Kvin vundeblecoj estis identigitaj en la biblioteko Libxml2, evoluigita de la projekto GNOME kaj uzata por analizi XML-enhavon, el kiuj du povus eble konduki al kodekzekuto dum prilaborado de speciale formatitaj eksteraj datumoj. La biblioteko Libxml5 estas vaste uzata en malfermitkodaj projektoj kaj, ekzemple, estas uzata kiel dependeco en pli ol 2 pakaĵoj de Ubuntu.
La unua vundebleco (CVE-2025-6170) estas kaŭzita de bufrosuperfluo en la efektivigo de la interaga ŝelo xmllint uzata por analizi XML-dosierojn. La superfluo okazas dum prilaborado de tre longaj komandargumentoj pro la manko de ĝusta validigo de la grandeco de la enigaj datumoj antaŭ ol kopii la datumojn per la funkcio strcpy(). Por ekspluati la vundeblecon, atakanto devas povi influi la komandojn pasitajn al la ilo xmllint. Flikaĵo por ripari la vundeblecon ankoraŭ ne haveblas.
La dua vundebleco (CVE-2025-6021) ĉeestas en la efektivigo de la funkcio xmlBuildQName() kaj kondukas al skribado de datumoj preter la bufro pro entjera superfluo dum kalkulado de la bufrograndeco surbaze de la prefikso kaj loka nomo. Por ekspluati la vundeblecon, atakanto devas anstataŭigi siajn datumojn en la argumentojn prefikso kaj ncname pasitajn al la funkcio xmlBuildQName(). Peceto estis preparita por forigi la vundeblecon. La riparo estas inkluzivita en la eldono libxml2 2.14.4. Vi povas kontroli la staton de nova versio de la pakaĵo aŭ la preparadon de riparo en distribuaĵoj sur la jenaj paĝoj (se la paĝo ne estas disponebla, tio signifas, ke la programistoj de la distribuaĵo ankoraŭ ne komencis konsideri la problemon): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo kaj Arch (1, 2).
La aliaj tri problemoj rezultigas kraŝon pro aliro al jam liberigita memorareo en la funkcio xmlSchematronGetNode (CVE-2025-49794), malreferenco de nula montrilo en la funkcio xmlXPathCompiledEval (CVE-2025-49795), kaj malĝusta traktado de tipoj (Tipa Konfuzo) en la funkcio xmlSchematronFormatReport (CVE-2025-49796). Por trakti ĉi tiujn vundeblecojn, oni konsideras la eblecon forigi subtenon por la etikedlingvo Schematron el libxml2.
Plie, tri neflikitaj vundeblecoj estas rimarkitaj en la neprizorgata biblioteko libxslt. Informoj pri ĉi tiuj problemoj ankoraŭ ne estas malkaŝitaj kaj estas planitaj por publikigo la 9-an de julio, la 13-an de julio kaj la 6-an de aŭgusto. Neflikitaj kaj ne publike malkaŝitaj vundeblecoj ankaŭ estas rimarkitaj en la GNOME-rilataj projektoj gvfs, libgxps, gdm, glib, GIMP kaj libsoup.
Ĝisdatigo: La prizorganto de libxml2 anoncis, ke ili nun traktos vundeblecojn kiel ordinarajn cimojn, ne prioritatigos ilin, riparos ilin kiam ili havos tempon, kaj tuj malkaŝos la naturon de la vundebleco sen trudi embargon aŭ doni tempon por ripari ilin en triapartaj produktoj.
fonto: opennet.ru
