ALT-BU-2022-4486-1
Branch sisyphus update bulletin.
Package update-kernel updated to version 0.9.21-alt1 for branch sisyphus in task 297599.
Closed bugs
update-kernel: ошибочно пишет, что установлено самое свежее ядро
Package dotnet-bootstrap-3.1 updated to version 3.1.23-alt1 for branch sisyphus in task 297729.
Closed vulnerabilities
BDU:2021-01775
Уязвимость алгоритма сжатия данных Brotli, связанная с недостатком механизма проверки размера копируемых данных, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании
BDU:2022-05515
Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы Microsoft.NET Framework, связанная c некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2022-05516
Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы Microsoft.NET Framework, связанная с копированием буфера без проверки размера входных данных, позволяющая нарушителю выполнить произвольный код
Modified: 2024-11-21
CVE-2020-8927
A buffer overflow exists in the Brotli library versions prior to 1.0.8 where an attacker controlling the input length of a "one-shot" decompression request to a script can trigger a crash, which happens when copying over chunks of data larger than 2 GiB. It is recommended to update your Brotli library to 1.0.8 or later. If one cannot update, we recommend to use the "streaming" API as opposed to the "one-shot" API, and impose chunk size limits.
- openSUSE-SU-2020:1578
- openSUSE-SU-2020:1578
- https://github.com/google/brotli/releases/tag/v1.0.9
- https://github.com/google/brotli/releases/tag/v1.0.9
- [debian-lts-announce] 20201201 [SECURITY] [DLA 2476-1] brotli security update
- [debian-lts-announce] 20201201 [SECURITY] [DLA 2476-1] brotli security update
- FEDORA-2020-c76a35b209
- FEDORA-2020-c76a35b209
- FEDORA-2022-d28042f559
- FEDORA-2022-d28042f559
- FEDORA-2020-e21bd401ad
- FEDORA-2020-e21bd401ad
- FEDORA-2020-bc9a739f0c
- FEDORA-2020-bc9a739f0c
- FEDORA-2020-22d278923a
- FEDORA-2020-22d278923a
- FEDORA-2022-5ecee47acb
- FEDORA-2022-5ecee47acb
- FEDORA-2020-9336b65f82
- FEDORA-2020-9336b65f82
- FEDORA-2020-c663fbc46c
- FEDORA-2020-c663fbc46c
- FEDORA-2022-9e046f579a
- FEDORA-2022-9e046f579a
- USN-4568-1
- USN-4568-1
- DSA-4801
- DSA-4801
Modified: 2024-11-21
CVE-2022-24464
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2024-11-21
CVE-2022-24512
.NET and Visual Studio Remote Code Execution Vulnerability
Package dotnet-coreclr-3.1 updated to version 3.1.23-alt1 for branch sisyphus in task 297729.
Closed vulnerabilities
BDU:2021-01775
Уязвимость алгоритма сжатия данных Brotli, связанная с недостатком механизма проверки размера копируемых данных, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании
BDU:2022-05515
Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы Microsoft.NET Framework, связанная c некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2022-05516
Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы Microsoft.NET Framework, связанная с копированием буфера без проверки размера входных данных, позволяющая нарушителю выполнить произвольный код
Modified: 2024-11-21
CVE-2020-8927
A buffer overflow exists in the Brotli library versions prior to 1.0.8 where an attacker controlling the input length of a "one-shot" decompression request to a script can trigger a crash, which happens when copying over chunks of data larger than 2 GiB. It is recommended to update your Brotli library to 1.0.8 or later. If one cannot update, we recommend to use the "streaming" API as opposed to the "one-shot" API, and impose chunk size limits.
- openSUSE-SU-2020:1578
- openSUSE-SU-2020:1578
- https://github.com/google/brotli/releases/tag/v1.0.9
- https://github.com/google/brotli/releases/tag/v1.0.9
- [debian-lts-announce] 20201201 [SECURITY] [DLA 2476-1] brotli security update
- [debian-lts-announce] 20201201 [SECURITY] [DLA 2476-1] brotli security update
- FEDORA-2020-c76a35b209
- FEDORA-2020-c76a35b209
- FEDORA-2022-d28042f559
- FEDORA-2022-d28042f559
- FEDORA-2020-e21bd401ad
- FEDORA-2020-e21bd401ad
- FEDORA-2020-bc9a739f0c
- FEDORA-2020-bc9a739f0c
- FEDORA-2020-22d278923a
- FEDORA-2020-22d278923a
- FEDORA-2022-5ecee47acb
- FEDORA-2022-5ecee47acb
- FEDORA-2020-9336b65f82
- FEDORA-2020-9336b65f82
- FEDORA-2020-c663fbc46c
- FEDORA-2020-c663fbc46c
- FEDORA-2022-9e046f579a
- FEDORA-2022-9e046f579a
- USN-4568-1
- USN-4568-1
- DSA-4801
- DSA-4801
Modified: 2024-11-21
CVE-2022-24464
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2024-11-21
CVE-2022-24512
.NET and Visual Studio Remote Code Execution Vulnerability
Package powershell updated to version 7.2.2-alt1 for branch sisyphus in task 297755.
Closed vulnerabilities
BDU:2021-01775
Уязвимость алгоритма сжатия данных Brotli, связанная с недостатком механизма проверки размера копируемых данных, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании
BDU:2022-05516
Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы Microsoft.NET Framework, связанная с копированием буфера без проверки размера входных данных, позволяющая нарушителю выполнить произвольный код
Modified: 2024-11-21
CVE-2020-8927
A buffer overflow exists in the Brotli library versions prior to 1.0.8 where an attacker controlling the input length of a "one-shot" decompression request to a script can trigger a crash, which happens when copying over chunks of data larger than 2 GiB. It is recommended to update your Brotli library to 1.0.8 or later. If one cannot update, we recommend to use the "streaming" API as opposed to the "one-shot" API, and impose chunk size limits.
- openSUSE-SU-2020:1578
- openSUSE-SU-2020:1578
- https://github.com/google/brotli/releases/tag/v1.0.9
- https://github.com/google/brotli/releases/tag/v1.0.9
- [debian-lts-announce] 20201201 [SECURITY] [DLA 2476-1] brotli security update
- [debian-lts-announce] 20201201 [SECURITY] [DLA 2476-1] brotli security update
- FEDORA-2020-c76a35b209
- FEDORA-2020-c76a35b209
- FEDORA-2022-d28042f559
- FEDORA-2022-d28042f559
- FEDORA-2020-e21bd401ad
- FEDORA-2020-e21bd401ad
- FEDORA-2020-bc9a739f0c
- FEDORA-2020-bc9a739f0c
- FEDORA-2020-22d278923a
- FEDORA-2020-22d278923a
- FEDORA-2022-5ecee47acb
- FEDORA-2022-5ecee47acb
- FEDORA-2020-9336b65f82
- FEDORA-2020-9336b65f82
- FEDORA-2020-c663fbc46c
- FEDORA-2020-c663fbc46c
- FEDORA-2022-9e046f579a
- FEDORA-2022-9e046f579a
- USN-4568-1
- USN-4568-1
- DSA-4801
- DSA-4801
Modified: 2024-11-21
CVE-2022-24512
.NET and Visual Studio Remote Code Execution Vulnerability
Package kernel-image-std-kvm updated to version 5.10.109-alt1 for branch sisyphus in task 297798.
Closed vulnerabilities
BDU:2022-01597
Уязвимость компонента watch_queue ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код с привилегиями root
BDU:2022-02968
Уязвимость функции rtrs_clt_dev_release (drivers/infiniband/ulp/rtrs/rtrs-clt.c) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
Modified: 2024-11-21
CVE-2022-0995
An out-of-bounds (OOB) memory write flaw was found in the Linux kernel’s watch_queue event notification subsystem. This flaw can overwrite parts of the kernel state, potentially allowing a local user to gain privileged access or cause a denial of service on the system.
- http://packetstormsecurity.com/files/166770/Linux-watch_queue-Filter-Out-Of-Bounds-Write.html
- http://packetstormsecurity.com/files/166770/Linux-watch_queue-Filter-Out-Of-Bounds-Write.html
- http://packetstormsecurity.com/files/166815/Watch-Queue-Out-Of-Bounds-Write.html
- http://packetstormsecurity.com/files/166815/Watch-Queue-Out-Of-Bounds-Write.html
- https://bugzilla.redhat.com/show_bug.cgi?id=2063786
- https://bugzilla.redhat.com/show_bug.cgi?id=2063786
- https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=93ce93587d36493f2f86921fa79921b3cba63fbb
- https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=93ce93587d36493f2f86921fa79921b3cba63fbb
- https://security.netapp.com/advisory/ntap-20220429-0001/
- https://security.netapp.com/advisory/ntap-20220429-0001/
Modified: 2024-11-21
CVE-2022-29156
drivers/infiniband/ulp/rtrs/rtrs-clt.c in the Linux kernel before 5.16.12 has a double free related to rtrs_clt_dev_release.
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.12
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.12
- https://github.com/torvalds/linux/commit/8700af2cc18c919b2a83e74e0479038fd113c15d
- https://github.com/torvalds/linux/commit/8700af2cc18c919b2a83e74e0479038fd113c15d
- https://security.netapp.com/advisory/ntap-20220602-0002/
- https://security.netapp.com/advisory/ntap-20220602-0002/
Package fonts-otf-philosopher updated to version 1.000-alt3 for branch sisyphus in task 297810.
Closed bugs
fonts-otf-philosopher: устаревшие макросы %post(un)_fonts.
Package python3-module-celery updated to version 5.2.3-alt1 for branch sisyphus in task 297807.
Closed vulnerabilities
Modified: 2024-11-21
CVE-2021-23727
This affects the package celery before 5.2.2. It by default trusts the messages and metadata stored in backends (result stores). When reading task metadata from the backend, the data is deserialized. Given that an attacker can gain access to, or somehow manipulate the metadata within a celery backend, they could trigger a stored command injection vulnerability and potentially gain further access to the system.