Партнёры:
Хостинг:
| / Безопасность / Локальные уязвимости | ||
| - Уязвимости в маршрутизаторах и оборудовании | ||
| - Удалённые уязвимости | ||
| - Уязвимости в процессорах | ||
| · | 17.12.2025 | Обновление почтового сервера Exim 4.99.1 с устранением уязвимости (49 +7) |
|
Опубликован корректирующий выпуск почтового сервера Exim 4.99.1, в котором устранена уязвимость (CVE-2025-67896), позволяющая удалённому атакующему повредить содержимое памяти вне выделенного буфера. Потенциально проблема может использоваться для удалённого выполнения кода на сервере, но рабочий эксплоит пока не подготовлен...
| ||
| · | 14.12.2025 | Уязвимость в утилите smb4k, позволяющая получить права root в системе (56 +20) |
|
В утилите smb4k, применяемой в KDE для обнаружения и монтирования SMB-разделов, выявлены уязвимости, позволяющие получить root-доступ к системе. Проблемы устранены в выпуске Smb4K 4.0.5. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, Gentoo, Arch и FreeBSD...
| ||
| · | 21.11.2025 | 6 уязвимостей в загрузчике GRUB2, позволяющих обойти UEFI Secure Boot (145 +17) |
|
Опубликован набор патчей с устранением 6 уязвимостей в загрузчике GRUB2, большинство из которых приводит к обращению к памяти после её освобождения (use-after-free). Потенциально выявленные проблемы могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Arch и...
| ||
| · | 14.11.2025 | Уязвимость в KDE LightDM Greeter, повышающая привилегии с пользователя lightdm до root (36 +21) |
|
В LightDM KDE Greeter, развиваемой проектом KDE реализации экрана входа в систему, построенной на фреймворке LightDM, выявлена уязвимость (CVE-2025-62876), позволяющая поднять привилегии с непривилегированного пользователя lightdm, под которым запускается LightDM, до пользователя root. Уязвимость устранена в версии lightdm-kde-greeter 6.0.4...
| ||
| · | 12.11.2025 | Обновление sudo-rs 0.2.10 с исправлением двух уязвимостей (145 +19) |
|
Опубликован выпуск проекта sudo-rs 0.2.10, развивающего написанные на языке Rust варианты утилит sudo и su. Новая версия примечательна исправлением двух уязвимостей, которые проявляются среди прочего в дистрибутиве Ubuntu 25.10, в котором sudo-rs задействован вместо утилиты sudo. Примечательно, что до этого кодовая база sudo-rs успешно прошла два независимых аудита безопасности - в августе 2023 года (NLnet) и в августе 2025 года (NGICore)...
| ||
| · | 25.09.2025 | Уязвимость в подсистеме io_uring, позволяющая повысить привилегии в системе (59 +16) |
|
В интерфейсе асинхронного ввода/вывода io_uring, предоставляемом ядром Linux, выявлена уязвимость (CVE-2025-39698), позволяющая непривилегированному пользователю добиться выполнения своего кода на уровне ядра. Уязвимость вызвана отсутствием проверки существования объекта перед выполнением операций с этим объектом...
| ||
| · | 01.07.2025 | Уязвимости в утилите sudo, позволяющие получить права root в системе (231 +38) |
|
В пакете sudo, применяемом для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2025-32463), позволяющая любому непривилегированному пользователю выполнить код с правами root, даже если пользователь не упомянут в конфигурации sudoers. Проблеме подвержены дистрибутивы, использующие файл конфигурации /etc/nsswitch.conf, например, возможность эксплуатации уязвимости продемонстрирована в Ubuntu 24.04 и Fedora 41...
| ||
| · | 19.06.2025 | Уязвимости в библиотеке libxml2, потенциально приводящие к выполнению кода (112 +9) |
|
В библиотеке Libxml2, разрабатываемой проектом GNOME и применяемой для разбора содержимого в формате XML, выявлено 5 уязвимостей, две из которых потенциально могут привести к выполнению кода при обработке специально оформленных внешних данных. Библиотека Libxml2 широко распространена в открытых проектах и, например, используется как зависимость в более чем 800 пакетах из состава Ubuntu...
| ||
| · | 18.06.2025 | Уязвимости в PAM и libblockdev, позволяющие получить права root в системе (76 +20) |
|
Компания Qualys выявила уязвимость (CVE-2025-6019) в библиотеке libblockdev, позволяющую через манипуляции с фоновым процессом udisks получить права root в системе. Работа прототипа эксплоита продемонстрирована в Ubuntu, Debian, Fedora и openSUSE Leap 15...
| ||
| · | 05.06.2025 | Уязвимость в Python-модуле TarFile, допускающая запись в любые части ФС (34 +11) |
|
Во входящем в штатную поставку Python модуле tarfile, предоставляющем функции для чтения и записи tar-архивов, выявлено пять уязвимостей, одной из которых присвоен критический уровень опасности. Уязвимости устранены в выпусках Python 3.13.4 и 3.12.11. Наиболее опасная уязвимость (CVE-2025-4517) даёт возможность при распаковке специально оформленного архива записать файлы в любую часть файловой системы. В системных скриптах, использующих tarfile и запускаемых с правами root (например, в утилитах для работы с пакетами и изолированными контейнерами), уязвимость может применяться для повышения своих привилегий или выхода за пределы изолированного контейнера...
| ||
| · | 30.05.2025 | Уязвимости в apport и systemd-coredump, позволяющие извлечь хэши паролей пользователей системы (174 +16) |
|
Компания Qualys выявила две уязвимости в инструментах apport (CVE-2025-5054) и systemd-coredump (CVE-2025-4598), применяемых для обработки core-файлов, генерируемых после аварийного завершения процессов. Уязвимости позволяют получить доступ к core-файлам, сохранённым после аварийного завершения suid-приложений или некоторых системных фоновых процессов, в памяти которых могут содержаться прокэшированные учётные данные или ключи шифрования. Утилита apport автоматически вызывается для сохранения core-дампов в Ubuntu, а systemd-coredump в Red Hat Enterprise Linux 9+, Fedora и многих других дистрибутивах Linux...
| ||
| · | 29.05.2025 | Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие повысить привилегии в системе (142 +7) |
|
В применяемых различными дистрибутивами конфигурациях DHCP-сервера Kea, развиваемого консорциумом ISC в качестве замены классического ISC DHCP, выявлены уязвимости, в некоторых ситуациях позволяющие локальному пользователю выполнить код с правами root или перезаписать любой файл в системе:...
| ||
| · | 19.05.2025 | Уязвимость в Glibc, затрагивающая статически собранные suid-файлы с dlopen (44 +13) |
|
В стандартной Си-библиотеке Glibc выявлена уязвимость (CVE-2025-4802), позволяющая добиться выполнения кода с привилегиями другого пользователя, выставляемыми при запуске приложений с флагом suid. Опасность проблемы сводят на нет условия, при которых она проявляется - разработчики Glibc не смогли найти ни одной suid-программы, к которой была бы применима найденная уязвимость. При этом не исключено, что в обиходе могут использоваться собственные suid-программы, удовлетворяющие условиям совершения атаки...
| ||
| · | 12.05.2025 | Уязвимость в GNU screen, позволяющая выполнить код с правами root (194 +33) |
|
В консольном оконном менеджере (мультиплексоре терминалов) GNU screen, предоставляющем многооконный интерфейс в консоли, выявлено 5 уязвимостей. Наиболее опасная проблема (CVE-2025-23395) позволяет получить права root в системе. Исправление включено в состав сегодняшнего выпуска screen 5.0.1 (уже доступен в Arch Linux и FreeBSD)...
| ||
| · | 01.05.2025 | Уязвимость в системе инициализации finit, позволяющая войти в систему без пароля (34 +22) |
|
В системе инициализации finit выявлена уязвимость (CVE-2025-29906), позволяющая войти в систему под любым пользователем без проверки пароля. Эксплуатация уязвимости осуществляется через манипуляцию с приглашением входа (login) и требует наличия доступа к консоли. Уязвимость проявляется начиная с версии 3.0 (октябрь 2017 года) и устранена в выпуске finit 4.11. Следом уже сформирован выпуск 4.12 в котором устранено переполнение буфера в плагине urandom, которое не отмечено как уязвимость...
| ||
| Следующая страница (раньше) >> | ||
|
Закладки на сайте Проследить за страницей |
Created 1996-2025 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |