Daniel Mandragona 發現，無效的 DSA 公開金鑰可在 dsa.Verify() 中造成錯誤，進而導致拒絕服務。

在檔案類型分類工具 file 中發現緩衝區溢位問題，如果處理格式錯誤的 CDF (複合文件檔案)，可能會導致拒絕服務或任意程式碼執行攻擊。

在 Mozilla Firefox Web 瀏覽器中發現多個安全性問題，可能會導致任意程式碼執行、資訊洩漏、跨網站指令碼或拒絕服務。

Debian 遵循 Firefox 的延伸支援版本 (ESR)。已停止支援 60.x 系列，自此更新開始，我們將遵循 68.x 版本。

在 proftp-dfsg (一種多功能虛擬主機 FTP 程序) 中發現一個問題。

由於未正確處理過長命令，未經驗證的遠端使用者可透過達到

無限迴圈來觸發拒絕服務。

針對 Debian 8「Jessie」，已在 1.3.5e+r1.3.5-2+deb8u4 版本中修正此問題。

建議您升級 proftpd-dfsg 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 libxslt (以 C 語言撰寫的 XSLT 1.0 處理程式庫) 中發現一個安全性弱點。

在 transform.c 的 xsltCopyText 中，在某些情況下不會重設指標變數。如果相關記憶體區域碰巧以特定方式遭到釋放和重複使用，邊界檢查可能會失敗，而且緩衝區外的記憶體可能會被寫入，或未初始化的資料可能會遭到洩漏。

針對 Debian 8「Jessie」，已在 1.1.28-2+deb8u6 版本中修正此問題。

建議您升級 libxslt 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 mosquitto (與 MQTT 3.1/3.1.1 版相容的訊息代理程式) 中發現數個問題。

CVE-2017-7655

Mosquitto 程式庫中存在 Null 解除參照弱點，可導致使用該程式庫的應用程式當機。

CVE-2018-12550

沒有陳述式的 ACL 檔案被視為具有預設允許原則。空 ACL 檔案的新行為是預設的拒絕存取原則。(符合所有較新的版本)

CVE-2018-12551

密碼檔案中格式錯誤的驗證資料可讓用戶端規避驗證，並取得對代理人的存取權。

CVE-2019-11779

針對處理建構的 SUBSCRIBE 封包的修正，該封包包含一個由約 65400 個或更多「/」字元組成的主題。(將 TOPIC_HIERARCHY_LIMIT 設為 200)

針對 Debian 8「Jessie」，已在 1.3.4-2+deb8u4 版本中修正這些問題。

建議您升級 mosquitto 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 libarchive (多格式封存與壓縮程式庫) 中發現一個問題。

如果某個建構的封存包含數個部分且其中一部分遭到損毀，則該封存的下一部分會發生釋放後使用。

針對 Debian 8「Jessie」，已在 3.1.2-11+deb8u8 版本中修正此問題。

建議您升級 libarchive 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

Emil Lerner、beched 和 d90pwn 發現，php5-fpm (適用於 PHP 語言的快速處理程序管理員) 中存在緩衝區反向溢位，可導致遠端程式碼執行。

執行個體是否容易受到弱點影響，取決於 Web 伺服器組態，特別是 PATH_INFO 處理。如需先決條件的完整清單，請查看： https://github.com/neex/phuip-fpizdam

針對 Debian 8「Jessie」，已在 5.6.40+dfsg-0+deb8u7 版本中修正此問題。

建議您升級 php5 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 file (使用魔術數字來判斷檔案類型的工具) 中發現一個問題。

必須限制 CDF_VECTOR 元素的數量，才能預防堆積型緩衝區溢位 (4 位元組超出邊界寫入)。

針對 Debian 8「Jessie」，此問題已在 1:5.22+15-2+deb8u6 版本中修正。

建議您升級 file 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

已在 OpenJDK Java 執行時間中發現多個會造成跨網站指令碼、拒絕服務、 資訊洩漏或 Kerberos 使用者偽冒的弱點。

在 tcpdump (一種命令行網路流量分析器) 中發現數個弱點。這些弱點可能會導致拒絕服務，或可能執行任意程式碼。

在影像處理工具組 imagemagick 中發現多個弱點。CVE-2019-11470 未充分清理 ReadCINImage (coders/cin.c) 中的影像大小造成不受控制的資源耗用。遠端攻擊者可能藉此弱點透過特製的 Cineon 影像造成拒絕服務。CVE-2019-14981 MeanShiftImage (magick/feature.c) 中有除以零弱點。遠端攻擊者可能藉此弱點透過特製影像資料造成拒絕服務。CVE-2019-15139 ReadXWDImage (coders/xwd.c) 中有超出邊界讀取情形。遠端攻擊者可能藉此弱點透過特製 XWD (X Window System 視窗轉儲存檔案) 影像檔案造成拒絕服務。CVE-2019-15140 ReadMATImage (coders/mat.c) 中有邊界檢查問題，可能會導致釋放後使用情形。遠端攻擊者可能藉此弱點透過特製 MAT 影像檔案造成拒絕服務，或任何不明影響。針對 Debian 8「Jessie」，這些問題已在 8:6.8.9.9-5+deb8u18 版本中修正。建議您升級 imagemagick 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

libpcap (Packet CAPture) (一種低層級的網路監控程式庫) 未正確驗證 PHB 標頭長度即配置記憶體。此更新新增了對 PHB 標頭長度的功能健全檢查。針對 Debian 8「Jessie」，此問題已在 1.6.2-2+deb8u1 版本中修正。建議您升級 libpcap 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 Graphite 中，graphite-web/webapp/graphite/composer/views.py 的「send_email」函式容易受到 SSRF 影響。攻擊者可利用易受影響的 SSRF 端點讓 Graphite Web 伺服器要求任何資源。對此 SSRF 要求的回應以影像檔的形式編碼，然後被傳送至可由攻擊者提供的電子郵件位址。因此，攻擊者可洩漏任何資訊。針對 Debian 8「Jessie」，此問題已在 0.9.12+debian-6+deb8u1 版本中修正。建議您升級 graphite-web 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

Fredric 在 MilkyTracker 中發現幾個緩衝區溢位情形，簡要說明如下。CVE-2019-14464 在 MilkyTracker 的 milkyplay 中，XMFile.cpp 的 XMFile::read 有堆積型緩衝區溢位情形。CVE-2019-14496 在 MilkyTracker 的 milkyplay 中，LoaderXM.cpp 的 LoaderXM::load 有堆疊型緩衝區溢位情形。CVE-2019-14497 在 MilkyTracker 中，tracker/ModuleEditor.cpp 的 ModuleEditor::convertInstrument 有堆積型緩衝區溢位情形。針對 Debian 8「Jessie」，這些問題已在 0.90.85+dfsg-2.2+deb8u1 版本中修正。建議您升級 milkytracker 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

據發現，MediaWiki (適用於共同作業的網站引擎) 的 Special:Redirect 功能可能會暴露隱藏的使用者名稱，進而導致資訊洩漏。

據發現，Aspell (GNU 拼字檢查程式) 未正確處理某些輸入，進而導致堆疊型緩衝區過度讀取。攻擊者可藉以存取敏感資訊。針對 Debian 8「Jessie」，此問題已在 0.60.7~20110707-1.3+deb8u1 版本中修正。建議您升級 aspell 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 nfs-utils 套件 (為 Network File System (NFS) 提供支援檔案，包括 rpc.statd 程序) 中，目錄 /var/lib/nfs 為 statd:nogroup 所擁有。此目錄含有 root 擁有及管理的檔案。若 statd 遭到入侵，即可誘騙以 root 權限執行的處理程序在系統上的任意位置建立/覆寫檔案。針對 Debian 8「Jessie」，此問題已在 1.2.8-9+deb8u1 版本中修正。建議您升級 nfs-utils 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 sudo (為特定使用者提供有限超級使用者權限的程式) 中，有權存取 Runas ALL sudoer 帳戶的攻擊者可用特製的使用者 ID 叫用 sudo，以繞過特定原則黑名單及工作階段 PAM 模組，並可造成不正確的記錄動作。例如，這允許繞過「sudo -u#-1」命令的 (ALL,!root) 組態。詳情請參閱 https://www.sudo.ws/alerts/minus_1_uid.html。針對 Debian 8「Jessie」，此問題已在 1.8.10p3-1+deb8u6 版本中修正。建議您升級 sudo 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

CVE-2019-10871 broke xpdf 的修正。此更新已還原，直到開發出更好的修正為止。針對 Debian 8「Jessie」，此問題已在 0.18_0.26.5-2+deb8u13 版本中修正。建議您升級 poppler 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在常用的內容管理框架 Wordpress 中發現數個跨網站指令碼 (XSS) 弱點。攻擊者可利用這些缺陷將惡意的指令碼傳送給不知情的使用者。針對 Debian 8「Jessie」，這些問題已在 4.1.27+dfsg-0+deb8u1 版本中修正。建議您升級 wordpress 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

X41 D-Sec 發現 unbound (一種驗證、遞回和快取 DNS 解析器) 未正確處理某些 NOTIFY 查詢，
這可以造成應用程式損毀，進而導致遠端拒絕服務。

Joe Vennix 發現，當 sudo (一個用來向特定使用者提供有限的超級使用者權限的程式) 組態為允許使用者透過 Runas 規範中的 ALL 關鍵字，以任意使用者的身分執行命令時，將使用者 ID 指定為 -1 或 4294967295，即有可能以 root 身分執行命令。具有足夠 sudo 權限的使用者可利用此弱點以 root 權限執行命令，即使 Runas 規範明確拒絕 root 存取也依然無效。

如需詳細資訊，請參閱上游公告：https://www.sudo.ws/alerts/minus_1_uid.html。

據發現，「xtrlock」畫面鎖定公用程式並未停用多點觸控裝置。

xtrlock 並未封鎖多點觸控事件，因此攻擊者仍可透過所謂的「多點觸控」事件執行輸入，進而控制 Chromium 等各種程式， 事件包括平移捲動、「縮小和放大」，甚至是透過按一下觸控板再用另一根手指按一下滑鼠，來實現常規的滑鼠點擊操作。

針對 Debian 8「Jessie」，已在 xtrlock 的 2.6+deb8u1 版本中修正此問題。不過，此修正並不適用於攻擊者在螢幕鎖定之後*之後*插入多點觸控裝置的情況。如需更多資訊，請參閱：

https://bugs.debian.org/830726#115

建議您升級需要進一步修正的 xtrlock 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

此更新包含 tzdata 2019c 中針對 Perl 繫結所做的變更。如需變更清單，請參閱 DLA-1957-1。

針對 Debian 8「Jessie」，已在 1:1.75-2+2019c 版本中修正此問題。

建議您升級 libdatetime-time zone-perl 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

此更新包含 tzdata 2018c 中的變更。值得注意的變更：

  - 巴西已取消 DST，並將無限期維持標準時間。

  - 斐濟的下一個 DST 轉換日期為 2019 年 11 月 10 日和 2020 年 1 月 12 日，而非 2019 年 11 月 3 日和 2020 年 1 月 19 日。

  - 諾福克島將從 2019 年春季開始實施澳大利亞式 DST。第一個轉換日期為 2019 年 10 月 6 日。

針對 Debian 8「Jessie」，已在 2019c-0+deb8u1 版本中修正此問題。

建議您升級 tzdata 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 tcpdump (一種命令行網路流量分析器) 中發現數個弱點。這些安全性弱點可能會導致拒絕服務，或可能執行任意程式碼。

針對 Debian 8「Jessie」，已在 4.9.3-1~deb8u1 版本中修正這些問題。

建議您升級 tcpdump 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

ruby-openid 會先執行探索，然後再執行驗證。攻擊者可利用這一點，先變更用於探索的 URL，再誘騙伺服器連線至該 URL。此伺服器可能會變成無法公開存取的私人伺服器。

此外，若使用此程式庫的用戶端洩露連線錯誤，就會導致私人伺服器將資訊洩露給攻擊者。

針對 Debian 8「Jessie」，已在 2.5.0debian-1+deb8u1 版本中修正此問題。

建議您升級 ruby-openid 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 lucene-solr (企業搜尋伺服器) 中發現一個安全性弱點。

DataImportHandler 是一個可選但很常用的模組，可從資料庫和其他來源引入資料，此模組具有一個特點，即整個 DIH 組態皆可來自請求的「dataConfig」參數。DIH 系統管理畫面的除錯模式可利用此特點，方便地進行 DIH 組態的除錯/開發。由於 DIH 組態可包含指令碼，所以此參數有安全性風險。從現在開始，使用此參數需要將 Java System 內容「enable.dih.dataConfigParam」設為 true。例如，透過將 -Denable.dih.dataConfigParam=true 新增至 /etc/default/tomcat7 中的 JAVA_OPTS，即可使用 solr-tomcat 達到此目的。

針對 Debian 8「Jessie」，已在 3.6.2+dfsg-5+deb8u3 版本中修正此問題。

建議您升級 ucene-solr 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

發佈為 DLA 1953-1 的 clamav 更新造成了 /var/run/clamav 的權限問題。這導致數個使用者在重新啟動 clamav 程序時遇到問題。此迴歸是錯誤地從 stretch 套件反向移植修補程式所致，而此更新正是以此為基礎。

針對 Debian 8「Jessie」，已在 0.101.4+dfsg-0+deb8u2 版本中修正此問題。

建議您升級 clamav 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

發現存在兩個弱點，分別位於適用於 AIX 和 Cisco 記錄訊息的解析器的 rsyslog 系統/核心記錄程序中。

針對 Debian 8「Jessie」，已在 rsyslog 的 8.4.2-1+deb8u3 版本中修正這些問題。

建議您升級 rsyslog 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

據發現，libtomcrypt 密碼編譯程式庫中存在拒絕服務弱點。

透過精心建構的「DER」編碼資料 (例如，透過匯入 X.509 憑證)，可造成超出邊界讀取和當機。

針對 Debian 8「Jessie」，已在 libtomcrypt 的 1.17-6+deb8u1 版本中修正此問題。

建議您升級 libtomcrypt 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 openjpeg2 (開放原始碼 JPEG 2000 轉碼器) 中發現堆積緩衝區溢位弱點。此弱點是未充分驗證 color_apply_icc_profile (src/bin/common/color.c) 中影響元件的寬度和高度所致。遠端攻擊者可透過建構的 JP2 檔案利用此弱點，進而導致拒絕服務 (應用程式當機) 或任何其他未定義的行為。

針對 Debian 8「Jessie」，已在 2.1.0-2+deb8u8 版本中修正此問題。

建議您升級 openjpeg2 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 Xen hypervisor 中發現多個弱點，會造成拒絕服務、資訊洩漏或權限提升。針對 Debian 8「Jessie」，已在 4.4.4lts5-0+deb8u1 版本中修正這些問題。

建議您升級 xen 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 ruby-mini-magick 的 lib/mini_magick/image.rb 中，擷取的遠端映像檔案名稱可能會導致遠端命令執行，因為 Image.open 輸入會直接傳遞給 Kernel#open，而其接受 '|' 字元後緊接命令。針對 Debian 8「Jessie」，此問題已在 3.8.1-1+deb8u1 版本中修正。建議您升級 ruby-mini-magick 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

發現剖析 JSON 及其他資料格式的 Java 程式庫 jackson-databind 在嘗試還原序列化前，未正確驗證使用者輸入。這可允許攻擊者提供惡意特製的輸入，以執行程式碼或讀取伺服器上的任意檔案。

Max Kellermann 報告 libapreq2 (通用的 Apache 要求程式庫) 中存在一個 NULL 指標解除參照缺陷，如果處理無效的巢狀「多部分」內文，遠端攻擊者可以利用該程式庫導致應用程式拒絕服務 (應用程式損毀)。

在 office 生產力套件 LibreOffice 中發現數個弱點。CVE-2019-9848 Nils Emmerich 發現惡意文件可以透過 LibreLogo 執行任意 Python 程式碼。CVE-2019-9849 Matei Badanoiu 發現隱形模式不適用於項目符號圖形。CVE-2019-9850 據發現，因為 URL 驗證不足，可以繞過 CVE-2019-9848 中實作的保護。CVE-2019-9851 Gabriel Masei 發現惡意文件可執行任意預先安裝的指令碼。CVE-2019-9852 Nils Emmerich 發現，URL 編碼攻擊可能會繞過為解決 CVE-2018-16858 而實作的保護。CVE-2019-9853 Nils Emmerich 發現惡意文件可繞過文件安全性設定，以執行文件中包含的巨集。CVE-2019-9854 據發現，因為輸入清理不足，可以繞過解決 CVE-2019-9852 中實作的保護。針對 Debian 8「Jessie」，這些問題已在 1:4.3.3-2+deb8u13 版本中修正。建議您升級 libreoffice 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 noVNC 中發現一個 XSS 弱點，遠端 VNC 伺服器可以透過傳播到狀態欄位的訊息 (例如 VNC 伺服器名稱) 將任意 HTML 插入 noVNC 網頁中。針對 Debian 8「Jessie」，此問題已在 1:0.4+dfsg+1+20131010+gitf68af8af3d-4+deb8u1 版本中修正。建議您升級 novnc 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

CrowdStrike Intelligence 高級研究團隊的 Lukas Kupczyk 在 OpenConnect (Cisco AnyConnect、Pulse、GlobalProtect VPN 的開放用戶端) 中發現一個弱點。惡意 HTTP 伺服器 (在接受其身份認證之後) 可能會提供假的區塊長度來進行區塊 HTTP 編碼，並導致堆積溢位。針對 Debian 8「Jessie」，此問題已在 6.00-2+deb8u1 版本中修正。建議您升級 openconnect 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 libapreq2 (用於操控 HTTP 要求的程式庫) 中發現可遠端利用的　NULL　指標解除參照。

針對 Debian 8「Jessie」，此問題已於 libapreq2 的 2.13-4+deb8u1 版本中修正。

我們建議您升級 libapreq2 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 jackson-databind 中發現與 com.zaxxer.hikari.HikariConfig、com.zaxxer.hikari.HikariDataSource、commons-dbcp 和 com.p6spy.engine.spy.P6DataSource 中的類別有關的更多還原序列化缺陷，可讓未經驗證的使用者執行遠端程式碼。擴大黑名單並封鎖更多來自多型態還原序列化的類別，即可解決此問題。針對 Debian 8「Jessie」，這些問題已在 2.4.2-2~deb8u9 版本中修正。建議您升級 jackson-databind 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 OpenSSL 中發現兩個安全性問題：針對 ECDSA 的計時攻擊，以及 PKCS7_dataDecode() 和 CMS_decrypt_set1_pkey() 中的 padding oracle。

在 OpenSSL 中發現三個安全性問題：針對 ECDSA (PKCS7_dataDecode() 和 CMS_decrypt_set1_pkey() 中的 padding oracle) 的定時攻擊，據發現，隨機數字產生 (RNG) 的功能目的在預設未使用 fork() syscall 的情況下，防止父處理程序和子處理程序之間共用 RNG 狀態。

在 Linux 核心中發現數個弱點，這些弱點可能會導致權限提升、拒絕服務或資訊洩漏。CVE-2019-14821 Matt Delco 報告 KVM 合併的 MMIO 設備中的爭用情形，可導致核心中超出邊界存取。有權存取 /dev/kvm 的本機攻擊者可利用此弱點造成拒絕服務 (記憶體損毀或當機)，或可能造成權限提升。CVE-2019-14835 Tencent Blade Team 的 Peter Pi 發現 vhost_net (KVM 主機的網路後端驅動程式) 中遺漏邊界檢查，當主機開始即時移轉虛擬機器時，會導致緩衝區溢位。控制虛擬機器的攻擊者可利用此弱點造成拒絕服務 (記憶體損毀或當機)，或可能造成主機權限提升。CVE-2019-15117 Hui Peng 和 Mathias Payer 報告在 usb-audio 驅動程式的描述元剖析程式碼時，遺漏邊界檢查，進而導致緩衝區過度讀取。能夠新增 USB 裝置的攻擊者可利用此弱點造成拒絕服務 (當機)。CVE-2019-15118 Hui Peng 和 Mathias Payer 報告在 usb-audio 驅動程式的描述元剖析程式碼時，發生無限遞迴，進而導致堆疊溢位。可新增 USB 裝置的攻擊者可利用此弱點造成拒絕服務 (記憶體損毀或當機)，或可能造成權限提升。在 amd64 架構上，核心堆疊上的保護頁面可以緩解這種情況，因此只會導致當機。CVE-2019-15902 Brad Spengler 報告反向移植錯誤在 ptrace_get_debugreg() 函式的 ptrace 子系統中重新引入了 spectre-v1 弱點。針對 Debian 8「Jessie」，這些問題已在 4.9.189-3+deb9u1~deb8u1 版本中修正。建議您升級 linux-4.9 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

CVE-2019-16993 在 phpBB 中，includes/acp/acp_bbcodes.php 在「管理控制面板」的 BBCode 頁面上對 CSRF 權杖的驗證不正確。如果攻擊者在鎖定目標使用者之前，還成功擷取經過重新驗證的管理員的工作階段 Id，則可能會發動實際的 CSRF 攻擊。CVE-2019-13776 phpBB 透過利用 Remote Avatar 功能中的 CSRF 來竊取「管理控制面板」的工作階段 id。CSRF 權杖劫持導致儲存的 XSS。針對 Debian 8「Jessie」，這些問題已在 3.0.12-5~deb8u4 版本中修正。我們建議您升級 phpbb3 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

Netty 未正確處理 HTTP 標頭 (例如 'Transfer-Encoding : chunked' 行) 中，冒號之前的空格，進而導致 HTTP 要求走私。針對 Debian 8「Jessie」，此問題已在 1:3.2.6.Final-2+deb8u1 版本中修正。建議您升級 netty 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

已修正　poppler　(PDF 轉譯程式庫) 中的數個問題。CVE-2018-20650 遺漏 dict 資料類型的檢查可導致拒絕服務。CVE-2018-21009 Parser::makeStream 中可能發生一個整數溢位。CVE-2019-12493 在 PostScriptFunction::transform 中可能因特製的 PDF 檔案而發生堆疊型緩衝區過度讀取，因為某些函式未正確處理 tint 轉換。針對 Debian 8「Jessie」，這些問題已在 0.26.5-2~deb8u11 版本中修正。建議您升級 poppler 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 3.29.91 之前的　GNOME file-roller　中發現一個問題。它允許透過　TAR　封存檔中包含的檔案名稱遊走單一　./../　路徑，進而可能在擷取期間覆寫檔案。

針對 Debian 8「Jessie」，此問題已在 3.14.1-1+deb8u1 版本中修正。

建議您升級 file-roller 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

ID	名稱	嚴重性
130290	Debian DSA-4551-1：golang-1.11 - 安全性更新	high
130289	Debian DSA-4550-1：file - 安全性更新	high
130288	Debian DSA-4549-1：firefox-esr - 安全性更新	high
130287	Debian DLA-1974-1：proftpd-dfsg 安全性更新	high
130286	Debian DLA-1973-1：libxslt 安全性更新	high
130285	Debian DLA-1972-1：mosquitto 安全性更新	high
130284	Debian DLA-1971-1：libarchive 安全性更新	high
130283	Debian DLA-1970-1：php5 安全性更新	critical
130182	Debian DLA-1969-1 : file 安全性更新	high
130136	Debian DSA-4548-1：openjdk-8 - 安全性更新	medium
130135	Debian DSA-4547-1：tcpdump - 安全性更新	critical
130134	Debian DSA-4546-1：openjdk-11 - 安全性更新	medium
130133	Debian DLA-1968-1：imagemagick 安全性更新	high
130132	Debian DLA-1967-1：libpcap 安全性更新	medium
130131	Debian DLA-1962-1：graphite-web 安全性更新	high
130130	Debian DLA-1961-1：milkytracker 安全性更新	high
130073	Debian DSA-4545-1：mediawiki - 安全性更新	medium
130072	Debian DLA-1966-1：aspell 安全性更新	critical
130071	Debian DLA-1965-1：nfs-utils 安全性更新	critical
130031	Debian DLA-1964-1：sudo 安全性更新	high
130030	Debian DLA-1963-2：poppler 迴歸更新	medium
130029	Debian DLA-1960-1：wordpress 安全性更新	medium
129985	Debian DSA-4544-1：unbound - 安全性更新	high
129856	Debian DSA-4543-1：sudo - 安全性更新	high
129855	Debian DLA-1959-1：xtrlock 安全性更新	medium
129854	Debian DLA-1958-1：libdatetime-timezone-perl 新上游版本	high
129853	Debian DLA-1957-1：tzdata 新上游版本	high
129828	Debian DLA-1955-1：tcpdump 安全性更新	critical
129801	Debian DLA-1956-1：ruby-openid 安全性更新	critical
129800	Debian DLA-1954-1：lucene-solr 安全性更新	high
129799	Debian DLA-1953-2：clamav 迴歸更新	critical
129766	Debian DLA-1952-1：rsyslog 安全性更新	high
129765	Debian DLA-1951-1：libtomcrypt 安全性更新	critical
129735	Debian DLA-1950-1：openjpeg2 安全性更新	high
129734	Debian DLA-1949-1：xen 安全性更新	high
129697	Debian DLA-1948-1：ruby-mini-magick 安全性更新	high
129597	Debian DSA-4542-1：jackson-databind - 安全性更新	critical
129596	Debian DSA-4541-1：libapreq2 - 安全性更新	high
129595	Debian DLA-1947-1：libreoffice 安全性更新	critical
129594	Debian DLA-1946-1：novnc 安全性更新	medium
129572	Debian DLA-1945-1：openconnect 安全性更新	critical
129571	Debian DLA-1944-1：libapreq2 安全性更新	high
129539	Debian DLA-1943-1：jackson-databind 安全性更新	critical
129507	Debian DSA-4540-1：openssl1.0 - 安全性更新	medium
129506	Debian DSA-4539-1：openssl - 安全性更新	medium
129505	Debian DLA-1940-1：linux-4.9 安全性更新	high
129477	Debian DLA-1942-2：phpbb3 迴歸更新	high
129476	Debian DLA-1941-1：netty 安全性更新	high
129475	Debian DLA-1939-1：poppler 安全性更新	high
129474	Debian DLA-1938-1：file-roller 安全性更新	medium

偵測

Nessus 的 Debian Local Security Checks 系列

high

high

high

high

high

high

high

critical

high

medium

critical

medium

high

medium

high

high

medium

critical

critical

high

medium

medium

high

high

medium

high

high

critical

critical

high

critical

high

critical

high

high

high

critical

high

critical

medium

critical

high

critical

medium

medium

high

high

high

high

medium