У бібліятэцы Libxml2, распрацоўванай праектам GNOME і якая ўжываецца для разбору змесціва ў фармаце XML, выяўлена 5 уразлівасцяў, дзве з якіх патэнцыйна могуць прывесці да выканання кода пры апрацоўцы адмыслова аформленых вонкавых дадзеных. Бібліятэка Libxml2 шырока распаўсюджана ў адкрытых праектах і, напрыклад, выкарыстоўваецца як залежнасць у больш за 800 пакетах са складу Ubuntu.
Першая ўразлівасць (CVE-2025-6170) выклікана перапаўненнем буфера ў рэалізацыі інтэрактыўнай абалонкі xmllint, якая ўжываецца для разбору XML-файлаў. Перапаўненне ўзнікае пры апрацоўцы вельмі доўгіх аргументаў каманд з-за адсутнасці карэктнай праверкі памеру ўваходных дадзеных перад капіяваннем дадзеных функцыяй strcpy(). Для эксплуатацыі ўразлівасці атакавалы павінен мець магчымасць уплываць на каманды, якія перадаюцца ва ўтыліту xmllint. Патч для ўхілення ўразлівасці пакуль недаступны.
Другая ўразлівасць (CVE-2025-6021) прысутнічае ў рэалізацыі функцыі xmlBuildQName() і прыводзіць да запісу дадзеных за межы буфера з-за цэлалікавага перапаўнення пры вылічэнні памеру буфера на аснове прэфікса і лакальнага імя. Для эксплуатацыі ўразлівасці атакавалы павінен дамагчыся падстаноўкі сваіх дадзеных у якія перадаюцца ў функцыю xmlBuildQName() аргументы prefix і ncname. Для ўхілення ўразлівасці падрыхтаваны патч. Выпраўленне ўключана ў склад выпуску libxml2 2.14.4. Праверыць стан новай версіі пакета ці падрыхтоўкі выпраўлення ў дыстрыбутывах можна на наступных старонках (калі старонка недаступная, значыць распрацоўнікі дыстрыбутыва яшчэ не прыступілі да разгляду праблемы): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo і Arch (1, 2).
Астатнія тры праблемы прыводзяць да аварыйнага завяршэння з-за звароту да ўжо вызваленай вобласці памяці ў функцыі xmlSchematronGetNode (CVE-2025-49794), разнаймення нулявога паказальніка ў функцыі xmlXPathCompiledEval (CVE-2025-49795) у Type xmlSchematronFormatReport (CVE-2025-49796). Для ўхілення дадзеных уразлівасцяў разглядаецца магчымасць выдалення з libxml2 падтрымкі мовы разметкі Schematron.
Дадаткова адзначаецца наяўнасць трох нявыпраўленых уразлівасцяў у бібліятэцы libxslt, якая засталася без суправаджаючага. Інфармацыя па гэтых праблемах пакуль не раскрываецца і запланавана да публікацыі 9 ліпеня, 13 ліпеня і 6 жніўня. Невыпраўленыя і публічна не апублікаваныя ўразлівасці таксама адзначаюцца ў злучаных з GNOME праектах gvfs, libgxps, gdm, glib, GIMP і libsoup.
Дадатак: Суправаджальны libxml2 абвясціў, што з гэтага часу будзе тлумачыць уразлівасці як звычайныя памылкі, не робячы іх больш прыярытэтнымі, выпраўляючы пры з'яўленні вольнага часу і адразу расчыняючы інфармацыю аб сутнасці ўразлівасці без уводзін эмбарга і падаванні часу на ўхіленне ў іншых прадуктах.
Крыніца: opennet.ru
