ʻO ka waihona Expat 2.4.5, i hoʻohana ʻia e parse XML format i nā papahana he nui, e like me Apache httpd, OpenOffice, LibreOffice, Firefox, Chromium, Python a me Wayland, hoʻopau i ʻelima mau nāwaliwali pōʻino, ʻehā o ia mea e ʻae iā ʻoe e hoʻonohonoho i ka hoʻokō ʻana i kāu code. i ka hana ʻana i ka ʻikepili XML i hoʻolālā kūikawā ʻia i nā noi me ka hoʻohana ʻana i ka libexpat. No nā nāwaliwali ʻelua, hōʻike ʻia nā hana hana. Hiki iā ʻoe ke hahai i nā paʻi ʻana o nā hōʻano hou i ka hāʻawi ʻana ma kēia mau ʻaoʻao Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Nā mea nāwaliwali i ʻike ʻia:
- CVE-2022-25235 - He hoʻoheheʻe ʻia ma muli o ka nānā hewa ʻana i ka hoʻopili ʻana i nā huaʻōlelo Unicode, hiki ke alakaʻi (aia kahi hoʻohana) i ka hoʻokō code i ka wā e hoʻoponopono ai i nā kaʻina o 2- a me 3-byte UTF-8 mau huaʻōlelo ma XML. inoa inoa.
- CVE-2022-25236 - Hiki ke hoʻololi i nā huaʻōlelo delimiter namespace i nā waiwai o "xmlns [: prefix]" i loko o kahi URI. Hāʻawi ka vulnerability iā ʻoe e hoʻonohonoho i ka hoʻokō code i ka wā e hoʻoili ai i ka ʻikepili attacker (loaʻa kahi hoʻohana).
- CVE-2022-25313 Hoʻopau ʻia ka hoʻopaʻa ʻana i ka wā e hoʻokaʻawale ai i kahi poloka "doctype" (DTD), e like me ka ʻike ʻia ma nā faila ʻoi aku ka nui ma mua o 2 MB me kahi helu nui loa o nā pale wehe. Hiki ke hoʻohana ʻia ka nāwaliwali e hoʻonohonoho i ka hoʻokō ʻana i kāna code ponoʻī ma ka ʻōnaehana.
- ʻO CVE-2022-25315 kahi integer overflow ma ka hale kūʻai RawNames hana e kū wale ana ma nā ʻōnaehana 64-bit a pono e hoʻoponopono i nā gigabytes o ka ʻikepili. Hiki ke hoʻohana ʻia ka nāwaliwali e hoʻonohonoho i ka hoʻokō ʻana i kāna code ponoʻī ma ka ʻōnaehana.
- ʻO CVE-2022-25314 he integer overflow i ka hana kopeString e kū wale ana ma nā ʻōnaehana 64-bit a pono e hoʻoili i nā gigabytes o ka ʻikepili. Hiki paha i ka pilikia ke hōʻole i ka lawelawe.
Source: opennet.ru