Guido Vranken 發現，在用於具有 512 位元模數之乘冪的 x64_64 Montgomery 平方程序中存在一個溢位錯誤。

據發現，freeimage (一個圖形程式庫) 受到下列兩個安全性問題的影響：

  - CVE-2019-12211 PluginTIFF 中的無效 memcpy 造成堆積緩衝區溢位。遠端攻擊者可能利用此缺陷，透過建構的 TIFF 資料觸發拒絕服務或任何不明影響。

  - CVE-2019-12213 PluginTIFF 中的非預期遞迴造成堆疊耗盡。遠端攻擊者可能利用此缺陷，透過建構的 TIFF 資料觸發拒絕服務。

據發現，MediaWiki (用於共同作業的網站引擎) 中的標題黑名單功能可被繞過。

已在 php5 (一種伺服器端的已嵌入 HTML 指令碼語言) 中發現且修正多個安全性錯誤。受影響的元件包括 exif 模組和內嵌 \0 的檔案名稱處理。

針對 Debian 8「Jessie」，已在 5.6.40+dfsg-0+deb8u8 版本中修正這些問題。

建議您升級 php5 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在影像處理工具組 imagemagick 中發現多個弱點。

CVE-2019-19948

WriteSGIImage (coders/sgi.c) 中發生堆積緩衝區溢位，這是未充分驗證列和欄大小所致。遠端攻擊者可利用此弱點，透過建構的影像資料造成拒絕服務或任何其他不明影響。

CVE-2019-19949

WritePNGImage (coders/png.c) 中發生堆積型緩衝區過度讀取 (差一)，這是在指標解除參照之前缺少長度檢查所致。遠端攻擊者可能藉此弱點透過特製影像資料造成拒絕服務。

針對 Debian 8「Jessie」，已在 8:6.8.9.9-5+deb8u19 版本中修正這些問題。

建議您升級 imagemagick 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

據發現 libxml2 (GNOME XML 剖析程式庫) 中發現一個潛在的拒絕服務弱點。

針對 Debian 8「Jessie」，已在 libxml2 的 2.9.1+dfsg1-5+deb8u8 版本中修正此問題。

建議您升級 libxml2 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 OpenSC 的 libopensc/card-setcos.c 中發現一個問題，即在剖析 SETCOS 檔案屬性期間發生不正確的讀取作業。

針對 Debian 8「Jessie」，已在 0.16.0-3+deb8u2 版本中修正此問題。

建議您升級 opensc 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

Stephan Zeisberg 報告，
cyrus-sasl2 (實作簡單驗證和安全性層的程式庫) 的 _sasl_add_string() 函式中存在超出邊界寫入弱點。遠端攻擊者可利用此問題，造成使用此程式庫的應用程式拒絕服務。

在通用 UNIX 列印系統(tm) cups 中發現一個問題。

邊界檢查不正確，可能會導致印表機多工緩衝處理器中發生超出邊界讀取和本機資訊洩漏。

針對 Debian 8「Jessie」，已在 1.7.5-11+deb8u7 版本中修正此問題。

建議您升級 cups 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

最近在 TightVNC 1.x (一個適用於 Windows 和 Unix 的 X11 型 VNC 伺服器/檢視器應用程式) 中發現數個弱點。

CVE-2014-6053

在 TightVNC 伺服器中，rfbserver.c 中的 rfbProcessClientNormalMessage 函式未正確處理傳送大量 ClientCutText 資料的嘗試行動，允許遠端攻擊者透過使用單一未檢查 malloc 處理的建構訊息，造成拒絕服務 (記憶體耗盡或程序當機)。

CVE-2018-7225

rfbserver.c 中的 rfbProcessClientNormalMessage() 未清理 msg.cct.length，導致透過特別建構的 VNC 封包可以存取未初始化且可能敏感的資料，或者可能造成其他不明影響 (例如，整數溢位)。

CVE-2019-8287

TightVNC 程式碼的 HandleCoRREBBP 巨集函式中含有全域緩衝區溢位，可能導致程式碼執行。此攻擊似乎可以透過網路連線加以利用。

(即 CVE-2018-20020/libvncserver)

CVE-2018-20021

vncviewer/rfbproto.c 的 TightVNC 中包含一個 CWE-835: 無限迴圈弱點。攻擊者可利用此弱點耗用過量的資源，如 CPU 和 RAM。

CVE-2018-20022

TightVNC 之 vncviewer 的 VNC 用戶端程式碼中含有多個 CWE-665：不當初始化弱點，該弱點可允許攻擊者讀取堆疊記憶體，並可能遭到濫用以致資訊洩漏。
若搭配其他弱點，有心人士即可用來洩露堆疊記憶體配置並繞過 ASLR。

CVE-2019-15678

TightVNC 程式碼版本的 rfbServerCutText 處置程式中含有堆積緩衝區溢位，可能導致程式碼執行。此攻擊似乎可以透過網路連線加以利用。

(部分也稱為 CVE-2018-20748/libvnvserver)

CVE-2019-15679

TightVNC 之 vncviewer 程式碼的 InitialiseRFBConnection 函式中含有堆積緩衝區溢位，可能導致程式碼執行。此攻擊似乎可以透過網路連線加以利用。

(部分也稱為 CVE-2018-20748/libvnvserver)

CVE-2019-15680

TightVNC 之 vncviewer 程式碼的 HandleZlibBPP 函式中含有 NULL 指標解除參照，可導致拒絕系統 (DoS)。此攻擊似乎可以透過網路連線加以利用。

CVE-2019-15681

TightVNC 的 VNC 伺服器程式碼中含有一個記憶體洩漏 (CWE-655) 問題，該問題可允許攻擊者讀取堆疊記憶體，並可能遭到濫用以致資訊洩漏。若搭配其他弱點，有心人士即可用來洩露堆疊記憶體並繞過 ASLR。此攻擊似乎可以透過網路連線加以利用。

針對 Debian 8「Jessie」，已在 1.3.9-6.5+deb8u1 版本中修正這些問題。

建議您升級 tightvnc 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

Cyrus SASL 中存在一個超出邊界寫入問題，會透過格式錯誤的 LDAP 封包導致 OpenLDAP 中發生未經驗證的遠端拒絕服務。最終因 cyrus-sasl 的 common.c 中 _sasl_add_string 的差一錯誤導致 OpenLDAP 損毀。

針對 Debian 8「Jessie」，已在 2.1.26.dfsg1-13+deb8u2 版本中修正此問題。

建議您升級 cyrus-sasl2 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

據發現，如果使用 fileinto，則 Cyrus IMAP 的 lmtpd 元件會以系統管理員權限建立信箱，進而繞過 ACL 檢查。

在準備對 CVE-2017-6314 進行修正時，引入了一個未知符號 g_uint_checked_mul()。

針對 Debian 8「Jessie」，已在 2.31.1-2+deb8u9 版本中修正此問題。

建議您升級 gdk-pixbuf 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

據發現，debian-edu-config (一組用於 Debian Edu 混合的設定檔) 針對 Kerberos 管理伺服器設定了過於寬鬆的 ACL，允許變更其他使用者主體的密碼。

據發現，Django (Python 型 Web 開發架構) 中存在一個潛在的帳戶劫持弱點。

Django 的密碼重設表單使用不區分大小寫的查詢，來擷取與要求密碼重設之電子郵件地址相匹配的帳戶。
這通常涉及明確或隱含的大小寫轉換，因此知道與使用者帳戶相關聯之電子郵件地址的攻擊者可利用這一點，建構一個不同於與該帳戶相關聯之地址的電子郵件地址，由於 Unicode 的大小寫轉換行為，建構的地址在大小寫轉換後不再與原地址不同，或在指定資料庫大小寫轉換或排序行為情況下與原地址比較時被視為相同。在這種情況下，攻擊者可以收到使用者帳戶的有效密碼重設 token。

為解決此問題，在 Django 中進行了兩個變更：

  - 在從資料庫擷取可能相符的帳戶清單之後，Django 的密碼重設功能現在也會使用 Unicode 技術報告第 36 號第 2.11.2(B)(2) 節中所推薦的識別碼比對處理程序，在 Python 中檢查電子郵件地址是否完全一致。

  - 產生密碼重設電子郵件後，Django 現在會將其傳送至從資料庫擷取的電子郵件地址，而非在密碼重設要求表單中提交的電子郵件地址。

詳情請參閱：

https://www.djangoproject.com/weblog/2019/dec/18/security-releases/

針對 Debian 8「Jessie」，已在 python-django 的 1.7.11-1+deb8u8 版本中修正此問題。

建議您升級 python-django 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

據發現，debian-edu-config (包含Debian Edu (Skolelinux) 設定檔和指令碼的套件) 中含有 kadmin (Kerberos 管理伺服器) 的不安全組態。不安全的組態允許每位使用者變更其他使用者的密碼，進而模擬其他使用者並可能取得其權限。

此錯誤並未在正式記錄的 Debian Edu 使用者管理前端中洩漏，但知道如何使用 Kerberos 後端的本機網路使用者可濫用此錯誤。

針對 Debian 8「Jessie」，已在 1.818+deb8u3 版本中修正此問題。

建議您升級 debian-edu-config 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

據發現，python-ecdsa (適用於 Python 的密碼編譯簽章程式庫) 未正確處理某些簽章。遠端攻擊者可利用此問題，導致 python-ecdsa 不對錯誤簽章發出警告，或產生可導致拒絕服務的例外狀況。

在適用於 Ruby 語言的解譯器中發現數個弱點，可造成藉由繞過預期的路徑比對取得未獲授權的存取權限、拒絕服務，或執行任意程式碼。

在 harfbuzz (一種 OpenType 文字成形引擎) 中發現一個問題。

由於發生緩衝區過度讀取，遠端攻擊者可透過建構的資料造成拒絕服務，或可能造成其他影響。

針對 Debian 8「Jessie」，已在 0.9.35-2+deb8u1 版本中修正此問題。

建議您升級 harfbuzz 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 libvorbis (適用於 Vorbis General Audio Compression Codec 的解碼器程式庫) 中發現兩個問題。

2017-14633

在 Xiph.Org libvorbis 1.3.5 中，mapping0.c 的函式 mapping0_forward() 中存在一個超出邊界陣列讀取弱點，使用 vorbis_analysis() 對建構的音訊檔案進行操作時，可能會導致 DoS。

2017-11333

在 Xiph.Org libvorbis 1.3.5 中，lib/block.c 中的 vorbis_analysis_wrote 函式可允許遠端攻擊者透過建構的 wav 檔案造成拒絕服務 (OOM)。

針對 Debian 8「Jessie」，已在 1.3.4-2+deb8u3 版本中修正這些問題。

建議您升級 libvorbis 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

libssh 0.6.3-4+deb8u4 (發佈為 DLA 2038-1) 中引入的變更破壞了 x2goclient 將工作階段安裝檔從客戶端安全複製到伺服器的方式，導致在工作階段啟動 (和工作階段恢復) 期間，GUI 錯誤對話方塊中顯示錯誤訊息。

針對 Debian 8「Jessie」，已在 x2goclient 的 4.0.3.1-4+deb8u1 版本中修正此問題。

建議您升級 x2goclient 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 Thunderbird 中發現多個安全性問題，可能會導致執行任意程式碼。

在 spamassassin (使用文字分析的 Perl 型垃圾郵件篩選器) 中發現兩個弱點。

CVE-2018-11805

(可能是從更新伺服器下載的)惡意規則或設定檔可在多種狀況下執行任意命令。

CVE-2019-12420

特別建構的 mulitpart 訊息可導致 spamassassin 使用過多資源，進而造成拒絕服務。

針對 Debian 8「Jessie」，已在 3.4.2-0+deb8u2 版本中修正這些問題。

建議您升級 spamassassin 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 Thunderbird 中發現多個安全性問題，可能會導致執行任意程式碼。

針對 Debian 8「Jessie」，已在 1:68.3.0-2~deb8u1 版本中修正這些問題。

建議您升級 thunderbird 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 spamassassin (使用文字分析的 Perl 型垃圾郵件篩選器) 中發現兩個弱點。

  - CVE-2018-11805 (可能是從更新伺服器下載的)惡意規則或設定檔可在多種狀況下執行任意命令。

  - CVE-2019-12420 特別建構的 mulitpart 訊息可導致 spamassassin 使用過多資源，進而造成拒絕服務。

發現 SPIP 發佈系統中有一個弱點，可導致作者在未經授權的情況下寫入資料庫。

舊的穩定發行版本 (stretch) 未受影響。

在 DAViCal CalDAV 伺服器中發現多個跨網站指令碼和跨網站要求偽造問題。

在 libpgf (處理 Progressive Graphics File (PGF) 的程式庫) 中發現一個問題。

由於缺少對 ColorTableSize 的驗證，Decoder.cpp 中可能出現釋放後使用問題

針對 Debian 8「Jessie」，已在 6.14.12-3+deb8u1 版本中修正此問題。

建議您升級 libpgf 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 DAViCal CalDAV 伺服器中發現多個跨網站指令碼和跨網站要求偽造問題。

針對 Debian 8「Jessie」，已在 1.1.3.1-1+deb8u1 版本中修正這些問題。

建議您升級 davical 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 php-horde (Horde 應用程式架構) 中發現一個弱點，可能導致透過跨網站指令碼造成資訊洩漏。

針對 Debian 8「Jessie」，已在 5.2.1+debian0-2+deb8u5 版本中修正此問題。

建議您升級  php-horde 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 git (執行速度快且可供擴充的分散式修訂版控制系統) 中發現數個弱點。

  - CVE-2019-1348 據報告，git fast-import 的 --export-marks 選項也透過 in-stream 命令功能 export-marks=... 受到影響，這可允許覆寫任意路徑。

  - CVE-2019-1387 發現對子模組名稱的驗證不夠嚴格，從而導致在執行遞迴複製時可透過執行遠端程式碼來發動極有針對性的攻擊。

  - CVE-2019-19604 Joern Schneeweisz 報告了一個弱點，其中子模組更新採用的遞回複製可在使用者未明確要求的情況下執行存放庫中的程式碼。「.gitmodules」現在不允許包含設定「submodule.<name>.update=!command」的項目。

此外，此更新可解決數個安全性問題，只有當 git 在 NTFS 檔案系統上作業時，這些問題才會造成影響 (CVE-2019-1349、CVE-2019-1352 和 CVE-2019-1353)。

在 cacti (伺服器監控系統) 中發現不安全的還原序列化問題。

物件的不安全還原序列化可導致濫用應用程式邏輯、拒絕服務或甚至執行任意程式碼。

針對 Debian 8「Jessie」，已在 cacti 的 0.8.8b+dfsg-8+deb8u8 版本中修正此問題。

建議您升級 cacti 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

據發現，freeimage (一個圖形程式庫) 受到下列兩個安全性問題的影響：

CVE-2019-12211

PluginTIFF 中的無效 memcpy 造成堆積緩衝區溢位。遠端攻擊者可能利用此缺陷，透過建構的 TIFF 資料觸發拒絕服務或任何不明影響。

CVE-2019-12213

PluginTIFF 中的非預期遞迴造成堆疊耗盡。遠端攻擊者可能利用此缺陷，透過建構的 TIFF 資料觸發拒絕服務。

針對 Debian 8「Jessie」，已在 3.15.4-4.2+deb8u2 版本中修正這些問題。

建議您升級 freeimage 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 jackson-databind 中發現更多還原序列化缺陷，可允許未經驗證的使用者執行遠端程式碼。
擴大黑名單並封鎖更多來自多型態還原序列化的類別，即可解決此問題。

針對 Debian 8「Jessie」，已在 2.4.2-2+deb8u10 版本中修正這些問題。

建議您升級 jackson-databind 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 Mozilla Firefox 網頁瀏覽器中發現多個安全性問題，可能會導致任意程式碼執行。

針對 Debian 8「Jessie」，已在 68.3.0esr-1~deb8u1 版本中修正這些問題。

建議您升級 firefox-esr 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

據發現，Squid (適用於 Web 用戶端的高效能代理快取伺服器) 受到下列安全性弱點影響。

CVE-2019-12526

Squid 中的 URN 回應處理受到一個堆積型緩衝區溢位問題的影響。當從遠端伺服器接收資料以回應 URN 要求時，Squid 無法確保回應能夠放入緩衝區。這會導致由攻擊者控制的資料在堆積中溢位。

CVE-2019-18677

使用 append_domain 設定時 (由於附加的字元未與主機名稱長度限制正確互動)，可將流量不當重新導向至不應傳送至的來源。這是不正確的訊息處理所致。

CVE-2019-18678

存在一個程式設計錯誤，允許攻擊者透過前端軟體將 HTTP 要求走私至 Squid 執行個體，該執行個體會以不同方式分割 HTTP 要求工作流程。所產生的回應訊息會在任意 URL 上使用攻擊者控制的內容損毀 (用戶端和 Squid 之間的) 快取。僅影響攻擊者用戶端和 Squid 之間的軟體。對 Squid 本身或任何上游伺服器都沒有影響。此問題與一個要求標頭有關，該標頭的表頭名稱和冒號之間含有空格。

CVE-2019-18679

由於資料管理不正確，處理 HTTP 摘要式驗證時 Squid 容易發生資訊洩漏。Nonce token 包含堆積記憶體配置中指標的原始位元組值。此資訊會降低 ASLR 保護，並可協助攻擊者隔離作為遠端程式碼執行攻擊目標的記憶體區域。

針對 Debian 8「Jessie」，已在 3.4.8-6+deb8u9 版本中修正這些問題。

建議您升級 squid3 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 Ruby 中發現數個安全性弱點，這些弱點也會影響 Debian 的 JRuby 套件 (Ruby 的純 Java 實作)。攻擊者可在使用 WEBrick 模組時，呼叫任意 Ruby 方法、造成拒絕服務或將輸入插入 HTTP 回應標頭。

針對 Debian 8「Jessie」，已在 1.5.6-9+deb8u2 版本中修正這些問題。

建議您升級 jruby 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 Mozilla Firefox 網頁瀏覽器中發現多個安全性問題，可能會導致任意程式碼執行。

在 HTMLDOC 中，htmldoc/ps-pdf.cxx 中存在一位元組的反向溢位，這是 GCC 和 Clang 之間的浮點數學差異所致。

針對 Debian 8「Jessie」，已在 htmldoc 的 1.8.27-8+deb8u1 版本中修正此問題。

建議您升級 htmldoc 套件。此上傳由 Utkarsh Gupta 準備 <guptautkarsh2102@gmail.com>。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 NSS (一組密碼編譯程式庫) 中發現兩個弱點，可導致拒絕服務，並可能執行任意程式碼。

OpenSLP 套件中存在兩個未解決的安全性問題：

CVE-2017-17833

1.0.2 和 1.1.0 程式碼資料流中的 OpenSLP 版本存在一個堆積相關的記憶體損毀問題，可能會顯示為拒絕服務或遠端程式碼執行弱點。

CVE-2019-5544

ESXi 和 Horizon DaaS 裝置中使用的 OpenSLP 存在堆積覆寫問題。VMware 已將此問題的安全性提高至「重大」嚴重性範圍。

針對 Debian 8「Jessie」，已在 1.2.1-10+deb8u2 版本中修正這些問題。此上傳由 Utkarsh Gupta 準備 <guptautkarsh2102@gmail.com>。

建議您升級 openslp-dfsg 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

4.9.2 之前的 phpMyAdmin 不會逸出特定 Git 資訊，這與 libraries/display_git_revision.lib.php 和 libraries/Footer.class.php 有關。

針對 Debian 8「Jessie」，已在 phpmyadmin 的 4:4.2.12-2+deb8u7 版本中修正此問題。此上傳由 Utkarsh Gupta 準備 <guptautkarsh2102@gmail.com>

建議您升級 phpmyadmin 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 OpenJDK (Oracle Java 平台的實作) 中發現數個弱點，進而導致拒絕服務、沙箱繞過、資訊洩漏或執行任意程式碼。

適用於 amd64 架構的更新已經可用，而適用於 i386、armel 和 armhf 的新套件將在接下來的 24 小時內提供。

針對 Debian 8「Jessie」，已在 7u241-2.6.20-1~deb8u1 版本中修正這些問題。

建議您升級 openjdk-7 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

據發現，librabbitmq (一個用於在應用程式和伺服器之間進行健全傳訊的程式庫) 中存在一個整數溢位弱點。

針對 Debian 8「Jessie」，已在 librabbitmq 的 0.5.2-2+deb8u1 版本中修正此問題。

建議您升級 librabbitmq 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

已在 libav (一種用於處理音訊和視訊檔案的多媒體程式庫) 中修正數個安全問題。

CVE-2017-17127

遠端攻擊者可利用 libavcodec/vc1dec.c 中的 vc1_decode_frame 函式，透過建構的檔案造成拒絕服務 (NULL 指標解除參照和應用程式當機)。CVE-2018-19130 與此弱點重複。

CVE-2017-18245

遠端攻擊者可利用 libavformat/mpc8.c 中的 mpc8_probe 函式，透過建構的音訊檔案在 32 位系統上造成拒絕服務。

CVE-2018-19128

libavcodec/lcldec.c 的 decode_frame 中存在堆積型緩衝區過度讀取，攻擊者可利用此問題，透過建構的 avi 檔案造成拒絕服務。

CVE-2019-14443

libavcodec/apedec.c 的 range_decode_culshift 中存在除以零錯誤，遠端攻擊者可利用此問題造成拒絕服務 (應用程式當機)，avconv 即為一例。

CVE-2019-17542

vqa_decode_chunk 中存在堆積型緩衝區溢位，這是 libavcodec/vqavideo.c 的 vqa_decode_init 中的超出陣列存取所致。

針對 Debian 8「Jessie」，已在 6:11.12-1~deb8u9 版本中修正這些問題。

建議您升級 libav 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 Oniguruma 規則運算式程式庫中發現多個弱點，特別是用於 PHP mbstring 時。CVE-2019-19012 在 regexec.c 中，search_in_range 函式的整數溢位情形導致超出邊界讀取，攻擊者可掌控此讀取的位移。(此弱點只影響 32 位元編譯版本)。遠端攻擊者可透過特製的規則運算式造成拒絕服務或資訊洩露，或可能造成其他不明影響。CVE-2019-19204 在 regparse.c 的 fetch_range_quantifier 函式中，在未檢查 PEND 的情況下呼叫了 PFETCH。這可透過特製的規則運算式導致堆積型緩衝區過度讀取及拒絕服務。CVE-2019-19246 在 regexec.c 中，str_lower_case_match 中的堆積型緩衝區過度讀取可透過特製的規則運算式導致拒絕服務。針對 Debian 8「Jessie」，這些問題已在 5.9.5-3.2+deb8u4 版本中修正。建議您升級 libonig 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 libvpx 多媒體程式庫中發現多個安全性問題，若處理格式錯誤的 WebM 檔案，這些問題會導致拒絕服務，並可能造成任意程式碼執行。

Tim Dusterhus 發現，haproxy (TCP/HTTP 反向代理程式) 未在從 HTTP/2 轉換到 HTTP/1 時正確清理 HTTP 標頭。遠端使用者可藉以執行 CRLF 插入。

已損毀或特製的 CRW 影像可能會超出整體緩衝區大小，而造成拒絕服務。針對 Debian 8「Jessie」，此問題已在 0.24-4.1+deb8u5 版本中修正。建議您升級 exiv2 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

ID	名稱	嚴重性
132425	Debian DSA-4594-1：openssl1.0 - 安全性更新	medium
132424	Debian DSA-4593-1：freeimage - 安全性更新	high
132423	Debian DSA-4592-1：mediawiki - 安全性更新	medium
132422	Debian DLA-2050-1：php5 安全性更新	medium
132421	Debian DLA-2049-1：imagemagick 安全性更新	critical
132420	Debian DLA-2048-1：libxml2 安全性更新	high
132406	Debian DLA-2046-1：opensc 安全性更新	medium
132347	Debian DSA-4591-1：cyrus-sasl2 - 安全性更新	high
132346	Debian DLA-2047-1：cups 安全性更新	medium
132345	Debian DLA-2045-1：tightvnc 安全性更新	critical
132344	Debian DLA-2044-1：cyrus-sasl2 安全性更新	high
132326	Debian DSA-4590-1：cyrus-imapd - 安全性更新	medium
132325	Debian DLA-2043-2：gdk-pixbuf 迴歸更新	high
132269	Debian DSA-4589-1：debian-edu-config - 安全性更新	high
132268	Debian DLA-2042-1：python-django 安全性更新	critical
132267	Debian DLA-2041-1：debian-edu-config 安全性更新	high
132110	Debian DSA-4588-1：python-ecdsa - 安全性更新	critical
132109	Debian DSA-4587-1：ruby2.3 - 安全性更新	high
132108	Debian DSA-4586-1：ruby2.5 - 安全性更新	high
132107	Debian DLA-2040-1：harfbuzz 安全性更新	high
132106	Debian DLA-2039-1：libvorbis 安全性更新	medium
132105	Debian DLA-2038-2：x2goclient 迴歸更新	high
132082	Debian DSA-4585-1：thunderbird - 安全性更新	high
132081	Debian DLA-2037-1：spamassassin 安全性更新	medium
132080	Debian DLA-2036-1：thunderbird 安全性更新	high
132063	Debian DSA-4584-1：spamassassin - 安全性更新	medium
132062	Debian DSA-4583-1：spip - 安全性更新	medium
132061	Debian DSA-4582-1：davical - 安全性更新	critical
132060	Debian DLA-2035-1：libpgf 安全性弱點	critical
132059	Debian DLA-2034-1：davical 安全性更新	critical
132058	Debian DLA-2033-1：php-horde 安全性更新	high
131966	Debian DSA-4581-1：git - 安全性更新	critical
131965	Debian DLA-2032-1：cacti 安全性更新	high
131964	Debian DLA-2031-1：freeimage 安全性更新	high
131963	Debian DLA-2030-1：jackson-databind 安全性更新	critical
131962	Debian DLA-2029-1：firefox-esr 安全性更新	high
131961	Debian DLA-2028-1：squid3 安全性更新	critical
131960	Debian DLA-2027-1：jruby 安全性更新	high
131838	Debian DSA-4580-1：firefox-esr - 安全性更新	high
131837	Debian DLA-2026-1：htmldoc 安全性更新	high
131784	Debian DSA-4579-1：nss - 安全性更新	high
131783	Debian DLA-2025-1：openslp-dfsg 安全性更新	high
131782	Debian DLA-2024-1：phpmyadmin 安全性更新	critical
131781	Debian DLA-2023-1：openjdk-7 安全性更新	medium
131780	Debian DLA-2022-1：librabbitmq 安全性更新	critical
131740	Debian DLA-2021-1：libav 安全性更新	critical
131705	Debian DLA-2020-1：libonig 安全性更新	critical
131439	Debian DSA-4578-1：libvpx - 安全性更新	high
131438	Debian DSA-4577-1：haproxy - 安全性更新	critical
131437	Debian DLA-2019-1：exiv2 安全性更新	medium

偵測

Nessus 的 Debian Local Security Checks 系列

medium

high

medium

medium

critical

high

medium

high

medium

critical

high

medium

high

high

critical

high

critical

high

high

high

medium

high

high

medium

high

medium

medium

critical

critical

critical

high

critical

high

high

critical

high

critical

high

high

high

high

high

critical

medium

critical

critical

critical

high

critical

medium