Обзор исправлений сторонних компаний — ноябрь 2019 г.

Разумеется, ноябрь принес и свою долю случаев утечки данных, заражения вирусами и обнаружения новых уязвимостей. Google сообщил об уязвимости (теперь она уже устранена), из-за которой сторонние приложения получили доступ к приложению камеры на телефонах с Android, Лейбористская партия Великобритании сообщила о совершенной на ее сервера многоуровневой кибер-атаке, а титул «вирус месяца» портал securityboulevard.com присудил трояну Zeus или Zbot.

Но есть и хорошие новости: поставщики программного обеспечения начеку и оперативно реагируют на все новые уязвимости, обнаруженные в их коде. В суетный праздничный сезон, когда люди отдыхают от работы и расслабляются, специалисты по безопасности и реагированию на инциденты неустанно работают над исправлениями, которые помогут защитить ваши системы и мобильные устройства от

хакеров и вирусных атак.

Давайте посмотрим, какие исправления вышли в прошлом месяце.

Apple

Для Apple ноябрь оказался простым месяцем. Выпустив целых 19девятнадцать исправлений в октябре, компания предложила всего два обновления безопасности, и ни в одном из них не публикуются CVE.

В ноябре вышли следующие исправления:

iOS 13.2.3 и iPadOS 13.2.3 для iPhone 6s и более поздних моделей, iPad Air 2 и более поздних моделей, iPad mini 4 и более поздних моделей, а также для iPod touch 7-го поколения (выпущены 18-гоноября).

iOS 13.2.2 и iPadOS 13.2.2 для iPhone 6s и более поздних моделей, iPad Air 2 и более поздних моделей, iPad mini 4 и более поздних моделей, а также для iPod touch 7-го поколения (выпущены 7-го ноября).

На веб-сайте обновлений Apple нет подробной информации о том, какие проблемы призваны решить эти два обновления. По словам Forbes, исправления в новых версиях призваны улучшить функцию поиска, отображение фотографий и других вложений в приложении Messages, исправить проблему, связанную с работой процессов в фоновом режиме, а также проблему в работе приложения Mail, связанную с учетными записями Exchange.

Дополнительную информацию о текущих и прошлых пакетах исправлений, а также о том, какие уязвимости ими устранены, можно найти на сайте поддержки Apple: https://support.apple.com/en-us/HT201222.

Adobe

Компания Adobe выпустила четыре обновления в этом месяце, ровно столько же, сколько и в октябре. Все они увидели свет 12-го ноября, согласно стандартному расписанию выпуска обновлений Adobe (каждый второй вторник). Среди них:

Обновление безопасности APSB19-53 для Adobe Bridge CC — это обновление с приоритетом 3 для приложения Adobe Bridge CC, которое выполняется в ОС Windows и MacOS. Оно призвано устранить две уязвимости, связанные с повреждением памяти, которые могут стать причиной раскрытия конфиденциальной информации (относятся к категории важных).

Обновление безопасности APSB19-52 для Adobe Media Encoder — обновление с приоритетом 3 для приложения Adobe Media Encoder 13.1 и более ранних версий, выполняемого в ОС Windows и MacOs. Оно призвано устранить четыре проблемы, связанныех с недопустимым чтением, которые могут привести к раскрытию конфиденциальной информации (относятся к категории важных), а также одну критическую уязвимость, связанную с недопустимой записью, которую злоумышленники могут использовать для выполнения произвольного кода.

Обновление безопасности APSB19-36 для Adobe Illustrator CC — обновление с приоритетом 3 для приложения Illustrator CC 2019 версии 23.1 и более ранних версий, выполняемых в ОС Windows. Оно призвано устранить уязвимость, связанную с небезопасной загрузкой библиотек (захват DLL), с помощью которой злоумышленники могут повышать уровень прав (относится к категории важных), а также две уязвимости, связанные с повреждением памяти, которые злоумышленники могут использовать для выполнения произвольного кода (относится к категории критических).

Обновление безопасности APSB19-34 для Adobe Animate CC — обновление с приоритетом 3 для приложения Animate CC 2019 версии 19.2.1 и более ранних версий, выполняемых в ОС Windows. Оно призвано устранить уязвимость, связанную с небезопасной загрузкой библиотек (захват DLL), с помощью которой злоумышленник может повысить уровень прав (относится к категории важных).

Дополнительную информацию можно найти в бюллетене по безопасности:
https://helpx.adobe.com/security.html.

Google

18 ноября Google выпустила обновление стабильной версии браузера Chrome для настольных систем (Windows, Mac и Linux), версия 78.0.3904.108. Оно призвано устранить пять уязвимостей, включая две, отнесенные к категории уязвимостей с высокой степенью серьезности:

• уязвимость, связанная с использованием освобожденной памяти в Bluetooth;
• проблема, связанная с недопустимым чтением в Bluetooth.

19 ноября Google выпустила обновление стабильной версии для Chrome OS под номером 78.0.3904.106, которое предназначено для большинства устройств Chrome OS и содержит ряд исправлений и обновлений безопасности.

Для получения дополнительной информации посетите сайт https://chromereleases.googleblog.com/.

Android

4 ноября Google выпустила ноябрьский бюллетень безопасности для Android, в котором содержатся исправления для уязвимостей в следующих компонентах:

• Framework (самые серьезные из уязвимостей могут запускать локальные вредоносные приложения для обхода требований в отношении взаимодействия с пользователями, чтобы получить доступ к повышенным правам).;
• Библиотека (злоумышленник может использовать эти уязвимости для удаленного запуска произвольного кода в контексте непривилегированного процесса).;
• Media Framework (самые серьезные из уязвимостей могут запускать вредоносные приложения для обхода требований в отношении взаимодействия с пользователями, чтобы получить доступ к повышенным правам).;
• Система (уязвимости с самым высоким уровнем серьезности, используя которые, злоумышленник может удаленно запускать произвольный код).

Все указанные выше уязвимости относятся к классу уязвимостей с высоким уровнем серьезности, кроме тех, которые дают возможность удаленно выполнять код в системе, — они отнесены к категории критических.

Дополнительную информацию об уязвимостях, устраненных с помощью обновлений Android, можно найти здесь: https://source.android.com/security/bulletin/2019-11-01.

Oracle

Oracle, как правило, выпускает обновления безопасности раз в квартал — в январе, апреле, июле и октябре. Выпуск следующего обновления запланирован на 14-е января 2020 г.

Клиенты Oracle могут получить дополнительную информацию о выпущенных обновлениях в кратком обзоре на сайте службы поддержки Oracle: https://login.oracle.com/mysso/signon.jsp.

Mozilla

Mozilla выпустила Firefox 70 22-го октября, а выход Firefox 71 запланирован на 3-е декабря. В ноябре обновлений для Firefox не выпускалось.

Дополнительную информацию об этих и других уязвимостях, исправленных Mozilla, можно найти здесь: https://www.mozilla.org/en-US/security/advisories/.

Linux

Как обычно, в этом месяце вышли очередные инструкции по безопасности и обновления популярных дистрибутивов Linux. С момента прошлого обзора и до 31 октября разработчики Ubuntu выпустили 47сорок семь инструкций по безопасности. Некоторые из этих инструкций относятся к большому количеству уязвимостей. В других случаях для устранения одной и той же уязвимости выпущено несколько инструкций по безопасности. Аналогичное количество обновлений выпустили другие поставщики коммерческих продуктов Linux.

• USN-4204-1 : уязвимость psutil. Рикардо Скироне (Riccardo Schirone) обнаружил, что psutil некорректно обрабатывает некоторые операции подсчета ссылок. Злоумышленник мог воспользоваться этим, вызывая сбой psutil с последующим отказом в обслуживании или выполнением произвольного кода. 28 ноября 2019 г.
• USN-4203-2: уязвимость NSS. Обновление USN-4203-1 исправило уязвимость в NSS. Данная инструкция включает соответствующее обновление для Ubuntu 12.04 ESM и Ubuntu 14.04 ESM. Далее следует исходная инструкция по безопасности. Обнаружилось, что NSS неправильно обрабатывает некоторые операции в памяти. Злоумышленник мог воспользоваться этим удаленно, вызывая сбой NSS с последующим отказом в обслуживании или выполнением произвольного кода. 27 ноября 2019 г.
• USN-4203-1 : уязвимость NSS. Обнаружилось, что NSS неправильно обрабатывает некоторые операции в памяти. Злоумышленник мог воспользоваться этим удаленно, вызывая сбой NSS с последующим отказом в обслуживании или выполнением произвольного кода. 27 ноября 2019 г.
• USN-4202-1: уязвимости Thunderbird. Обнаружилось, что специально созданное сообщение S/MIME, в котором есть внутренний уровень шифрования, в отдельных случаях отображается с валидной подписью, даже если подписавший его пользователь не имел доступа к зашифрованному сообщению. Злоумышленники могли использовать эту уязвимость для спуфинга автора сообщения. 26 ноября 2019 г.
• USN-4201-1 : уязвимости Ruby. Выяснилось, что в Ruby неправильно обрабатывались некоторые файлы. Злоумышленники могли использовать эту уязвимость для передачи данных о сопоставлении путей для получения несанкционированного доступа (CVE-2019-15845). Обнаружилось, что в Ruby неправильно обрабатывались отдельные регулярные выражения. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании. 26 ноября 2019 г.
• USN-4200-1 : уязвимости Redmine. Выяснилось, что в Redmine некорректно обрабатываются некоторые входные данные, что приводит к ошибкам форматирования Textile. Злоумышленники могли использовать эту проблему для организации XSS-атаки (CVE-2019-17427). Выяснилось, что при вводе SQL пользователи могут получить доступ к защищенной информации посредством сформированного запроса объектов. 26 ноября 2019 г.
• USN-4199-1 : уязвимости libvpx. Выяснилось, что в libvpx некорректно обрабатываются мультимедийные файлы WebM неправильного формата. Если приложение, которое использует libvpx, открывает специальным образом сформированный файл WebM, злоумышленник может удаленно организовать отказ в обслуживании и даже выполнить произвольный код. 25 ноября 2019 г.
• USN-4189-2 : регрессия DPDK. Обновление USN-4189-1 устраняет уязвимость в DPDK. В новой версии проявилась регрессия в отдельных средах. Данное обновление исправляет эту проблему. Далее следует исходная инструкция по безопасности. Джейсон Ван (Jason Wang) обнаружил, что некоторые сообщения в DPDK обрабатываются некорректно. Злоумышленник, используя вредоносный контейнер, может воспользоваться этой уязвимостью, чтобы организовать утечку данных из DPDK. 25 ноября 2019 г.
• USN-4198-1 : уязвимости DjVuLibre. Обнаружилось, что DjVuLibre неправильно обрабатывает некоторые операции в памяти. Если пользователя или автоматизированную систему обманным путем заставили взаимодействовать со специально сформированным файлом DjVu, злоумышленник может вызвать зависание или сбой в работе приложения, что приведет к отказу в обслуживании, или выполнить произвольный код. 21 ноября 2019 г.
• USN-4197-1 : уязвимость Bind. Выяснилось, что Bind некорректно обрабатывает отдельные конвейерные запросы по TCP. Злоумышленник может использовать эту уязвимость, чтобы вынудить Bind интенсивно потреблять ресурсы, что приведет к отказу в обслуживании. 21 ноября 2019 г.
• USN-4195-2: уязвимости MariaDB. Обновление USN-4195-1 устраняет ряд уязвимостей в MySQL. В этом обновлении содержатся соответствующие исправления для CVE-2019-2974 в MariaDB 10.1 и CVE-2019-2938, CVE-2019-2974 для MariaDB 10.3. Ubuntu 18.04 LTS обновлен до версии MariaDB 10.1.43. Ubuntu 19.04 и 19.10 обновлены до версии MariaDB 10.3.20. 20 ноября 2019 г.
• USN-4196-1 : уязвимости python-ecdsa. Выяснилось, что в python-ecdsa некорректно обрабатываются некоторые подписи. Злоумышленник может удаленно использовать эту уязвимость, чтобы заставить python-ecdsa генерировать непредвиденные исключения, что приводит к отказу в обслуживании (CVE-2019-14853). Обнаружилось, что python-ecdsa некорректно выполняет проверку кодировки DER в подписях. 18 ноября 2019 г.
• USN-4195-1 : уязвимости MySQL. В MySQL было выявлено несколько проблем безопасности, которые устраняются в новой версии MySQL. MySQL обновлен до версии 8.0.18 в Ubuntu 19.10. В Ubuntu 16.04 LTS, Ubuntu 18.04 LTS и Ubuntu 19.04 теперь используется обновленная версия MySQL 5.7.28. 18 ноября 2019 г.
• USN-4194-1 : уязвимость postgresql-common. Рич Мерч (Rich Mirch) обнаружил, что скрипт postgresql-common pg_ctlcluster некорректно обрабатывает операцию создания каталога. Злоумышленник может локально использовать эту уязвимость, чтобы повысить уровень прав. 14 ноября 2019 г.
• USN-4193-1 : уязвимость Ghostscript. Пол Манфред (Paul Manfred) и Лукас Шауэр (Lukas Schauer) обнаружили, что Ghostscript некорректно обрабатывает некоторые файлы PostScript. Если злоумышленнику удается в удаленном режиме убедить пользователя или заставить автоматическую систему обработать специально созданный файл, у него появляется возможность произвольного доступа к файлам, выполнения произвольного кода или организации отказа в обслуживании. 14 ноября 2019 г.
• USN-4192-1 : уязвимости ImageMagick. Было обнаружено, что в ImageMagick неправильно обрабатывались некоторые графические файлы в неправильном формате. Обманом вынудив пользователя или автоматизированную систему, использующую ImageMagick, открыть специально сформированное изображение, злоумышленник может использовать эту уязвимость для организации отказа в обслуживании или выполнения кода с уровнем разрешений того пользователя, который вызывает программу. 14 ноября 2019 г.
• USN-4191-2: уязвимости QEMU. USN-4191-2 устраняет уязвимость в QEMU. Данная инструкция включает соответствующее обновление для Ubuntu 14.04 ESM. Далее следует исходная инструкция по безопасности. Обнаружилось, что реализация эмулятора адаптера LSI SCSI в QEMU не выполняет надлежащую проверку исполняемых скриптов. Злоумышленник может локально использовать эту проблему, чтобы организовать отказ в обслуживании. 14 ноября 2019 г.
• USN-4191-1: уязвимости QEMU. Обнаружилось, что реализация эмулятора адаптера LSI SCSI в QEMU не выполняет надлежащую проверку исполняемых скриптов. Злоумышленник может локально использовать эту проблему, чтобы организовать отказ в обслуживании. 14 ноября 2019 г.
• USN-4186-3 : уязвимость ядра Linux. Обновление USN-4186-1 устраняет уязвимости в ядре Linux. Выяснилось, что исправление для ядра в CVE-2019-0155 (проверка наличия Blitter Command Streamer в i915) не в полной мере охватывает 64-разрядные системы Intel x86. Данное обновление устраняет эту проблему. 13 ноября 2019 г.
• USN-4185-3 : уязвимость и регрессия ядра Linux. Обновление USN-4185-1 устраняет уязвимости в ядре Linux. Выяснилось, что исправление для ядра в CVE-2019-0155 (проверка наличия Blitter Command Streamer в i915) не в полной мере охватывает 64-разрядные системы Intel x86. Кроме того, обновление привело к проявлению регрессии, которая блокирует работу гостей KVM, если функция Extended Page Tables (EPT) отключена или не поддерживается.
• USN-4183-2 : уязвимость ядра Linux. Обновление USN-4183-1 устраняет уязвимости в ядре Linux. Выяснилось, что исправление для ядра в CVE-2019-0155 (проверка наличия Blitter Command Streamer в i915) не в полной мере охватывает 64-разрядные системы Intel x86. Данное обновление исправляет появившуюся проблему. Приносим свои извинения за доставленные неудобства. 13 ноября 2019 г.
• USN-4184-2 : уязвимость и регрессия ядра Linux. Обновление USN-4184-1 устраняет уязвимости в ядре Linux. Выяснилось, что исправление для ядра в CVE-2019-0155 (проверка наличия Blitter Command Streamer в i915) не в полной мере охватывает 64-разрядные системы Intel x86. Кроме того, обновление привело к проявлению регрессии, которая блокирует работу гостей KVM, если функция Extended Page Tables (EPT) отключена или не поддерживается. 13 ноября 2019 г.
• USN-4190-1 : уязвимости libjpeg-turbo. Обнаружилось, что в libjpeg-turbo некорректно обрабатывались некоторые изображения в формате BMP. Злоумышленник может использовать это для раскрытия конфиденциальной информации. Эта проблема затронула только Ubuntu 16.04 LTS и Ubuntu 18.04 LTS (CVE-2018-14498). Обнаружено, что в libjpeg-turbo некорректно обрабатываются некоторые изображения в формате JPEG. 13 ноября 2019 г.
• USN-4189-1 : уязвимость DPDK. Джейсон Ван (Jason Wang) обнаружил, что некоторые сообщения в DPDK обрабатываются некорректно. Злоумышленник, используя вредоносный контейнер, может воспользоваться этой уязвимостью, чтобы организовать утечку данных из DPDK, что в свою очередь приводит к отказу в обслуживании. 13 ноября 2019 г.
• USN-4188-1 : уязвимость ядра Linux. Штефан ван Шайк (Stephan van Schaik), Алисса Милберн (Alyssa Milburn), Себастиан Остерлунд (Sebastian Österlund), Пьетро Фриго (Pietro Frigo), Каве Разави (Kaveh Razavi), Херберт Бос (Herbert Bos), Кристиано Джуффрида (Cristiano Giuffrida), Георгий Майсурадзе (Giorgi Maisuradze), Мориц Липп (Moritz Lipp), Михаэль Шварц (Michael Schwarz), Даниэль Грусс (Daniel Gruss) и Джо Ван Балк (Jo Van Bulck) обнаружили, что процессоры Intel, использующие Transactional Synchronization Extensions (TSX), не обеспечивают защиту содержимого памяти. 13 ноября 2019 г.
• USN-4185-2 : уязвимости ядра Linux (Azure). Штефан ван Шайк (Stephan van Schaik), Алисса Милберн (Alyssa Milburn), Себастиан Остерлунд (Sebastian Österlund), Пьетро Фриго (Pietro Frigo), Каве Разави (Kaveh Razavi), Херберт Бос (Herbert Bos), Кристиано Джуффрида (Cristiano Giuffrida), Георгий Майсурадзе (Giorgi Maisuradze), Мориц Липп (Moritz Lipp), Михаэль Шварц (Michael Schwarz), Даниэль Грусс (Daniel Gruss) и Джо Ван Балк (Jo Van Bulck) обнаружили, что процессоры Intel, использующие Transactional Synchronization Extensions (TSX), не обеспечивают защиту содержимого памяти. 13 ноября 2019 г.
• USN-4187-1 : уязвимость ядра Linux. Штефан ван Шайк (Stephan van Schaik), Алисса Милберн (Alyssa Milburn), Себастиан Остерлунд (Sebastian Österlund), Пьетро Фриго (Pietro Frigo), Каве Разави (Kaveh Razavi), Херберт Бос (Herbert Bos), Кристиано Джуффрида (Cristiano Giuffrida), Георгий Майсурадзе (Giorgi Maisuradze), Мориц Липп (Moritz Lipp), Михаэль Шварц (Michael Schwarz), Даниэль Грусс (Daniel Gruss) и Джо Ван Балк (Jo Van Bulck) обнаружили, что процессоры Intel, использующие Transactional Synchronization Extensions (TSX), не обеспечивают защиту содержимого памяти. 13 ноября 2019 г.
• USN-4186-2 : уязвимости ядра Linux (Xenial HWE). Обновление USN-4186-1 устраняет уязвимости в ядре Linux для Ubuntu 16.04 LTS. В этом обновлении содержатся соответствующие обновления ядра Linux Hardware Enablement (HWE) из версии Ubuntu 16.04 LTS для Ubuntu 14.04 ESM. 13 ноября 2019 г.
• USN-4186-1: уязвимости ядра Linux. Штефан ван Шайк (Stephan van Schaik), Алисса Милберн (Alyssa Milburn), Себастиан Остерлунд (Sebastian Österlund), Пьетро Фриго (Pietro Frigo), Каве Разави (Kaveh Razavi), Херберт Бос (Herbert Bos), Кристиано Джуффрида (Cristiano Giuffrida), Георгий Майсурадзе (Giorgi Maisuradze), Мориц Липп (Moritz Lipp), Михаэль Шварц (Michael Schwarz), Даниэль Грусс (Daniel Gruss) и Джо Ван Балк (Jo Van Bulck) обнаружили, что процессоры Intel, использующие Transactional Synchronization Extensions (TSX), не обеспечивают защиту содержимого памяти. 13 ноября 2019 г.
• USN-4185-1 : уязвимости ядра Linux. Штефан ван Шайк (Stephan van Schaik), Алисса Милберн (Alyssa Milburn), Себастиан Остерлунд (Sebastian Österlund), Пьетро Фриго (Pietro Frigo), Каве Разави (Kaveh Razavi), Херберт Бос (Herbert Bos), Кристиано Джуффрида (Cristiano Giuffrida), Георгий Майсурадзе (Giorgi Maisuradze), Мориц Липп (Moritz Lipp), Михаэль Шварц (Michael Schwarz), Даниэль Грусс (Daniel Gruss) и Джо Ван Балк (Jo Van Bulck) обнаружили, что процессоры Intel, использующие Transactional Synchronization Extensions (TSX), не обеспечивают защиту содержимого памяти. 13 ноября 2019 г.
• USN-4184-1 : уязвимости ядра Linux. Штефан ван Шайк (Stephan van Schaik), Алисса Милберн (Alyssa Milburn), Себастиан Остерлунд (Sebastian Österlund), Пьетро Фриго (Pietro Frigo), Каве Разави (Kaveh Razavi), Херберт Бос (Herbert Bos), Кристиано Джуффрида (Cristiano Giuffrida), Георгий Майсурадзе (Giorgi Maisuradze), Мориц Липп (Moritz Lipp), Михаэль Шварц (Michael Schwarz), Даниэль Грусс (Daniel Gruss) и Джо Ван Балк (Jo Van Bulck) обнаружили, что процессоры Intel, использующие Transactional Synchronization Extensions (TSX), не обеспечивают защиту содержимого памяти. 13 ноября 2019 г.
• USN-4183-1 : уязвимости ядра Linux. Штефан ван Шайк (Stephan van Schaik), Алисса Милберн (Alyssa Milburn), Себастиан Остерлунд (Sebastian Österlund), Пьетро Фриго (Pietro Frigo), Каве Разави (Kaveh Razavi), Херберт Бос (Herbert Bos), Кристиано Джуффрида (Cristiano Giuffrida), Георгий Майсурадзе (Giorgi Maisuradze), Мориц Липп (Moritz Lipp), Михаэль Шварц (Michael Schwarz), Даниэль Грусс (Daniel Gruss) и Джо Ван Балк (Jo Van Bulck) обнаружили, что процессоры Intel, использующие Transactional Synchronization Extensions (TSX), не обеспечивают защиту содержимого памяти. 13 ноября 2019 г.
• USN-4182-2 : обновление Intel Microcode. В USN-4182-2 содержатся обновления для Intel Microcode. В этом обновлении содержится соответствующее обновление для Ubuntu 14.04 ESM. 12 ноября 2019 г.
• USN-4182-1 : обновление Intel Microcode. Штефан ван Шайк (Stephan van Schaik), Алисса Милберн (Alyssa Milburn), Себастиан Остерлунд (Sebastian Österlund), Пьетро Фриго (Pietro Frigo), Каве Разави (Kaveh Razavi), Херберт Бос (Herbert Bos), Кристиано Джуффрида (Cristiano Giuffrida), Георгий Майсурадзе (Giorgi Maisuradze), Мориц Липп (Moritz Lipp), Михаэль Шварц (Michael Schwarz), Даниэль Грусс (Daniel Gruss) и Джо Ван Балк (Jo Van Bulck) обнаружили, что процессоры Intel, использующие Transactional Synchronization Extensions (TSX), не обеспечивают защиту содержимого памяти. 12 ноября 2019 г.
• USN-4181-1 : уязвимости WebKitGTK+. Большое количество проблем безопасности выявлено в движках WebKitGTK+ и JavaScript. Если пользователя удавалось обманным путем заставить открыть вредоносный веб-сайт, злоумышленник мог удаленно использовать различные проблемы безопасности веб-браузера, в том числе проводить атаки межсайтового скриптинга, отказа в обслуживании, а также выполнять произвольный код. 12 ноября 2019 г.
• USN-4180-1 : уязвимость Bash. Обнаружено, что в Bash неправильно обрабатывались некоторые входные данные. Злоумышленник может использовать эту проблему, чтобы вызвать отказ в обслуживании или выполнить произвольный код. 11 ноября 2019 г.
• USN-4179-1 : уязвимость FriBidi. Алекс Маррей (Alex Murray) обнаружил переполнение буфера стека при обработке большого числа директив isolate в кодировке Unicode. Злоумышленник мог использовать эту проблему, чтобы вызвать отказ в обслуживании или выполнить произвольный код. 7 ноября 2019 г.
• USN-4178-1 : уязвимости WebKitGTK+. Большое количество проблем безопасности выявлено в движках WebKitGTK+ и JavaScript. Если пользователя удавалось обманным путем заставить открыть вредоносный веб-сайт, злоумышленник мог удаленно использовать различные проблемы безопасности веб-браузера, в том числе проводить атаки межсайтового скриптинга, отказа в обслуживании, а также выполнять произвольный код. 7 ноября 2019 г.
• USN-4177-1 : уязвимость Rygel. Обнаружено, что пакет Rygel автоматически запускает системный фоновый процесс во время пользовательских сеансов. В некоторых средах это приводит к непредвиденной публикации мультимедийных данных в общем доступе. 6 ноября 2019 г.
• USN-4176-1 : уязвимость GNU cpio. Томас Хабетс (Thomas Habets) обнаружил, что GNU cpio некорректно обрабатывает некоторые входные данные. Злоумышленник может использовать эту проблему для повышения уровня прав. 6 ноября 2019 г.
• USN-4165-2: регрессии Firefox. Обновление USN-4165-1 устраняет уязвимости в Firefox. Обновление вызвало проявление различных незначительных регрессий. Данное обновление исправляет появившуюся проблему. Приносим свои извинения за доставленные неудобства. Далее следует исходная инструкция по безопасности. В Firefox было обнаружено несколько проблем безопасности. 5 ноября 2019 г.
• USN-4171-4 : регрессия Apport. Обновление USN-4171-1 устраняет уязвимость в Apport. Обновление стало причиной проявления регрессии в библиотеке Python Apport. Данное обновление устраняет эту проблему в Ubuntu 14.04 ESM. Приносим свои извинения за доставленные неудобства. Далее следует исходная инструкция по безопасности. Кевин Бэкхаус (Kevin Backhouse) выяснил, что Apport выполняет чтение файла, содержащего заданные пользователем настройки, с правами корневого пользователя. 5 ноября 2019 г.
• USN-4175-1 : уязвимость Nokogiri. Обнаружено, что в Nokogiri неправильно обрабатывались входные данные. Злоумышленник мог использовать эту уязвимость удаленно для выполнения произвольных команд ОС. 5 ноября 2019 г.
• USN-4174-1 : уязвимость HAproxy. Было обнаружено, что в HAproxy неправильно обрабатывались некоторые запросы HTTP. Злоумышленник может использовать эту проблему для повышения уровня прав (неправомерный запрос). 5 ноября 2019 г.
• USN-4171-3 : регрессия Apport. Обновление USN-4171-1 устраняет уязвимости в Apport. Обновление стало причиной проявления регрессии в библиотеке Python Apport. Данное обновление исправляет эту проблему. Приносим свои извинения за доставленные неудобства. Далее следует исходная инструкция по безопасности. Кевин Бэкхаус (Kevin Backhouse) выяснил, что Apport выполняет чтение файла, содержащего заданные пользователем настройки, с правами корневого пользователя. 5 ноября 2019 г.
• USN-4170-3 : регрессия Whoopsie. Обновление USN-4170-1 устраняет уязвимость в Whoopsie, а USN-4170-2 исправляет последующую регрессию. Обновление не решило проблему полностью, и в работе Whoopsie по-прежнему возможен сбой при выгрузке отчетов о сбое в ряде архитектур. Данное обновление исправляет эту проблему. Приносим свои извинения за доставленные неудобства. 5 ноября 2019 г.
• USN-4171-2: уязвимости Apport. Обновление USN-4171-1 устраняет ряд уязвимостей в Apport. Данная инструкция включает соответствующее обновление для Ubuntu 14.04 ESM. Далее следует исходная инструкция по безопасности. Кевин Бэкхаус (Kevin Backhouse) выяснил, что Apport выполняет чтение файла, содержащего заданные пользователем настройки, с правами корневого пользователя. 4 ноября 2019 г.