XZ Utilis'in 5.8.3 sürümü, diğer şeylerin yanı sıra güvenlik açıklarını da kapatıyor. Bunların ciddiyeti konusunda ihtilaf vardır. Güvende olmak için yöneticilerin güncellenmiş paketleri araması ve bunları hemen yüklemesi gerekir.
Duyurudan sonra devamını okuyun
XZ Utils 5.8.3 sürüm duyurusu değişiklikleri listeliyor. Özellikteki zayıf bir noktayı iyileştirir lzma_index_append() programcıların yazdığı gibi, “gerçek bir uygulamada bulunması muhtemel olmayan koşullar altında” arabellek taşmasına neden olabilir (CVE-2026-34743). “lzma_index işlevleri uygulamalar tarafından nadiren doğrudan kullanılır. Bu işlevleri kullanan birkaç uygulamada, bu hatayı tetikleyen işlev çağrıları kombinasyonuyla karşılaşmanız pek olası değildir, çünkü genellikle kodu çözülmüş bir lzma_index'e kayıt eklemek için hiçbir neden yoktur.”
OSS-Sec e-posta listesinde Gentoo geliştiricisi Sam James, güvenlik açığının nadiren erişilen bir API'nin olağandışı kullanımını gerektirdiğini kabul ediyor. Ancak siber güvenlik şirketi Tenable bu boşluğu bir risk düzeyi olarak tahmin ediyor”eleştirmenFederal Siber Güvenlik Dairesi'nin (BSI) CERT-Bund'unun da CVSS puanı vardır. 9.8 riskli”eleştirmen“.
XZ Utilis: Başka bir güvenlik açığı düzeltildi
XZ Utils'in güncellenmiş sürümü, en azından 32 bit sistemlerde ve bazı önkoşullarla bu amaç için tasarlanmamış alanlara bellek erişimine yol açabilecek bir sorunu da giderir. Güvenlik açığı bir CVE güvenlik açığı girişi almadı.
CVE-2026-34743 güvenlik açığı XZ Utilis'i 5.0.0 sürümünden itibaren etkilemektedir. Geliştiriciler 5.2.x, 5.4.x veya 5.6.x geliştirme dallarının yeni sürümlerini yayınlamıyor ancak xz Git deposuna hata düzeltmeleri eklediler. Gerektiğinde ilgililer güncel kaynaklara ulaşarak bunları kendileri derleyebilirler.
Duyurudan sonra devamını okuyun
BT yöneticileri, kendi dağıtımları için güncellenmiş XZ-Util paketlerinin kullanılabilirliğini kontrol etmeli ve bunları hemen uygulamalıdır. Slackware şimdi xz'yi güncelledi. Debian, dağıtımın bozuk sürümlerini listeliyor ancak henüz bir tehdit değerlendirmesi gerçekleştirmedi ve henüz güncellenmiş paketler sunmuyor.
xz sıkıştırma kütüphanesi iki yıl önce neredeyse felaketin tetikleyicisiydi. Gizli Servis ajanları, diğer birçok yazılım uygulaması için yapı taşı olarak kullanılan koda arka kapılar ekledi.
(Bilmiyorum)
Bir yanıt yazın