Yo idantifye senk vilnerabilite nan bibliyotèk Libxml2 la, ki te devlope pa pwojè GNOME a epi ki te itilize pou analize kontni XML, de ladan yo ta ka potansyèlman mennen nan ekzekisyon kòd lè y ap trete done ekstèn ki gen yon fòma espesyal. Bibliyotèk Libxml5 la lajman itilize nan pwojè sous ouvè epi, pa egzanp, li itilize kòm yon depandans nan plis pase 2 pakè ki soti nan Ubuntu.
Premye vilnerabilite a (CVE-2025-6170) koze pa yon debòdeman memwa tanpon (buffer overflow) nan aplikasyon shell entèaktif xmllint ki itilize pou analize fichye XML yo. Debòdeman an rive lè w ap trete agiman kòmand ki trè long akòz mank validasyon apwopriye gwosè done antre yo anvan ou kopye done yo lè l sèvi avèk fonksyon strcpy() la. Pou eksplwate vilnerabilite a, yon atakè dwe kapab enfliyanse kòmand yo pase nan sèvis piblik xmllint la. Pa gen yon patch pou repare vilnerabilite a ki disponib ankò.
Dezyèm vilnerabilite a (CVE-2025-6021) prezan nan aplikasyon fonksyon xmlBuildQName() la epi li lakòz ekri done ki depase memwa tanporè a akòz yon debòde antye lè w ap kalkile gwosè memwa tanporè a ki baze sou prefiks la ak non lokal la. Pou eksplwate vilnerabilite a, yon atakè dwe ranplase done li yo nan agiman prefiks ak ncname ki pase nan fonksyon xmlBuildQName() la. Yo prepare yon patch pou elimine vilnerabilite a. Koreksyon an enkli nan vèsyon libxml2 2.14.4 la. Ou ka tcheke estati yon nouvo vèsyon pake a oswa preparasyon yon koreksyon nan distribisyon yo sou paj sa yo (si paj la pa disponib, sa vle di ke devlopè distribisyon yo poko kòmanse konsidere pwoblèm nan): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo ak Arch (1, 2).
Twa lòt pwoblèm yo lakòz yon aksidan akòz yon aksè a yon zòn memwa ki deja libere nan fonksyon xmlSchematronGetNode a (CVE-2025-49794), yon dereferans pointeur nil nan fonksyon xmlXPathCompiledEval la (CVE-2025-49795), ak yon move jesyon kalite (Konfizyon Kalite) nan fonksyon xmlSchematronFormatReport la (CVE-2025-49796). Pou adrese vilnerabilite sa yo, y ap konsidere posiblite pou retire sipò pou langaj balisaj Schematron nan libxml2.
Anplis de sa, yo note twa vilnerabilite ki pa korije nan bibliyotèk libxslt ki pa anba antretyen an. Yo poko divilge enfòmasyon sou pwoblèm sa yo e yo pwograme pou piblikasyon 9 Jiyè, 13 Jiyè ak 6 Out. Yo note tou vilnerabilite ki pa korije e ki pa divilge piblikman nan pwojè ki gen rapò ak GNOME yo tankou gvfs, libgxps, gdm, glib, GIMP ak libsoup.
Mizajou: Moun ki responsab antretyen libxml2 a anonse ke kounye a y ap trete vilnerabilite yo kòm pinèz regilye, yo p ap priyorize yo, y ap ranje yo lè yo gen tan, epi y ap devwale nati vilnerabilite a imedyatman san yo pa enpoze yon anbago oswa bay tan pou ranje yo nan pwodwi twazyèm pati.
Sous: opennet.ru
