Bost ahultasun identifikatu dira GNOME proiektuak garatu eta XML edukia analizatzeko erabiltzen den Libxml2 liburutegian, eta horietako bik kodea exekutatzea eragin dezakete kanpoko datu berezien prozesamenduan. Libxml2 asko erabiltzen da kode irekiko proiektuetan eta, adibidez, 800 Ubuntu pakete baino gehiagotan menpekotasuna da.
Lehenengo ahultasuna (CVE-2025-6170) xmllint shell interaktiboaren inplementazioan buffer gainezkatze batek eragiten du, XML fitxategiak analizatzeko erabiltzen dena. Gainezkatzea komando-argumentu oso luzeak prozesatzean gertatzen da, sarrerako datuen tamaina behar bezala balioztatu ez delako datuak strcpy() funtzioa erabiliz kopiatu aurretik. Ahultasun hau ustiatzeko, erasotzaile batek xmllint utilitatera pasatzen diren komandoetan eragina izan behar du. Ahultasuna konpontzeko adabakirik ez dago oraindik eskuragarri.
Bigarren ahultasuna (CVE-2025-6021) xmlBuildQName() funtzioaren inplementazioan dago eta mugak gainditzea eragiten du, aurrizkiaren eta izen lokalaren arabera buffer tamaina kalkulatzean zenbaki osoen gainezkatze bat gertatzen delako. Ahultasun hau ustiatzeko, erasotzaile batek bere datuak ordezkatu behar ditu xmlBuildQName() funtzioari pasatako aurrizkiaren eta ncname argumentuetan. Ahultasun hau konpontzeko adabaki bat prestatu da. Konponketa libxml2 2.14.4 bertsioan sartuta dago. Pakete bertsio berriaren egoera edo zure banaketetarako konponketaren prestaketa egiaztatu dezakezu hurrengo orrialdeetan (orrialdea eskuragarri ez badago, banaketaren garatzaileek oraindik ez dutela arazoa konpontzen hasi esan nahi du): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo eta Arch (1, 2).
Gainerako hiru arazoek kraskadura bat eragiten dute memoria atzitu ondoren xmlSchematronGetNode funtzioan (CVE-2025-49794), xmlXPathCompiledEval funtzioan NULL erakuslearen dereferentzia bat (CVE-2025-49795) eta xmlSchematronFormatReport funtzioan Mota Nahasketa bat (CVE-2025-49796). Ahultasun hauek konpontzeko, Schematron markaketa-lengoaiaren euskarria libxml2-tik kentzeko aukera aztertzen ari da.
Gainera, konpondu gabeko hiru ahultasun aurkitu dira mantendu gabeko libxslt liburutegian. Arazo hauei buruzko informazioa ez da oraindik argitaratu eta uztailaren 9an, uztailaren 13an eta abuztuaren 6an argitaratzea aurreikusita dago. GNOMErekin lotutako gvfs, libgxps, gdm, glib, GIMP eta libsoup proiektuetan ere konpondu gabeko eta publikoki argitaratu gabeko ahultasunak jakinarazi dira.
Eguneraketa: libxml2 mantentzaileak iragarri du ahultasunak akats arrunt gisa tratatuko dituztela orain, lehentasuna kenduz, denbora dutenean konponduz eta ahultasunaren izaera berehala ezagutaraziz, enbargorik ezarri edo hirugarrenen produktuetan konponketak egiteko denborarik eman gabe.
Iturria: opennet.ru
