Fimm veikleikar hafa fundist í Libxml2 bókasafninu, sem þróað var af GNOME verkefninu og notað til að greina XML efni, og tveir þeirra gætu hugsanlega leitt til keyrslu kóða við vinnslu á sérstaklega sniðnum utanaðkomandi gögnum. Libxml5 bókasafnið er mikið notað í opnum hugbúnaðarverkefnum og er til dæmis notað sem ósjálfstæð hugbúnaður í meira en 2 pakka frá Ubuntu.
Fyrsta veikleikinn (CVE-2025-6170) stafar af yfirflæði í biðminni í útfærslu á xmllint gagnvirka skelinni sem notuð er til að greina XML skrár. Yfirflæðið á sér stað þegar unnið er með mjög langar skipanabreytur vegna skorts á réttri staðfestingu á stærð inntaksgagna áður en gögnin eru afrituð með strcpy() fallinu. Til að nýta sér veikleikann verður árásaraðili að geta haft áhrif á skipanirnar sem sendar eru til xmllint gagnseminnar. Uppfærsla til að laga veikleikann er ekki enn tiltæk.
Önnur veikleikinn (CVE-2025-6021) er til staðar í útfærslu xmlBuildQName() fallsins og leiðir til þess að gögn eru skrifuð út fyrir biðminni vegna heiltöluflóðs þegar biðminnistærð er reiknuð út frá forskeytinu og staðbundnu nafni. Til að nýta sér veikleikann verður árásaraðili að setja gögn sín inn í forskeytið og ncname færibreyturnar sem sendar eru til xmlBuildQName() fallsins. Uppfærsla hefur verið útbúin til að útrýma veikleikanum. Lagfæringin er innifalin í libxml2 2.14.4 útgáfunni. Þú getur athugað stöðu nýrrar útgáfu af pakkanum eða undirbúning lagfæringar í dreifingum á eftirfarandi síðum (ef síðan er ekki tiltæk þýðir það að dreifingarforritarar hafa ekki enn byrjað að íhuga vandamálið): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo og Arch (1, 2).
Hin þrjú vandamálin leiða til hruns vegna aðgangs að þegar losuðu minnissvæði í xmlSchematronGetNode fallinu (CVE-2025-49794), tilvísunar á núllpunkt í xmlXPathCompiledEval fallinu (CVE-2025-49795) og rangrar meðhöndlunar á gerðum (Type Confusion) í xmlSchematronFormatReport fallinu (CVE-2025-49796). Til að bregðast við þessum veikleikum er verið að íhuga möguleikann á að fjarlægja stuðning við Schematron markup language úr libxml2.
Að auki eru þrjár óuppfærðar veikleikar greindar í óviðhaldna libxslt bókasafninu. Upplýsingar um þessi mál hafa ekki enn verið birtar og áætlað er að þær verði birtar 9. júlí, 13. júlí og 6. ágúst. Óuppfærðar og ekki opinberlega birtar veikleikar eru einnig greindar í GNOME-tengdum verkefnum gvfs, libgxps, gdm, glib, GIMP og libsoup.
Uppfærsla: Umsjónarmaður libxml2 hefur tilkynnt að þeir muni nú meðhöndla veikleika sem venjulegar villur, ekki forgangsraða þeim, laga þá þegar þeir hafa tíma og strax upplýsa um eðli veikleikans án þess að setja viðskiptabann eða gefa tíma til að laga þá í vörum þriðja aðila.
Heimild: opennet.ru
