Lima kerentanan wis diidentifikasi ing perpustakaan Libxml2, sing dikembangake dening proyek GNOME lan digunakake kanggo ngurai konten XML, loro sing bisa nyebabake eksekusi kode nalika ngolah data eksternal sing diformat khusus. Pustaka Libxml5 akeh digunakake ing proyek open source lan, contone, digunakake minangka ketergantungan ing luwih saka 2 paket saka Ubuntu.
Kerentanan pisanan (CVE-2025-6170) disebabake overflow buffer ing implementasine shell interaktif xmllint sing digunakake kanggo ngurai file XML. Overflow dumadi nalika ngolah argumen perintah sing dawa banget amarga ora validasi ukuran data input sadurunge nyalin data nggunakake fungsi strcpy (). Kanggo ngeksploitasi kerentanan kasebut, panyerang kudu bisa mangaruhi prentah sing dikirim menyang utilitas xmllint. Tembelan kanggo ndandani kerentanan durung kasedhiya.
Kerentanan kapindho (CVE-2025-6021) ana ing implementasine saka xmlBuildQName () fungsi lan ndadékaké kanggo nulis data ngluwihi buffer amarga overflow integer nalika ngitung ukuran buffer adhedhasar ater-ater lan jeneng lokal. Kanggo ngeksploitasi kerentanan kasebut, panyerang kudu ngganti data kasebut menyang argumen awalan lan ncname sing diterusake menyang fungsi xmlBuildQName (). Tembelan wis disiapake kanggo ngilangi kerentanan kasebut. Ndandani kasebut kalebu ing release libxml2 2.14.4. Sampeyan bisa mriksa status paket versi anyar utawa nyiapake fix ing distribusi ing kaca ing ngisor iki (yen kaca ora kasedhiya, tegese pangembang distribusi durung miwiti nimbang masalah kasebut): Debian, Ubuntu, Fedora, SUSE / openSUSE, RHEL, Gentoo lan Arch (1, 2).
Telu masalah liyane nyebabake kacilakan amarga akses menyang area memori sing wis dirilis ing fungsi xmlSchematronGetNode (CVE-2025-49794), dereferensi pointer null ing fungsi xmlXPathCompiledEval (CVE-2025-49795), lan penanganan jinis sing ora bener (Type xmlReportSfusion) (CVE-2025-49796). Kanggo ngatasi kerentanan kasebut, kemungkinan mbusak dhukungan kanggo basa markup Schematron saka libxml2 dianggep.
Kajaba iku, telung kerentanan sing ora ditambal dicathet ing perpustakaan libxslt sing ora dijaga. Informasi babagan masalah kasebut durung diungkapake lan dijadwalake bakal diterbitake tanggal 9 Juli, 13 Juli, lan 6 Agustus. Kerentanan sing ora ditambal lan ora diungkapake sacara umum uga dicathet ing proyek sing ana gandhengane karo GNOME, gvfs, libgxps, gdm, glib, GIMP, lan libsoup.
Nganyari: Penyelenggara libxml2 wis ngumumake yen saiki bakal nganggep kerentanan minangka bug biasa, ora menehi prioritas, ndandani nalika duwe wektu, lan langsung mbukak sifat kerentanan kasebut tanpa ngetrapake embargo utawa menehi wektu kanggo ndandani ing produk pihak katelu.
Source: opennet.ru
