Уязвимости в библиотеке libxml2, потенциально приводящие к выполнению кода

В библиотеке Libxml2, разрабатываемой проектом GNOME и применяемой для разбора содержимого в формате XML, выявлено 5 уязвимостей, две из которых потенциально могут привести к выполнению кода при обработке специально оформленных внешних данных. Библиотека Libxml2 широко распространена в открытых проектах и, например, используется как зависимость в более чем 800 пакетах из состава Ubuntu.

Первая уязвимость (CVE-2025-6170) вызвана переполнением буфера в реализации интерактивной оболочки xmllint, применяемой для разбора XML-файлов. Переполнение возникает при обработке очень длинных аргументов команд из-за отсутствия корректной проверки размера входных данных перед копированием данных функцией strcpy(). Для эксплуатации уязвимости атакующий должен иметь возможность влиять на команды, передаваемые в утилиту xmllint. Патч для устранения уязвимости пока недоступен.

Вторая уязвимость (CVE-2025-6021) присутствует в реализации функции xmlBuildQName() и приводит к записи данных за пределы буфера из-за целочисленного переполнения при вычислении размера буфера на основе префикса и локального имени. Для эксплуатации уязвимости атакующий должен добиться подстановки своих данных в передаваемые в функцию xmlBuildQName() аргументы prefix и ncname. Для устранения уязвимости подготовлен патч. Исправление включено в состав выпуска libxml2 2.14.4. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).

Остальные три проблемы приводят к аварийному завершению из-за обращения к уже освобождённой области памяти в функции xmlSchematronGetNode (CVE-2025-49794), разыменования нулевого указателя в функции xmlXPathCompiledEval (CVE-2025-49795) и неправильной обработки типов (Type Confusion) в функции xmlSchematronFormatReport (CVE-2025-49796). Для устранения данных уязвимостей рассматривается возможность удаления из libxml2 поддержки языка разметки Schematron.

Дополнительно отмечается наличие трёх неисправленных уязвимостей в библиотеке libxslt, оставшейся без сопровождающего. Информация по данным проблемам пока не раскрывается и запланирована к публикации 9 июля, 13 июля и 6 августа. Неисправленные и публично не обнародованные уязвимости также отмечаются в связанных с GNOME проектах gvfs, libgxps, gdm, glib, GIMP и libsoup.

Дополнение: Сопровождающий libxml2 объявил, что отныне будет трактовать уязвимости как обычные ошибки, не делая их более приоритетными, исправляя при появлении свободного времени и сразу раскрывая информацию о сути уязвимости без введения эмбарго и предоставления времени на устранение в сторонних продуктах.

Источник: opennet.ru