GNOME projekti poolt vÀlja töötatud ja XML-sisu parsimiseks kasutatavas Libxml2 teegis on tuvastatud viis haavatavust, millest kaks vÔivad potentsiaalselt viia koodi kÀivitamiseni spetsiaalselt vormindatud vÀlisandmete töötlemisel. Libxml5 teeki kasutatakse laialdaselt avatud lÀhtekoodiga projektides ja nÀiteks on see sÔltuvuses enam kui 2 Ubuntu paketis.
Esimene haavatavus (CVE-2025-6170) on pĂ”hjustatud puhvri ĂŒletĂ€itumisest XML-failide parsimiseks kasutatava interaktiivse shelli xmllint implementatsioonis. ĂletĂ€itumine tekib vĂ€ga pikkade kĂ€skude argumentide töötlemisel, kuna enne andmete kopeerimist strcpy() funktsiooni abil ei ole sisendandmete suurust korralikult valideeritud. Haavatavuse Ă€rakasutamiseks peab rĂŒndaja suutma mĂ”jutada xmllint utiliidile edastatavaid kĂ€ske. Haavatavuse parandamiseks pole veel saadaval parandust.
Teine haavatavus (CVE-2025-6021) esineb xmlBuildQName() funktsiooni implementatsioonis ja viib andmete kirjutamiseni puhvrist vĂ€ljapoole tĂ€isarvu ĂŒletĂ€itumise tĂ”ttu puhvri suuruse arvutamisel eesliite ja kohaliku nime pĂ”hjal. Haavatavuse Ă€rakasutamiseks peab rĂŒndaja asendama oma andmed xmlBuildQName() funktsioonile edastatud eesliite ja ncname argumentidega. Haavatavuse kĂ”rvaldamiseks on ette valmistatud parandus. Parandus on lisatud libxml2 2.14.4 versioonile. Paketi uue versiooni olekut vĂ”i paranduse ettevalmistamist distributsioonides saate kontrollida jĂ€rgmistel lehtedel (kui leht pole saadaval, tĂ€hendab see, et distributsiooni arendajad pole probleemi veel kaaluma hakanud): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo ja Arch (1, 2).
Kolm ĂŒlejÀÀnud probleemi pĂ”hjustavad krahhi, mis on tingitud juba vabastatud mĂ€lupiirkonnale juurdepÀÀsust xmlSchematronGetNode funktsioonis (CVE-2025-49794), null-pointeri viite puudumisest xmlXPathCompiledEval funktsioonis (CVE-2025-49795) ja tĂŒĂŒpide vale kĂ€sitlemisest (tĂŒĂŒbisegadus) xmlSchematronFormatReport funktsioonis (CVE-2025-49796). Nende haavatavuste parandamiseks kaalutakse libxml2-st Schematroni mĂ€rgistuskeele toe eemaldamist.
Lisaks on hooldamata libxslt teegis mÀrgitud kolm parandamata haavatavust. Teavet nende probleemide kohta pole veel avaldatud ja see on kavandatud avaldamiseks 9. juulil, 13. juulil ja 6. augustil. Parandamata ja avalikult avaldamata haavatavusi on mÀrgitud ka GNOME-iga seotud projektides gvfs, libgxps, gdm, glib, GIMP ja libsoup.
VĂ€rskendus: libxml2 hooldaja on teatanud, et nad kĂ€sitlevad nĂŒĂŒd haavatavusi tavaliste vigadena, mitte ei prioriseeri neid, parandavad need siis, kui neil on aega, ja avalikustavad kohe haavatavuse olemuse ilma embargot kehtestamata vĂ”i aega andmata nende parandamiseks kolmandate osapoolte toodetes.
Allikas: opennet.ru
