GNOME projekti poolt vÀlja töötatud ja XML-sisu parsimiseks kasutatavas Libxml2 teegis on tuvastatud viis haavatavust, millest kaks vÔivad potentsiaalselt viia koodi kÀivitamiseni spetsiaalselt loodud vÀlisandmete töötlemisel. Libxml2-te kasutatakse laialdaselt avatud lÀhtekoodiga projektides ja nÀiteks sÔltuvusena enam kui 800 paketis. Ubuntu.
Esimene haavatavus (CVE-2025-6170) on pĂ”hjustatud puhvri ĂŒletĂ€itumisest XML-failide parsimiseks kasutatava interaktiivse shelli xmllint implementatsioonis. ĂletĂ€itumine tekib vĂ€ga pikkade kĂ€skude argumentide töötlemisel, kuna enne andmete kopeerimist strcpy() funktsiooni abil ei ole sisendandmete suurust korralikult valideeritud. Haavatavuse Ă€rakasutamiseks peab rĂŒndaja suutma mĂ”jutada xmllint utiliidile edastatavaid kĂ€ske. Haavatavuse parandamiseks pole veel saadaval parandust.
Teine haavatavus (CVE-2025-6021) esineb xmlBuildQName() funktsiooni implementatsioonis ja pĂ”hjustab puhvri suuruse arvutamisel eesliite ja kohaliku nime pĂ”hjal tĂ€isarvu ĂŒletĂ€itumise tĂ”ttu piiridest vĂ€ljas kirjutamise. Selle haavatavuse Ă€rakasutamiseks peab rĂŒndaja asendama oma andmed xmlBuildQName() funktsioonile edastatud eesliite ja ncname argumentidesse. Selle haavatavuse parandamiseks on ette valmistatud parandus. Parandus on lisatud libxml2 2.14.4 versioonile. Uue paketi versiooni vĂ”i paranduse ettevalmistuse olekut saate kontrollida jĂ€rgmistel lehtedel (kui leht pole saadaval, ei ole distributsiooni arendajad veel probleemi uurima hakanud): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo ja Arch (1, 2).
Kolm ĂŒlejÀÀnud probleemi pĂ”hjustavad krahhi, mis on tingitud juba vabastatud mĂ€lupiirkonnale juurdepÀÀsust xmlSchematronGetNode funktsioonis (CVE-2025-49794), null-pointeri viite puudumisest xmlXPathCompiledEval funktsioonis (CVE-2025-49795) ja tĂŒĂŒpide vale kĂ€sitlemisest (tĂŒĂŒbisegadus) xmlSchematronFormatReport funktsioonis (CVE-2025-49796). Nende haavatavuste parandamiseks kaalutakse libxml2-st Schematroni mĂ€rgistuskeele toe eemaldamist.
Lisaks on hooldamata libxslt teegis mÀrgitud kolm parandamata haavatavust. Teavet nende probleemide kohta pole veel avaldatud ja see on kavandatud avaldamiseks 9. juulil, 13. juulil ja 6. augustil. Parandamata ja avalikult avaldamata haavatavusi on mÀrgitud ka GNOME-iga seotud projektides gvfs, libgxps, gdm, glib, GIMP ja libsoup.
VĂ€rskendus: libxml2 hooldaja on teatanud, et nad kĂ€sitlevad nĂŒĂŒd haavatavusi tavaliste vigadena, mitte ei prioriseeri neid, parandavad need siis, kui neil on aega, ja avalikustavad kohe haavatavuse olemuse ilma embargot kehtestamata vĂ”i aega andmata nende parandamiseks kolmandate osapoolte toodetes.
Allikas: opennet.ru
