Muaj tsib qhov tsis zoo uas tau pom nyob rau hauv lub tsev qiv ntawv Libxml2, uas tau tsim los ntawm GNOME project thiab siv los txheeb xyuas cov ntsiab lus XML, ob qho ntawm cov no yuav ua rau muaj kev ua tiav ntawm cov lej thaum ua cov ntaub ntawv sab nraud tshwj xeeb. Libxml2 siv dav hauv cov haujlwm qhib thiab, piv txwv li, siv ua qhov kev vam khom hauv ntau dua 800 pob khoom. Ubuntu.
Thawj qhov muaj qhov tsis zoo (CVE-2025-6170) yog tshwm sim los ntawm qhov tsis sib xws hauv kev siv xmllint sib tham sib plhaub siv los txheeb xyuas cov ntaub ntawv XML. Lub overflow tshwm sim thaum ua cov lus txib ntev heev vim tias tsis muaj kev siv tau zoo ntawm cov ntaub ntawv tawm tswv yim ua ntej luam cov ntaub ntawv siv cov haujlwm strcpy() . Txhawm rau siv qhov tsis zoo, tus neeg tawm tsam yuav tsum muaj peev xwm cuam tshuam cov lus txib dhau mus rau xmllint utility. Ib thaj kho kom kho qhov tsis zoo tseem tsis tau muaj.
Вторая уязвимость (CVE-2025-6021) присутствует в реализации функции xmlBuildQName() и приводит к записи данных за пределы буфера из-за целочисленного переполнения при вычислении размера буфера на основе префикса и локального имени. Для эксплуатации уязвимости атакующий должен добиться подстановки своих данных в передаваемые в функцию xmlBuildQName() аргументы prefix и ncname. Для устранения уязвимости подготовлен патч. Исправление включено в состав выпуска libxml2 2.14.4. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo thiab Arch (1, 2).
Lwm qhov peb qhov teeb meem ua rau muaj kev sib tsoo vim muaj kev nkag mus rau qhov chaw nco tau tso tawm hauv xmlSchematronGetNode muaj nuj nqi (CVE-2025-49794), tus taw qhia tsis zoo hauv xmlXPathCompiledEval muaj nuj nqi (CVE-2025-49795), thiab kev tuav tsis raug ntawm hom kev ua haujlwm (Type Reports) (CVE-2025-49796). Txhawm rau daws cov teeb meem no, qhov ua tau ntawm kev tshem tawm kev txhawb nqa rau Schematron markup lus los ntawm libxml2 raug txiav txim siab.
Tsis tas li ntawd, peb qhov tsis muaj kev tiv thaiv tsis tau raug sau tseg nyob rau hauv lub tsev qiv ntawv libxslt uas tsis tau saib xyuas. Cov ntaub ntawv hais txog cov teeb meem no tseem tsis tau tshaj tawm thiab tau teem sijhawm tshaj tawm rau Lub Xya Hli 9, Lub Xya Hli 13, thiab Lub Yim Hli 6. Tsis muaj kev tiv thaiv thiab tsis tau tshaj tawm qhov tsis zoo kuj tau sau tseg hauv GNOME cov haujlwm ntsig txog gvfs, libgxps, gdm, glib, GIMP, thiab libsoup.
Hloov tshiab: Tus neeg saib xyuas libxml2 tau tshaj tawm tias tam sim no lawv yuav kho qhov tsis zoo raws li cov kab mob tsis tu ncua, tsis muab qhov tseem ceeb rau lawv, kho lawv thaum lawv muaj sijhawm, thiab tam sim ntawd nthuav tawm qhov xwm txheej ntawm qhov tsis zoo yam tsis muaj kev txwv lossis muab sijhawm los kho lawv hauv cov khoom thib peb.
Tau qhov twg los: opennet.ru
