ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Mga vulnerabilities sa Expat library nga motultol sa code execution sa pagproseso sa XML data

Mga vulnerabilities sa Expat library nga motultol sa code execution sa pagproseso sa XML data

Ang Expat 2.4.5 nga librarya, nga gigamit sa pag-parse sa XML nga format sa daghang mga proyekto, lakip ang Apache httpd, OpenOffice, LibreOffice, Firefox, Chromium, Python ug Wayland, nagwagtang sa lima ka delikado nga mga kahuyangan, upat niini posibleng motugot kanimo sa pag-organisar sa pagpatuman sa imong code. sa pagproseso sa espesyal nga gidisenyo nga XML data sa mga aplikasyon gamit ang libexpat. Alang sa duha ka mga kahuyangan, ang mga pagpahimulos sa pagtrabaho gitaho. Mahimo nimong sundon ang mga publikasyon sa mga update sa package sa mga pag-apod-apod niini nga mga panid Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.

Giila nga mga kahuyangan:

  • CVE-2022-25235 - Usa ka buffer overflow tungod sa sayop nga pagsusi sa pag-encode sa Unicode nga mga karakter, nga mahimong mosangpot (adunay pagpahimulos) sa code execution sa pagproseso sa espesyal nga pormat nga mga han-ay sa 2- ug 3-byte nga UTF-8 nga mga karakter sa XML tag mga ngalan.
  • CVE-2022-25236 - Posibilidad sa pag-ilis sa namespace delimiter nga mga karakter ngadto sa mga bili sa "xmlns [: prefix]" nga mga hiyas sa usa ka URI. Ang pagkahuyang nagtugot kanimo sa pag-organisar sa pagpatuman sa code sa pagproseso sa datos sa tig-atake (adunay pagpahimulos).
  • CVE-2022-25313 Ang stack exhaustion mahitabo kung mag-parse sa usa ka "doctype" (DTD) block, sama sa makita sa mga file nga mas dako pa sa 2 MB nga naglakip sa daghan kaayong open parentheses. Posible nga ang pagkahuyang mahimong magamit sa pag-organisar sa pagpatuman sa kaugalingon nga code sa sistema.
  • Ang CVE-2022-25315 usa ka integer overflow sa function sa storeRawNames nga mahitabo lamang sa 64-bit nga mga sistema ug nagkinahanglan sa pagproseso sa gigabytes sa datos. Posible nga ang pagkahuyang mahimong magamit sa pag-organisar sa pagpatuman sa kaugalingon nga code sa sistema.
  • Ang CVE-2022-25314 usa ka integer overflow sa copyString function nga mahitabo lang sa 64-bit nga mga sistema ug nagkinahanglan sa pagproseso sa gigabytes sa datos. Ang problema mahimong moresulta sa pagdumili sa serbisyo.

    Source: opennet.ru

Idugang sa usa ka comment