Confira !!
Uma atualização que corrige 5 vulnerabilidades já está disponível.
Atualização de segurança do openSUSE: atualização de segurança para privoxy
______________________________________________________________________________
ID do anúncio: openSUSE-SU-2021: 0460-1
Avaliação: moderada
Referências: # 1183129
Referências cruzadas: CVE-2021-20272 CVE-2021-20273 CVE-2021-20274
CVE-2021-20275 CVE-2021-20276
Pontuações CVSS:
CVE-2021-20272 (NVD): 7,5 CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H
CVE-2021-20273 (NVD): 7,5 CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H
CVE-2021-20274 (NVD): 7,5 CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H
CVE-2021-20275 (NVD): 7,5 CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H
CVE-2021-20276 (NVD): 7,5 CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H
Produtos afetados:
Backports do openSUSE SLE-15-SP2
______________________________________________________________________________
Uma atualização que corrige 5 vulnerabilidades já está disponível.
Descrição:
Esta atualização para privoxy corrige os seguintes problemas:
Atualize para a versão 3.0.32:
- Segurança / confiabilidade (boo # 1183129)
- ssplit (): remove uma afirmação que poderia ser acionada com um
Solicitação CGI. Commit 2256d7b4d67. OVE-20210203-0001. CVE-2021-20272
Relatado por: Joshua Rogers (Opera)
- cgi_send_banner (): anula tipos de imagem inválidos. Previne um acidente
com uma solicitação CGI elaborada se Privoxy for desativado. Comprometer-se
e711c505c48. OVE-20210206-0001. CVE-2021-20273 Relatado por: Joshua
Rogers (ópera)
- socks5_connect (): Não tente enviar credenciais quando nenhuma
configurado. Corrige uma falha devido a uma desreferência do ponteiro NULL quando o
servidor socks se comporta mal. Commit 85817cc55b9. OVE-20210207-0001.
CVE-2021-20274 Relatado por: Joshua Rogers (Opera)
- chunked_body_is_complete (): Previne uma leitura inválida de tamanho dois.
Commit a912ba7bc9c. OVE-20210205-0001. CVE-2021-20275 Relatado por:
Joshua Rogers (ópera)
- Obsolete pcre: Impedir acessos inválidos à memória com um inválido
padrão passado para pcre_compile (). Observe que o código pcre obsoleto
está programado para ser removido antes do lançamento 3.0.33. Houve
um aviso desde 2008 já. Commit 28512e5b624. OVE-20210222-0001.
CVE-2021-20276 Relatado por: Joshua Rogers (Opera)
- Correções de bugs:
- Analise corretamente a diretiva client-tag-lifetime. Anteriormente era
não aceito porque um valor hash obsoleto estava sendo usado. Reportado por:
Joshua Rogers (ópera)
- decompress_iob (): impede a leitura de dados não inicializados. Relatado
por: Joshua Rogers (Opera).
- decompress_iob (): Não avance para além do eod ao procurar pelo
fim do nome do arquivo e comentário.
- decompress_iob (): Converte o valor para unsigned char antes de mudar.
Impede um deslocamento para a esquerda de um valor negativo que é indefinido
comportamento. Relatado por: Joshua Rogers (Opera)
- gif_deanimate (): confirme se temos dados suficientes antes de fazer
qualquer trabalho. Corrige uma falha ao difundir um documento vazio.
Relatado por: Joshua Rogers (Opera).
- buf_copy (): falha se não houver dados para escrever ou nada para fazer.
Impede o comportamento indefinido "aplicando deslocamento zero ao ponteiro nulo".
Relatado por: Joshua Rogers (Opera)
- log_error (): Trate LOG_LEVEL_FATAL como fatal mesmo quando --stfu é
sendo usado durante a difusão. Relatado por: Joshua Rogers (Opera).
- Respeite o DESTDIR ao considerar se deve ou não instalar a configuração
arquivos com extensão ".new".
- OpenSSL ssl_store_cert (): Corrija duas mensagens de erro.
- Corrija alguns especificadores de formato.
- Silencie os avisos do compilador ao compilar com NDEBUG.
- fuzz_server_header (): corrige o aviso do compilador.
- fuzz_client_header (): corrige o aviso do compilador.
- cgi_send_user_manual (): Também rejeita solicitações se o manual do usuário
diretiva especifica um https: // URL. Anteriormente, o Privoxy tentava e
falha ao abrir um arquivo local.
- Melhorias gerais:
- Registre a versão TLS e a cifra quando a depuração 2 estiver habilitada.
- ssl_send_certificate_error (): Respeite as solicitações HEAD não enviando um
corpo.
- ssl_send_certificate_error (): termina o corpo com uma única linha nova.
- serve (): aumenta as chances de o host ser conectado ao fechar um
socket do servidor.
- handle_established_connection (): adicione parênteses para esclarecer um
expressão sugerida por: David Binderman
- continue_https_chat (): explicitamente não definido
CSP_FLAG_CLIENT_CONNECTION_KEEP_ALIVE se process_encrypted_request ()
falha. Isso torna mais óbvio que a conexão não será
reutilizado. Anteriormente, servir () dependia de
CSP_FLAG_SERVER_CONTENT_LENGTH_SET e CSP_FLAG_CHUNKED sendo desativados.
Inspirado por um patch de Joshua Rogers (Opera).
- decompress_iob (): adiciona pontos a algumas mensagens de log
- Encerrar o corpo dos snipplets HTTP com uma única nova linha
em vez de "\ r \ n".
- configure: Adicione a opção --with-assertions e só habilite as asserções
quando é usado
- windows build: Use --with-brotli e --with-mbedtls por padrão e
habilite a verificação dinâmica de erros.
- gif_deanimate (): Confirme que temos uma imagem antes de tentar escrever
ele salva uma chamada buf_copy () inútil.
- OpenSSL ssl_store_cert (): Remova um espaço supérfluo antes do
número de série.
- Melhorias no arquivo de ação:
- Desative os redirecionamentos rápidos para .golem.de /
- Desbloquear solicitações para adri *.
- Bloquear solicitações para trc * .taboola.com /
- Desative os redirecionamentos rápidos para .linkedin.com /
- Melhorias no arquivo de filtro:
- Torne o segundo trabalho pcrs do filtro img-reorder ganancioso novamente. O
versão infeliz quebrou as tags img em:
https://bulk.fefe.de/scalability/.
- Privoxy-Log-Parser:
- Destaque mais algumas mensagens.
- Esclareça a saída --statistics. As "conexões reutilizadas" mostradas são
conexões de servidor, portanto, nomeie-as apropriadamente
- Bump versão para 0.9.3.
- Teste de regressão Privoxy:
- Adicione a opção --check-bad-ssl à saída --help.
- Bump versão para 0.7.3.
- Documentação:
- Adicione o envio da tag criada às etapas de liberação no desenvolvedor
manual.
- Esclareça que 'depurar 32768' deve ser usado além dos outros
depurar diretivas ao relatar problemas.
- Adicionar uma seção 'Licenças e direitos autorais de terceiros' para o usuário
manual.
Esta atualização foi importada do openSUSE: Salto: 15.2: Projeto de atualização de atualização.
Instruções do patch:
Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
como YaST online_update ou "patch zypper".
Como alternativa, você pode executar o comando listado para o seu produto:
- Backports do openSUSE SLE-15-SP2:
zypper em patch -t openSUSE-2021-460 = 1
Lista de Pacotes:
- backports do openSUSE SLE-15-SP2 (aarch64 ppc64le s390x x86_64):
privoxy-3.0.32-bp152.4.9.1
- Backports do openSUSE SLE-15-SP2 (noarch):
privoxy-doc-3.0.32-bp152.4.9.1
Referências:
https://www.suse.com/security/cve/CVE-2021-20272.html
https://www.suse.com/security/cve/CVE-2021-20273.html
https://www.suse.com/security/cve/CVE-2021-20274.html
https://www.suse.com/security/cve/CVE-2021-20275.html
https://www.suse.com/security/cve/CVE-2021-20276.html
https://bugzilla.suse.com/1183129
Até a próxima !!
Nenhum comentário:
Postar um comentário