Ua paʻi ʻia kahi hoʻokuʻu hoʻoponopono o ka waihona libXpm 3.5.15, i hoʻomohala ʻia e ka papahana X.Org a hoʻohana ʻia no ka hoʻoponopono ʻana i nā faila ma ke ʻano XPM. Hoʻoponopono ka mana hou i ʻekolu mau nāwaliwali, ʻelua o ia (CVE-2022-46285, CVE-2022-44617) e alakaʻi i kahi loop i ka wā e hana ai i nā faila XPM i hoʻolālā kūikawā ʻia. ʻO ke kolu o ka nāwaliwali (CVE-2022-4883) hiki ke hoʻokō ʻia nā kauoha arbitrary i ka wā e hoʻokō ai i nā noi e hoʻohana ana i ka libXpm. Ke holo nei i nā kaʻina hana pono e pili ana me libXpm, no ka laʻana, nā polokalamu me ka hae aʻa suid, hiki i ka nāwaliwali ke hoʻonui i nā pono o kekahi.
Hoʻokumu ʻia ka nāwaliwali ma ke ʻano o ka hana ʻana o libXpm me nā faila XPM i hoʻopaʻa ʻia - i ka wā e hoʻoili ai i nā faila XPM.Z a i ʻole XPM.gz, hoʻomaka ka waihona i nā pono hana uncompress waho (uncompress a gunzip) me ka hoʻohana ʻana i ke kelepona execlp(), ke ala e helu ʻia ai. ma ka hoʻololi kaiapuni PATH. Hoʻomaka ka hoʻouka ʻana i ka waiho ʻana i kahi papa kuhikuhi i hiki i ka mea hoʻohana, aia ma ka papa inoa PATH, kāna mau faila uncompress a gunzip paha, e hoʻokō ʻia inā hoʻomaka ʻia kahi noi e hoʻohana ana i ka libXpm.
Ua hoʻopaʻa ʻia ka nāwaliwali ma ka hoʻololi ʻana i ke kelepona execlp me execl me ka hoʻohana ʻana i nā ala pololei i nā pono. Hoʻohui ʻia, ua hoʻohui ʻia ke koho hui "--disable-open-zfile", e hiki ai iā ʻoe ke hoʻopau i ka hana ʻana o nā faila i hoʻopili ʻia a kāhea aku i nā pono waho no ka wehe ʻana.
Source: opennet.ru