#PSA: 请立即升级 - Firefox 远程代码执行漏洞。

请升级至 Firefox 131.0.2、Firefox ESR 128.3.1 或 Firefox ESR 115.16.1。

mozilla.org/~

CVE: CVE-2024-9680
CVSS: (Critical)

Mozilla

Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1

Debian 用户请暂停更新系统：新版本 Linux 内核 ext4 数据损坏问题*。

- 也请注意停止自动更新。
- Linux 6.1.64-1、5.15.140-1、5.10.202-1 等版本存在 ext4 数据损坏问题。此问题于 6.1.66 修复。另外，6.5-1 及更高的版本接收了一个 fix，所以不受影响 [1]。
- 截至发稿时，bookworm 的 linux-image-amd64 依然在 6.1.64-1 版本 [2]。

- https://micronews.debian.org/2023/1702150551.html
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1057843

1. lore.kernel.org/~
2. https://packages.debian.org/bookworm/linux-image-amd64

* 不仅限于 Debian，其它发行版的对应内核版本也可能存在此问题。

linksrc: https://t.me/bupt_moe/2008

EDIT 12/10: 添加了更详细的关于影响版本及发行版的描述。感谢一位匿名订户指出。

#PSA #Kernel #Debian

packages.debian.org

Debian -- Details of package linux-image-amd64 in bookworm

Linux for 64-bit PCs (meta-package)

相信许多订户都见过关于 Log4j 2 远程代码执行漏洞的新闻了。它的影响范围自 2.0-beta9 至 2.14.1 （以及 2.15.0 RC1 [1]）。

请尽快更新至 2.15.0 RC2。实在无法更新的，可以升级 Java 至 8u121，或参考 [2] 的 workaround。Cloudflare WAF 用户也可部署文中提到的规则以处理此问题。对于其中两个动作为 LOG 的规则，在确定没有误杀后，请尽快切换动作至 BLOCK。

CVSS: 10 （极其严重）
CVE: CVE-2021-44228

https://blog.cloudflare.com/cve-2021-44228-log4j-rce-0-day-mitigation/

1. https://help.aliyun.com/noticelist/articleid/1060971232.html
2. https://github.com/tangxiaofeng7/apache-log4j-poc

seealso:
- https://logging.apache.org/log4j/2.x/security.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

#CVE #PSA #Log4j

The Cloudflare Blog

CVE-2021-44228 - Log4j RCE 0-day mitigation

A zero-day exploit affecting the popular Apache Log4j utility (CVE-2021-44228) was made public on December 9, 2021, that results in remote code execution (RCE). This vulnerability is actively being exploited and anyone using Log4j should update to version…