Cuireann an leabharlann Expat 2.4.5, a úsáidtear chun formáid XML a pharsáil i go leor tionscadal, lena n-áirítear Apache httpd, OpenOffice, LibreOffice, Firefox, Chromium, Python agus Wayland, deireadh le cúig leochaileacht chontúirteach, agus d'fhéadfadh ceithre cinn díobh sin ligean duit forghníomhú do chód a eagrú. agus sonraí XML saindeartha á bpróiseáil in feidhmchláir ag baint úsáide as libexpat. I gcás dhá leochaileacht, tuairiscítear saothrú oibre. Is féidir leat foilseacháin nuashonruithe pacáiste a leanúint i dáiltí ar na leathanaigh seo Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Leochaileachtaí aitheanta:
- CVE-2022-25235 - Maolán ag cur thar maoil mar gheall ar fhíorú mícheart ar ionchódú na gcarachtar Unicode, rud a d’fhéadfadh forghníomhú an chóid a bheith mar thoradh air (tá leas á bhaint as) agus seichimh sainfhormáidithe de 2- agus 3-beart UTF-8 in XML á bpróiseáil. ainmneacha clibeanna.
- CVE-2022-25236 - Féidearthacht carachtair teorann ainmspáis a chur in ionad luachanna tréithe "xmlns[: réimír]" in URI. Ligeann an leochaileacht duit forghníomhú an chóid a eagrú agus sonraí an ionsaitheora á bpróiseáil agat (tá leas ar fáil).
- CVE-2022-25313 Tarlaíonn ídiú cruachta nuair a bhíonn bloc "doctype" (DTD) á pharsáil, mar a fheictear i gcomhaid níos mó ná 2 MB a chuimsíonn líon an-mhór lúibíní oscailte. Is féidir go bhféadfaí an leochaileacht a úsáid chun forghníomhú a gcód féin a eagrú sa chóras.
- Is ró-shreabhadh slánuimhir é CVE-2022-25315 san fheidhm storeRawNames nach dtarlaíonn ach ar chórais 64-giotán agus a éilíonn próiseáil ghigibheart sonraí. Is féidir go bhféadfaí an leochaileacht a úsáid chun forghníomhú a gcód féin a eagrú sa chóras.
- Tá CVE-2022-25314 ina shlánuimhir thar maoil sa fheidhm copyString nach dtarlaíonn ach ar chórais 64-giotán agus a éilíonn próiseáil ghigibheart sonraí. D’fhéadfadh sé go mbeadh seirbhís den sórt sin mar thoradh ar an bhfadhb.
Foinse: oscailtenet.ru