ALT-BU-2024-6046-1
Branch sisyphus update bulletin.
Closed bugs
/sbin/ifup is a broken symlink to /etc on merged-usr
Package dotnet-bootstrap-8.0 updated to version 8.0.3-alt1 for branch sisyphus in task 344433.
Closed vulnerabilities
BDU:2024-01980
Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы .NET, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-02190
Уязвимость реализации сетевого протокола QUIC операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании
Modified: 2024-11-29
CVE-2024-21392
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2024-12-27
CVE-2024-26190
Microsoft QUIC Denial of Service Vulnerability
Package libnghttp2 updated to version 1.61.0-alt1 for branch sisyphus in task 344450.
Closed vulnerabilities
Modified: 2024-11-21
CVE-2024-28182
nghttp2 is an implementation of the Hypertext Transfer Protocol version 2 in C. The nghttp2 library prior to version 1.61.0 keeps reading the unbounded number of HTTP/2 CONTINUATION frames even after a stream is reset to keep HPACK context in sync. This causes excessive CPU usage to decode HPACK stream. nghttp2 v1.61.0 mitigates this vulnerability by limiting the number of CONTINUATION frames it accepts per stream. There is no workaround for this vulnerability.
- http://www.openwall.com/lists/oss-security/2024/04/03/16
- http://www.openwall.com/lists/oss-security/2024/04/03/16
- https://github.com/nghttp2/nghttp2/commit/00201ecd8f982da3b67d4f6868af72a1b03b14e0
- https://github.com/nghttp2/nghttp2/commit/00201ecd8f982da3b67d4f6868af72a1b03b14e0
- https://github.com/nghttp2/nghttp2/commit/d71a4668c6bead55805d18810d633fbb98315af9
- https://github.com/nghttp2/nghttp2/commit/d71a4668c6bead55805d18810d633fbb98315af9
- https://github.com/nghttp2/nghttp2/security/advisories/GHSA-x6x3-gv8h-m57q
- https://github.com/nghttp2/nghttp2/security/advisories/GHSA-x6x3-gv8h-m57q
- https://lists.debian.org/debian-lts-announce/2024/04/msg00026.html
- https://lists.debian.org/debian-lts-announce/2024/04/msg00026.html
- https://lists.debian.org/debian-lts-announce/2024/09/msg00041.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AGOME6ZXJG7664IPQNVE3DL67E3YP3HY/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AGOME6ZXJG7664IPQNVE3DL67E3YP3HY/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J6ZMXUGB66VAXDW5J6QSTHM5ET25FGSA/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J6ZMXUGB66VAXDW5J6QSTHM5ET25FGSA/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PXJO2EASHM2OQQLGVDY5ZSO7UVDVHTDK/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PXJO2EASHM2OQQLGVDY5ZSO7UVDVHTDK/
Closed vulnerabilities
Modified: 2024-11-21
CVE-2023-38709
Faulty input validation in the core of Apache allows malicious or exploitable backend/content generators to split HTTP responses. This issue affects Apache HTTP Server: through 2.4.58.
- http://seclists.org/fulldisclosure/2024/Jul/18
- http://seclists.org/fulldisclosure/2024/Jul/18
- http://www.openwall.com/lists/oss-security/2024/04/04/3
- http://www.openwall.com/lists/oss-security/2024/04/04/3
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://lists.debian.org/debian-lts-announce/2024/05/msg00013.html
- https://lists.debian.org/debian-lts-announce/2024/05/msg00013.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I2N2NZEX3MR64IWSGL3QGN7KSRUGAEMF/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I2N2NZEX3MR64IWSGL3QGN7KSRUGAEMF/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LX5U34KYGDYPRH3AJ6MDDCBJDWDPXNVJ/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LX5U34KYGDYPRH3AJ6MDDCBJDWDPXNVJ/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WNV4SZAPVS43DZWNFU7XBYYOZEZMI4ZC/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WNV4SZAPVS43DZWNFU7XBYYOZEZMI4ZC/
- https://security.netapp.com/advisory/ntap-20240415-0013/
- https://security.netapp.com/advisory/ntap-20240415-0013/
- https://support.apple.com/kb/HT214119
- https://support.apple.com/kb/HT214119
Modified: 2024-11-21
CVE-2024-24795
HTTP Response splitting in multiple modules in Apache HTTP Server allows an attacker that can inject malicious response headers into backend applications to cause an HTTP desynchronization attack. Users are recommended to upgrade to version 2.4.59, which fixes this issue.
- http://seclists.org/fulldisclosure/2024/Jul/18
- http://www.openwall.com/lists/oss-security/2024/04/04/5
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://lists.debian.org/debian-lts-announce/2024/05/msg00013.html
- https://lists.debian.org/debian-lts-announce/2024/05/msg00014.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I2N2NZEX3MR64IWSGL3QGN7KSRUGAEMF/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LX5U34KYGDYPRH3AJ6MDDCBJDWDPXNVJ/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WNV4SZAPVS43DZWNFU7XBYYOZEZMI4ZC/
- https://security.netapp.com/advisory/ntap-20240415-0013/
- https://support.apple.com/kb/HT214119
Modified: 2024-11-21
CVE-2024-27316
HTTP/2 incoming headers exceeding the limit are temporarily buffered in nghttp2 in order to generate an informative HTTP 413 response. If a client does not stop sending headers, this leads to memory exhaustion.
- http://seclists.org/fulldisclosure/2024/Jul/18
- http://seclists.org/fulldisclosure/2024/Jul/18
- http://www.openwall.com/lists/oss-security/2024/04/04/4
- http://www.openwall.com/lists/oss-security/2024/04/04/4
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://support.apple.com/kb/HT214119
- https://support.apple.com/kb/HT214119
- https://www.openwall.com/lists/oss-security/2024/04/03/16
- https://www.openwall.com/lists/oss-security/2024/04/03/16
Package kde5-kompare updated to version 23.08.5-alt2 for branch sisyphus in task 344462.
Closed bugs
kde5-kompare - невозможно найти документацию из меню настроек приложения
Package dotnet-bootstrap-7.0 updated to version 7.0.17-alt1 for branch sisyphus in task 344471.
Closed vulnerabilities
BDU:2024-00281
Уязвимость библиотек Microsoft.Data.Sqlclient (MDS) и System.Data.Sqlclient (SDS) программных платформ Microsoft .NET Framework и .NET, связанная с ошибками в настройках безопасности, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку типа «человек посередине»
BDU:2024-00402
Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с ошибками в настройках безопасности, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2024-00642
Уязвимость библиотеки Microsoft Identity программной платформы Microsoft .NET, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01701
Уязвимость программной платформы Microsoft .NET, связанная с ошибками разыменования указателей, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01702
Уязвимость программной платформы Microsoft .NET, связанная с ошибками разыменования указателей, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01980
Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы .NET, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-02190
Уязвимость реализации сетевого протокола QUIC операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании
Modified: 2024-11-21
CVE-2024-0056
Microsoft.Data.SqlClient and System.Data.SqlClient SQL Data Provider Security Feature Bypass Vulnerability
Modified: 2024-11-21
CVE-2024-0057
NET, .NET Framework, and Visual Studio Security Feature Bypass Vulnerability
Modified: 2024-11-21
CVE-2024-21319
Microsoft Identity Denial of service vulnerability
Modified: 2024-11-21
CVE-2024-21386
.NET Denial of Service Vulnerability
Modified: 2024-11-29
CVE-2024-21392
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2024-11-21
CVE-2024-21404
.NET Denial of Service Vulnerability
Modified: 2024-12-27
CVE-2024-26190
Microsoft QUIC Denial of Service Vulnerability
Package python3-module-pyudev updated to version 0.24.1-alt2 for branch sisyphus in task 344474.
Closed bugs
Зависимость от pyside6
Package kernel-image-mp updated to version 6.8.4-alt1 for branch sisyphus in task 344472.
Closed vulnerabilities
BDU:2024-01034
Уязвимость модуля net/bluetooth/af_bluetooth.c драйвера bluetooth ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код
Modified: 2024-11-21
CVE-2024-21803
Use After Free vulnerability in Linux Linux kernel kernel on Linux, x86, ARM (bluetooth modules) allows Local Execution of Code. This vulnerability is associated with program files https://gitee.Com/anolis/cloud-kernel/blob/devel-5.10/net/bluetooth/af_bluetooth.C. This issue affects Linux kernel: from v2.6.12-rc2 before v6.8-rc1.
Closed bugs
Не запускается.
Package btrfs-progs updated to version 6.8-alt2 for branch sisyphus in task 344487.
Closed bugs
ошибка: распаковка архива
Package alterator-net-eth updated to version 5.2.8-alt1 for branch sisyphus in task 344493.
Closed bugs
Не перезапускаются сетевые интерфейсы после смены конфигурации
Отсутствует возможность выбора "Версии протокола IP" и включение интерфейса через acc
Package dotnet-runtime-7.0 updated to version 7.0.17-alt1 for branch sisyphus in task 344471.
Closed vulnerabilities
BDU:2024-00281
Уязвимость библиотек Microsoft.Data.Sqlclient (MDS) и System.Data.Sqlclient (SDS) программных платформ Microsoft .NET Framework и .NET, связанная с ошибками в настройках безопасности, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку типа «человек посередине»
BDU:2024-00402
Уязвимость программных платформ Microsoft .NET Framework, .NET и средства разработки программного обеспечения Microsoft Visual Studio, связанная с ошибками в настройках безопасности, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2024-00642
Уязвимость библиотеки Microsoft Identity программной платформы Microsoft .NET, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01701
Уязвимость программной платформы Microsoft .NET, связанная с ошибками разыменования указателей, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01702
Уязвимость программной платформы Microsoft .NET, связанная с ошибками разыменования указателей, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-01980
Уязвимость средства разработки программного обеспечения Microsoft Visual Studio и программной платформы .NET, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-02190
Уязвимость реализации сетевого протокола QUIC операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании
Modified: 2024-11-21
CVE-2024-0056
Microsoft.Data.SqlClient and System.Data.SqlClient SQL Data Provider Security Feature Bypass Vulnerability
Modified: 2024-11-21
CVE-2024-0057
NET, .NET Framework, and Visual Studio Security Feature Bypass Vulnerability
Modified: 2024-11-21
CVE-2024-21319
Microsoft Identity Denial of service vulnerability
Modified: 2024-11-21
CVE-2024-21386
.NET Denial of Service Vulnerability
Modified: 2024-11-29
CVE-2024-21392
.NET and Visual Studio Denial of Service Vulnerability
Modified: 2024-11-21
CVE-2024-21404
.NET Denial of Service Vulnerability
Modified: 2024-12-27
CVE-2024-26190
Microsoft QUIC Denial of Service Vulnerability