ALT-BU-2024-13603-1
Branch p10 update bulletin.
Package dotnet-bootstrap-8.0 updated to version 8.0.8-alt1 for branch p10 in task 357648.
Closed vulnerabilities
BDU:2024-01980
Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы .NET, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-02190
Уязвимость реализации сетевого протокола QUIC операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-03190
Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с использованием памяти после её освобождения, позволяющая нарушителю выполнить произвольный код
BDU:2024-03967
Уязвимость программных платформ Microsoft .NET и средств разработки программного обеспечения Microsoft Visual Studio, вызванная ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-03969
Уязвимость программных платформ Microsoft .NET и средств разработки программного обеспечения Microsoft Visual Studio, связанная с переполнением буфера в куче, позволяющая нарушителю выполнить произвольный код
BDU:2024-05254
Уязвимость метода JsonSerializer.DeserializeAsyncEnumerable библиотеки System.Text.Json программной платформы Microsoft .NET и средства разработки программного обеспечения Microsoft Visual Studio, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-05713
Уязвимость программной платформы .NET и средства разработки программного обеспечения Microsoft Visual Studio, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-06413
Уязвимость платформа для разработки .NET средства разработки программного обеспечения Microsoft Visual Studio, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-06427
Уязвимость платформа для разработки .NET средства разработки программного обеспечения Microsoft Visual Studio, позволяющая нарушителю вызвать отказ в обслуживании
Modified: 2024-11-29
CVE-2024-21392
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2025-01-17
CVE-2024-21409
.NET, .NET Framework, and Visual Studio Remote Code Execution Vulnerability
Modified: 2024-12-27
CVE-2024-26190
Microsoft QUIC Denial of Service Vulnerability
Modified: 2025-01-08
CVE-2024-30045
.NET and Visual Studio Remote Code Execution Vulnerability
Modified: 2025-01-08
CVE-2024-30046
Visual Studio Denial of Service Vulnerability
Modified: 2024-11-21
CVE-2024-30105
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2024-11-21
CVE-2024-35264
.NET and Visual Studio Remote Code Execution Vulnerability
Modified: 2024-11-21
CVE-2024-38095
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2024-08-16
CVE-2024-38167
.NET and Visual Studio Information Disclosure Vulnerability
Modified: 2024-08-16
CVE-2024-38168
.NET and Visual Studio Denial of Service Vulnerability
Package dotnet-bootstrap-7.0 updated to version 7.0.20-alt1 for branch p10 in task 357648.
Closed vulnerabilities
BDU:2024-00281
Уязвимость библиотек Microsoft.Data.Sqlclient (MDS) и System.Data.Sqlclient (SDS) программных платформ Microsoft .NET Framework и .NET, связанная с ошибками в настройках безопасности, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку типа «человек посередине»
BDU:2024-00337
Уязвимость программной платформы Microsoft .NET, связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-00402
Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с ошибками в настройках безопасности, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2024-00642
Уязвимость библиотеки Microsoft Identity программной платформы Microsoft .NET, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01701
Уязвимость программной платформы Microsoft .NET, связанная с ошибками разыменования указателей, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01702
Уязвимость программной платформы Microsoft .NET, связанная с ошибками разыменования указателей, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01980
Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы .NET, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-02190
Уязвимость реализации сетевого протокола QUIC операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-03190
Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с использованием памяти после её освобождения, позволяющая нарушителю выполнить произвольный код
BDU:2024-03967
Уязвимость программных платформ Microsoft .NET и средств разработки программного обеспечения Microsoft Visual Studio, вызванная ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-03969
Уязвимость программных платформ Microsoft .NET и средств разработки программного обеспечения Microsoft Visual Studio, связанная с переполнением буфера в куче, позволяющая нарушителю выполнить произвольный код
Modified: 2024-11-21
CVE-2024-0056
Microsoft.Data.SqlClient and System.Data.SqlClient SQL Data Provider Security Feature Bypass Vulnerability
Modified: 2024-11-21
CVE-2024-0057
NET, .NET Framework, and Visual Studio Security Feature Bypass Vulnerability
Modified: 2025-03-28
CVE-2024-20672
.NET Denial of Service Vulnerability
Modified: 2024-11-21
CVE-2024-21319
Microsoft Identity Denial of service vulnerability
Modified: 2024-11-21
CVE-2024-21386
.NET Denial of Service Vulnerability
Modified: 2024-11-29
CVE-2024-21392
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2024-11-21
CVE-2024-21404
.NET Denial of Service Vulnerability
Modified: 2025-01-17
CVE-2024-21409
.NET, .NET Framework, and Visual Studio Remote Code Execution Vulnerability
Modified: 2024-12-27
CVE-2024-26190
Microsoft QUIC Denial of Service Vulnerability
Modified: 2025-01-08
CVE-2024-30045
.NET and Visual Studio Remote Code Execution Vulnerability
Modified: 2025-01-08
CVE-2024-30046
Visual Studio Denial of Service Vulnerability
Package dotnet-runtime-7.0 updated to version 7.0.20-alt1 for branch p10 in task 357648.
Closed vulnerabilities
BDU:2024-00281
Уязвимость библиотек Microsoft.Data.Sqlclient (MDS) и System.Data.Sqlclient (SDS) программных платформ Microsoft .NET Framework и .NET, связанная с ошибками в настройках безопасности, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку типа «человек посередине»
BDU:2024-00337
Уязвимость программной платформы Microsoft .NET, связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-00402
Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с ошибками в настройках безопасности, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2024-00642
Уязвимость библиотеки Microsoft Identity программной платформы Microsoft .NET, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01701
Уязвимость программной платформы Microsoft .NET, связанная с ошибками разыменования указателей, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01702
Уязвимость программной платформы Microsoft .NET, связанная с ошибками разыменования указателей, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01980
Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы .NET, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-02190
Уязвимость реализации сетевого протокола QUIC операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-03190
Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с использованием памяти после её освобождения, позволяющая нарушителю выполнить произвольный код
BDU:2024-03967
Уязвимость программных платформ Microsoft .NET и средств разработки программного обеспечения Microsoft Visual Studio, вызванная ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-03969
Уязвимость программных платформ Microsoft .NET и средств разработки программного обеспечения Microsoft Visual Studio, связанная с переполнением буфера в куче, позволяющая нарушителю выполнить произвольный код
Modified: 2024-11-21
CVE-2024-0056
Microsoft.Data.SqlClient and System.Data.SqlClient SQL Data Provider Security Feature Bypass Vulnerability
Modified: 2024-11-21
CVE-2024-0057
NET, .NET Framework, and Visual Studio Security Feature Bypass Vulnerability
Modified: 2025-03-28
CVE-2024-20672
.NET Denial of Service Vulnerability
Modified: 2024-11-21
CVE-2024-21319
Microsoft Identity Denial of service vulnerability
Modified: 2024-11-21
CVE-2024-21386
.NET Denial of Service Vulnerability
Modified: 2024-11-29
CVE-2024-21392
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2024-11-21
CVE-2024-21404
.NET Denial of Service Vulnerability
Modified: 2025-01-17
CVE-2024-21409
.NET, .NET Framework, and Visual Studio Remote Code Execution Vulnerability
Modified: 2024-12-27
CVE-2024-26190
Microsoft QUIC Denial of Service Vulnerability
Modified: 2025-01-08
CVE-2024-30045
.NET and Visual Studio Remote Code Execution Vulnerability
Modified: 2025-01-08
CVE-2024-30046
Visual Studio Denial of Service Vulnerability
Package dotnet-runtime-8.0 updated to version 8.0.8-alt1 for branch p10 in task 357648.
Closed vulnerabilities
BDU:2024-03190
Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с использованием памяти после её освобождения, позволяющая нарушителю выполнить произвольный код
BDU:2024-03967
Уязвимость программных платформ Microsoft .NET и средств разработки программного обеспечения Microsoft Visual Studio, вызванная ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-03969
Уязвимость программных платформ Microsoft .NET и средств разработки программного обеспечения Microsoft Visual Studio, связанная с переполнением буфера в куче, позволяющая нарушителю выполнить произвольный код
BDU:2024-05713
Уязвимость программной платформы .NET и средства разработки программного обеспечения Microsoft Visual Studio, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-06413
Уязвимость платформа для разработки .NET средства разработки программного обеспечения Microsoft Visual Studio, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-06427
Уязвимость платформа для разработки .NET средства разработки программного обеспечения Microsoft Visual Studio, позволяющая нарушителю вызвать отказ в обслуживании
Modified: 2025-01-17
CVE-2024-21409
.NET, .NET Framework, and Visual Studio Remote Code Execution Vulnerability
Modified: 2025-01-08
CVE-2024-30045
.NET and Visual Studio Remote Code Execution Vulnerability
Modified: 2025-01-08
CVE-2024-30046
Visual Studio Denial of Service Vulnerability
Modified: 2024-11-21
CVE-2024-35264
.NET and Visual Studio Remote Code Execution Vulnerability
Modified: 2024-11-21
CVE-2024-38095
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2024-08-16
CVE-2024-38167
.NET and Visual Studio Information Disclosure Vulnerability
Modified: 2024-08-16
CVE-2024-38168
.NET and Visual Studio Denial of Service Vulnerability
Package dotnet-sdk-8.0 updated to version 8.0.108-alt1 for branch p10 in task 357648.
Closed vulnerabilities
BDU:2024-05713
Уязвимость программной платформы .NET и средства разработки программного обеспечения Microsoft Visual Studio, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-06413
Уязвимость платформа для разработки .NET средства разработки программного обеспечения Microsoft Visual Studio, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-06427
Уязвимость платформа для разработки .NET средства разработки программного обеспечения Microsoft Visual Studio, позволяющая нарушителю вызвать отказ в обслуживании
Modified: 2024-11-21
CVE-2024-35264
.NET and Visual Studio Remote Code Execution Vulnerability
Modified: 2024-11-21
CVE-2024-38095
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2024-08-16
CVE-2024-38167
.NET and Visual Studio Information Disclosure Vulnerability
Modified: 2024-08-16
CVE-2024-38168
.NET and Visual Studio Denial of Service Vulnerability
Closed vulnerabilities
Modified: 2024-11-21
CVE-2023-46121
yt-dlp is a youtube-dl fork with additional features and fixes. The Generic Extractor in yt-dlp is vulnerable to an attacker setting an arbitrary proxy for a request to an arbitrary url, allowing the attacker to MITM the request made from yt-dlp's HTTP session. This could lead to cookie exfiltration in some cases. Version 2023.11.14 removed the ability to smuggle `http_headers` to the Generic extractor, as well as other extractors that use the same pattern. Users are advised to upgrade. Users unable to upgrade should disable the Ggneric extractor (or only pass trusted sites with trusted content) and ake caution when using `--no-check-certificate`.
- https://github.com/yt-dlp/yt-dlp/commit/f04b5bedad7b281bee9814686bba1762bae092eb
- https://github.com/yt-dlp/yt-dlp/commit/f04b5bedad7b281bee9814686bba1762bae092eb
- https://github.com/yt-dlp/yt-dlp/releases/tag/2023.11.14
- https://github.com/yt-dlp/yt-dlp/releases/tag/2023.11.14
- https://github.com/yt-dlp/yt-dlp/security/advisories/GHSA-3ch3-jhc6-5r8x
- https://github.com/yt-dlp/yt-dlp/security/advisories/GHSA-3ch3-jhc6-5r8x
Closed vulnerabilities
BDU:2024-06669
Уязвимость файла orcparse.c библиотеки для компиляции и выполнения программ, которые работают с массивами данных GStreamer ORC, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании
Modified: 2024-11-21
CVE-2024-40897
Stack-based buffer overflow vulnerability exists in orcparse.c of ORC versions prior to 0.4.39. If a developer is tricked to process a specially crafted file with the affected ORC compiler, an arbitrary code may be executed on the developer's build environment. This may lead to compromise of developer machines or CI build environments.
- http://www.openwall.com/lists/oss-security/2024/07/26/1
- http://www.openwall.com/lists/oss-security/2024/07/26/1
- https://github.com/GStreamer/orc
- https://github.com/GStreamer/orc
- https://gstreamer.freedesktop.org/modules/orc.html
- https://gstreamer.freedesktop.org/modules/orc.html
- https://jvn.jp/en/jp/JVN02030803/
- https://jvn.jp/en/jp/JVN02030803/