GNOME projekto sukurtoje ir XML turiniui analizuoti naudojamoje „Libxml2“ bibliotekoje aptikti penki pažeidžiamumai, iš kurių du gali sukelti kodo vykdymą apdorojant specialiai suformatuotus išorinius duomenis. „Libxml5“ biblioteka plačiai naudojama atvirojo kodo projektuose ir, pavyzdžiui, kaip priklausomybė daugiau nei 2 „Ubuntu“ paketų.
Pirmąjį pažeidžiamumą (CVE-2025-6170) sukelia buferio perpildymas interaktyvaus „xmllint“ apvalkalo, naudojamo XML failams analizuoti, įgyvendinime. Perpildymas įvyksta apdorojant labai ilgus komandų argumentus dėl netinkamo įvesties duomenų dydžio patvirtinimo prieš kopijuojant duomenis naudojant funkciją strcpy(). Norėdamas pasinaudoti pažeidžiamumu, užpuolikas turi turėti galimybę paveikti komandas, perduodamas „xmllint“ programai. Pataisa, skirta pažeidžiamumui ištaisyti, kol kas nėra prieinama.
Antrasis pažeidžiamumas (CVE-2025-6021) yra xmlBuildQName() funkcijos įgyvendinime ir lemia duomenų rašymą už buferio ribų dėl sveikojo skaičiaus perpildymo, kai skaičiuojamas buferio dydis pagal prefiksą ir vietinį pavadinimą. Norėdamas išnaudoti pažeidžiamumą, užpuolikas turi pakeisti savo duomenis į prefikso ir ncname argumentus, perduodamus xmlBuildQName() funkcijai. Parengtas pataisymas, skirtas pažeidžiamumui pašalinti. Pataisymas yra įtrauktas į libxml2 2.14.4 versiją. Galite patikrinti naujos paketo versijos būseną arba pataisymo parengimą platinimuose šiuose puslapiuose (jei puslapis nepasiekiamas, tai reiškia, kad platinimų kūrėjai dar nepradėjo nagrinėti problemos): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo ir Arch (1, 2).
Kitos trys problemos sukelia gedimus dėl prieigos prie jau atlaisvintos atminties srities „xmlSchematronGetNode“ funkcijoje (CVE-2025-49794), nulinės rodyklės nuorodos nebuvimo „xmlXPathCompiledEval“ funkcijoje (CVE-2025-49795) ir neteisingo tipų apdorojimo (tipų painiavos) „xmlSchematronFormatReport“ funkcijoje (CVE-2025-49796). Siekiant išspręsti šias pažeidžiamumus, svarstoma galimybė pašalinti „Schematron“ žymėjimo kalbos palaikymą iš „libxml2“.
Be to, neprižiūrimoje libxslt bibliotekoje pastebėti trys nepataisyti pažeidžiamumai. Informacija apie šias problemas kol kas neatskleidžiama ir planuojama ją paskelbti liepos 9 d., liepos 13 d. ir rugpjūčio 6 d. Nepataisyti ir viešai neatskleisti pažeidžiamumai taip pat pastebėti su GNOME susijusiuose projektuose: gvfs, libgxps, gdm, glib, GIMP ir libsoup.
Atnaujinimas: „libxml2“ kūrėjai paskelbė, kad dabar pažeidžiamumus laikys įprastomis klaidomis, jų neskirs prioriteto tvarka, juos taisys, kai turės laiko, ir nedelsdami atskleis pažeidžiamumo pobūdį, neįvesdami draudimų ir nesuteikdami laiko jų ištaisymui trečiųjų šalių produktuose.
Šaltinis: opennet.ru
