Apache httpd፣ OpenOffice፣ LibreOffice፣ Firefox፣ Chromium፣ Python እና Waylandን ጨምሮ በብዙ ፕሮጀክቶች ውስጥ የኤክስኤምኤል ቅርጸትን ለመተንተን የሚያገለግለው Expat 2.4.5 ቤተ-መጽሐፍት አምስት አደገኛ ተጋላጭነቶችን ያስወግዳል፣ ከእነዚህ ውስጥ አራቱ የኮድዎን አፈጻጸም እንዲያደራጁ ያስችሉዎታል። ሊቢክስፓትን በመጠቀም በልዩ ሁኔታ የተነደፈ የኤክስኤምኤል መረጃን በመተግበሪያዎች ውስጥ ሲያካሂድ። ለሁለት ተጋላጭነቶች፣ የስራ ብዝበዛዎች ሪፖርት ተደርጓል። በእነዚህ ገፆች Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux ላይ የጥቅል ማሻሻያ ህትመቶችን መከታተል ይችላሉ.
ተለይተው የሚታወቁ ድክመቶች፡-
- CVE-2022-25235 - የዩኒኮድ ቁምፊዎችን ኢንኮዲንግ ትክክል ባልሆነ መፈተሽ ምክንያት ቋት ሞልቶ ሞልቷል፣ ይህም በልዩ ሁኔታ የተቀረጹ የ2- እና 3-ባይት UTF-8 ቁምፊዎችን በXML ውስጥ ወደ ኮድ አፈፃፀም ሊያመራ ይችላል (መበዝበዝ አለ)። መለያ ስሞች.
- CVE-2022-25236 - የስም ቦታ ገዳቢ ቁምፊዎችን ወደ "xmlns[: ቅድመ ቅጥያ]" ባህሪያት እሴቶች የመተካት ዕድል በዩአርአይ ውስጥ። ተጋላጭነቱ የአጥቂ መረጃን በሚሰራበት ጊዜ የኮድ አፈፃፀምን እንዲያደራጁ ይፈቅድልዎታል (መበዝበዝ አለ)።
- CVE-2022-25313 ቁልል ድካም የሚከሰተው "ዶክታይፕ" (ዲቲዲ) ብሎክን ሲተነተን ነው፣ ከ2 ሜባ በላይ በሆኑ ፋይሎች ላይ እንደሚታየው በጣም ብዙ ክፍት ቅንፍ ያካተቱ። ተጋላጭነቱ በስርዓቱ ውስጥ የራስን ኮድ አፈፃፀም ለማደራጀት ሊያገለግል ይችላል።
- CVE-2022-25315 በ64-ቢት ሲስተሞች ላይ ብቻ የሚከሰት እና ጊጋባይት ውሂብን ማቀናበር የሚፈልግ በማከማቻ ውስጥ የRawNames ተግባር ውስጥ ያለ ኢንቲጀር ሞልቶ የሚፈስ ነው። ተጋላጭነቱ በስርዓቱ ውስጥ የራስን ኮድ አፈፃፀም ለማደራጀት ሊያገለግል ይችላል።
- CVE-2022-25314 በ64-ቢት ሲስተሞች ላይ ብቻ የሚከሰት እና ጊጋባይት ዳታ ማቀናበርን የሚጠይቅ በኮፒ ሴትሪንግ ተግባር ውስጥ ያለ ኢንቲጀር ትርፍ ነው። ችግሩ የአገልግሎት መከልከልን ሊያስከትል ይችላል።
ምንጭ: opennet.ru