU:2022-00879
Уязвимость универсальной системы мониторинга Zabbix , связанная с ошибками авторизации, позволяющая нарушителю выполнить произвольный код с root-привилегиями
BDU:2023-01708
Уязвимость универсальной системы мониторинга Zabbix, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2023-01711
Уязвимость универсальной системы мониторинга Zabbix, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2023-01712
Уязвимость универсальной системы мониторинга Zabbix, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2023-01720
Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Modified: 2024-11-21
CVE-2021-46088
Zabbix 4.0 LTS, 4.2, 4.4, and 5.0 LTS is vulnerable to Remote Code Execution (RCE). Any user with the "Zabbix Admin" role is able to run custom shell script on the application server in the context of the application user.
Modified: 2024-11-21
CVE-2022-23132
During Zabbix installation from RPM, DAC_OVERRIDE SELinux capability is in use to access PID files in [/var/run/zabbix] folder. In this case, Zabbix Proxy or Server processes can bypass file read, write and execute permissions check on the file system level
Modified: 2024-11-21
CVE-2022-23133
An authenticated user can create a hosts group from the configuration with XSS payload, which will be available for other users. When XSS is stored by an authenticated malicious actor and other users try to search for groups during new host creation, the XSS payload will fire and the actor can steal session cookies and perform session hijacking to impersonate users or take over their accounts.
Modified: 2024-11-21
CVE-2022-35229
An authenticated user can create a link with reflected Javascript code inside it for the discovery page and send it to other users. The payload can be executed only with a known CSRF token value of the victim, which is changed periodically and is difficult to predict.
- [debian-lts-announce] 20230412 [SECURITY] [DLA 3390-1] zabbix security update
- [debian-lts-announce] 20230412 [SECURITY] [DLA 3390-1] zabbix security update
- [debian-lts-announce] 20230822 [SECURITY] [DLA 3538-1] zabbix security update
- [debian-lts-announce] 20230822 [SECURITY] [DLA 3538-1] zabbix security update
- https://support.zabbix.com/browse/ZBX-21306
- https://support.zabbix.com/browse/ZBX-21306
Modified: 2024-11-21
CVE-2022-35230
An authenticated user can create a link with reflected Javascript code inside it for the graphs page and send it to other users. The payload can be executed only with a known CSRF token value of the victim, which is changed periodically and is difficult to predict.
Closed bugs
Пакет Zabbix Agent 2
Недостающая зависимость