14 ievainojamības libsoup bibliotēkā, ko izmanto GNOME

GNOME projekta izstrādātajā libsoup bibliotēkā ir identificētas 14 ievainojamības. Libsoup nodrošina HTTP klienta un servera implementācijas, kas izmanto GObjects integrācijai ar GNOME lietojumprogrammām. Bibliotēka tiek izmantota GNOME Shell, pārlūkprogrammā Epiphany (GNOME Web), Shotwell attēlu skatītājā, spraudnī souphttpsrc GStreamer un lietojumprogrammās, kas izmanto libwebkit2gtk. Iepriekš libsoup bibliotēka tika izmantota programmā NetworkManager, kas, sākot ar versiju 1.8, tika migrēta uz libcurl.

Viena no ievainojamībām (CVE-2025-32911) izraisa dubultbrīvu darbību soup_message_headers_get_content_disposition() funkcijā un teorētiski to varētu izmantot attālinātai koda izpildei, apstrādājot speciāli izveidotus pieprasījumus no HTTP klienta, lai serveris, kas izmanto libsoup. Problēma tika novērsta libsoup 3.6.3 versijā.

12 problēmas izraisa bufera pārpildīšanu lasīšanas darbību laikā vai NULL rādītāja atsauču novirzes, t. i., aprobežojas ar pakalpojuma atteikumu (uzbrucējs var izraisīt lietojumprogrammas, kas izmanto libsoup, avāriju). Vienu problēmu (CVE-2025-32907) izraisa nepareiza diapazona galvenes apstrāde un ļauj klientam ierosināt pārmērīgu atmiņas patēriņu. serveris.

Avots: opennet.ru