ALT
Бюллетени безопасности «Альт»
RUООО «Базальт СПО»
«Альт» — семейство независимых российских дистрибутивов Linux на основе репозитория Sisyphus, разрабатываемых «Базальт СПО» и сертифицированных ФСТЭК для применения в госсекторе и критической инфраструктуре. Источник объединяет публикуемые бюллетени «Альт» (errata.altlinux.org / OVAL) с записями БДУ ФСТЭК, отмечающими «Альт» как затронутую платформу, с указанием пакета-исправления и ветки.
Формат идентификатора
ALT-PU-YYYY-NNNN
Обновления
1 ч
Лицензия
Открытые данные
Распределение записей
Всего
91818
Критич.
4795
Высок.
21077
Средн.
34490
KEV
221
Охват
Бюллетени безопасности для семейства российских дистрибутивов «Альт» (Sisyphus и стабильные ветки p9/p10/p11), дополненные сведениями БДУ ФСТЭК о применимости уязвимостей к «Альт».
Связанные уязвимости
CVE-2026-49261Сервер MariaDB - это разработанная сообществом форк сервера MySQL. Версии 10.6.1 - 10.6.26, 10.11.1 - 10.11.17, 11.4.1 - 11.4.11, 11.8.1 - 11.8.7 и 12.3.1 с `wsrep_notify_cmd` включительно выполняли бы команды оболочки, встроенные в название узла синего. Это исправлено в пунктах 10.6.27, 10.11.18, 11.4.12, 11.8.8 и 12.3.2. В качестве обходного пути любой, кто не может обновиться сейчас, должен отключать `wsrep_notify_cmd`.
CVE-2026-4725Выполнение произвольного кода в Mozilla Firefox
CVE-2026-4692Выполнение произвольного кода в Mozilla Firefox
CVE-2026-4689Выполнение произвольного кода в Mozilla Firefox
CVE-2026-4688Выполнение произвольного кода в Mozilla Firefox
CVE-2026-46595Ранее CVE-2024-45337 фиксировал авторизационный обход для неправильно используемых конфигураций ssh-сервера; если любой другой тип обратного вызова передается, кроме публичного ключа, то проверка исходного адреса будет пропущена.
CVE-2026-2778Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2776Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2768Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2761Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-2760Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-0881Выполнение произвольного кода в Mozilla Thunderbird
CVE-2026-0848Версии NLTK <=3.9.2 уязвимы для произвольного выполнения кода из-за неправильной валидации ввода в модуле StanfordSegmenter. Модуль динамически загружает внешние файлы Java .jar без проверки или песочницы. Злоумышленник может поставлять или заменять JAR-файл, что позволяет выполнять произвольный байт-код Java в момент импорта. Эта уязвимость может быть использована с помощью таких методов, как отравление моделей, атаки MITM или отравление зависимостей, что приводит к удаленному исполнению кода. Проблема возникает из-за прямого исполнения файла JAR через подпроцесс с непроверенным вводом по пути по классу, что позволяет вредоносным классам выполнять при загрузке JVM.
CVE-2025-68121Получение конфиденциальной информации в Go programming language
CVE-2025-54349В iperf до версии 3.19.1 в файле iperf_auth.c присутствует ошибка "off-by-one" и связанное с ней переполнение буфера в куче. Уязвимость была исправлена в версии 3.19.1 [1]. Проблема была обнаружена Хан Ли из Apple Information Security, который сообщил о нескольких ошибках памяти, включая переполнение буфера при использовании опции --skip-rx-copy, а также две ошибки памяти в механизме аутентификации, включая переполнение кучи в открытом пароле и срабатывание assert. В частности, была исправлена ошибка переполнения кучи "off-by-one" в механизме аутентификации (CVE-2025-54349, ESNET-SECADV-2025-0003) [2].
Источники:
- [1] https://github.com/esnet/iperf/releases/tag/3.19.1
- [2] https://github.com/esnet/iperf/commit/4e5313bab0b9b3fe03513ab54f722c8a3e4b7bdf