Loza dimy no hita tao amin'ny tranomboky Libxml2, novolavolain'ny tetikasa GNOME ary nampiasaina hamakiana ny votoatin'ny XML, ny roa amin'izy ireo dia mety hitarika amin'ny famonoana kaody rehefa manodina angon-drakitra ivelany novolavolaina manokana. Ny tranomboky Libxml5 dia ampiasaina betsaka amin'ny tetikasa open source ary, ohatra, dia ampiasaina ho fiankinan-doha amin'ny fonosana 2 mahery avy amin'ny Ubuntu.
Ny vulnerability voalohany (CVE-2025-6170) dia vokatry ny firongatry ny buffer amin'ny fampiharana ny shell interactive xmllint ampiasaina amin'ny famakafakana ny rakitra XML. Mitranga ny fihoaram-pefy rehefa manamboatra tohan-kevitry ny baiko lava be noho ny tsy fahampian'ny fanamarinana araka ny tokony ho izy ny haben'ny angona fidirana alohan'ny handikana ny angon-drakitra amin'ny fampiasana ny strcpy() function. Mba hanararaotra ny vulnerability, ny mpanafika dia tsy maintsy afaka mitaona ny baiko alefa amin'ny xmllint utility. Tsy mbola misy patch hanamboatra ny vulnerability.
Ny vulnerability faharoa (CVE-2025-6021) dia eo amin'ny fampiharana ny asa xmlBuildQName() ary mitarika amin'ny fanoratana angon-drakitra ivelan'ny buffer noho ny fihoaran'ny integer rehefa mikajy ny haben'ny buffer mifototra amin'ny prefix sy ny anarana eo an-toerana. Mba hanararaotra ny vulnerability, ny mpanafika dia tsy maintsy manolo ny angon-dry zareo amin'ny tohan-kevitry ny prefix sy ny ncname nampitaina tamin'ny asa xmlBuildQName(). Nisy patch nomanina mba hanafoanana ny vulnerability. Ny fanamboarana dia tafiditra ao amin'ny famoahana libxml2 2.14.4. Azonao atao ny manamarina ny satan'ny dikan-teny vaovao amin'ny fonosana na ny fanomanana fanamboarana amin'ny fizarana amin'ireto pejy manaraka ireto (raha tsy misy ny pejy, midika izany fa mbola tsy nanomboka nandinika ny olana ny mpamorona fizarana): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo ary Arch (1, 2).
Ny olana telo hafa dia miteraka fianjerana noho ny fidirana amin'ny faritra fitadidiana efa navoaka ao amin'ny fonction xmlSchematronGetNode (CVE-2025-49794), ny tsy fahampian'ny pointer dereference ao amin'ny xmlXPathCompiledEval function (CVE-2025-49795), ary ny fikarakarana tsy mety amin'ny karazana (Type xml Confusion) (CVE-2025-49796). Mba hamahana ireo fahalemena ireo dia heverina ny mety hanesorana ny fanohanana ny fiteny marika Schematron amin'ny libxml2.
Fanampin'izay, vulnerabilities telo tsy voafehy no voamarika ao amin'ny tranomboky libxslt tsy voakarakara. Ny fampahalalana momba ireo olana ireo dia tsy mbola avoaka ary voalahatra havoaka amin'ny 9 Jolay, 13 Jolay, ary 6 Aogositra. Voamarika ihany koa ireo fahalemena tsy voafehy sy tsy ampahibemaso ao amin'ny tetikasa mifandraika amin'ny GNOME gvfs, libgxps, gdm, glib, GIMP, ary libsoup.
Fanavaozana: Nanambara ny mpikarakara ny libxml2 fa horaisin'izy ireo ho toy ny bibikely mahazatra ny vulnerabilities, tsy hanao laharam-pahamehana, hanamboatra azy ireo rehefa manam-potoana, ary hamoaka avy hatrany ny toetran'ny vulnerability tsy misy faneriterena na manome fotoana hanamboarana azy amin'ny vokatra avy amin'ny antoko fahatelo.
Source: opennet.ru
