XZ Utils'in 5.8.3 sürümü, diğer şeylerin yanı sıra güvenlik sızıntılarını da kapatıyor. Bunların ciddiyeti konusunda ihtilaf vardır. Güvenli tarafta olmak için yöneticilerin güncellenmiş paketleri araması ve bunları hemen yüklemesi gerekir.
Reklamdan sonra devamını okuyun
XZ Utils 5.8.3'ün yayın duyurusu değişiklikleri listeliyor. Fonksiyondaki zayıf bir noktayı iyileştirir lzma_index_append() bu da programcıların yazdığı gibi “gerçek bir uygulamada bulunması muhtemel olmayan koşullar altında” arabellek taşmasına neden olabilir (CVE-2026-34743). “lzma_index işlevleri uygulamalar tarafından nadiren doğrudan kullanılır. Bu işlevleri kullanan birkaç uygulamada, bu hatayı tetikleyen işlev çağrıları kombinasyonunun meydana gelmesi pek olası değildir, çünkü genellikle kodu çözülmüş bir lzma_index'e kayıt eklemek için hiçbir neden yoktur.”
OSS-Sec e-posta listesinde Gentoo geliştiricisi Sam James, güvenlik açığının nadiren erişilen bir API'nin olağandışı kullanımını gerektirdiğini kabul ediyor. Ancak BT güvenlik şirketi Tenable, aradaki farkı bir risk seviyesi olarak tahmin ediyor “kritikFederal Bilgi Güvenliği Dairesi'nin (BSI) CERT-Bund'unun CVSS puanı da şu şekildedir: 9.8 riskli”kritik“.
XZ Utils: Başka bir güvenlik açığı düzeltildi
XZ Utils'in güncellenmiş sürümü, en azından 32 bit sistemlerde ve bazı önkoşullarla bu amaç için tasarlanmamış alanlara bellek erişimiyle sonuçlanabilecek bir sorunu da düzeltir. Güvenlik açığı bir CVE güvenlik açığı girişi almadı.
CVE-2026-34743 güvenlik açığı XZ Utils'i 5.0.0 sürümünden itibaren etkiliyor. Geliştiriciler 5.2.x, 5.4.x veya 5.6.x geliştirme dallarının yeni sürümlerini yayınlamıyor ancak hata düzeltmelerini xz Git deposuna eklediler. Gerektiğinde etkilenenler buradaki mevcut kaynaklara ulaşıp bunları kendileri derleyebiliyor.
Reklamdan sonra devamını okuyun
BT yöneticileri, dağıtımları için güncellenmiş XZ-Util paketlerinin kullanılabilirliğini kontrol etmeli ve bunları hemen uygulamalıdır. Slackware şimdi xz'yi güncelledi. Debian yaralı dağıtım sürümlerini listeliyor ancak henüz bir tehdit değerlendirmesi yapmadı ve güncellenmiş paketleri henüz sunmadı.
Sıkıştırma kitaplığı xz, iki yıl önce neredeyse bir felaketin tetikleyicisiydi. Gizli servis ajanları, diğer birçok yazılım uygulamasının temel yapı taşı olarak kullanılan koda arka kapıları sızdırdılar.
(DMK)
Bir yanıt yazın