Ko te whare pukapuka Expat 2.4.5, i whakamahia ki te tarai i te whakatakotoranga XML i roto i nga kaupapa maha, tae atu ki te Apache httpd, OpenOffice, LibreOffice, Firefox, Chromium, Python me Wayland, ka whakakore i nga whakaraeraetanga kino e rima, e wha o enei ka taea e koe te whakarite i te mahi o to waehere. i te wa e tukatuka ana i nga raraunga XML i hangaia i roto i nga tono ma te whakamahi i te libexpat. Mo nga whakaraeraetanga e rua, ka korerotia nga mahi mahi. Ka taea e koe te whai i nga whakaputanga o nga whakahōutanga kete i roto i nga tohatoha ki enei wharangi Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Nga whakaraeraetanga kua tautuhia:
- CVE-2022-25235 - He putunga putunga na te he o te tirotiro i te whakawaehere o nga momo Waehereao, ka arahi (he mahi) ki te mahi waehere i te wa e tukatuka ana i nga raupapa whakahōputu motuhake o te 2- me te 3-paita UTF-8 pūāhua i roto i te XML ingoa tohu.
- CVE-2022-25236 - Ka taea te whakakapi i nga tohu tohu mokowāingoa ki nga uara o nga huanga "xmlns [: prefix]" i roto i te URI. Ko te whakaraeraetanga ka taea e koe te whakarite i nga mahi waehere i te wa e tukatuka ana i nga raraunga kaitukino (kei te waatea te whakamahi).
- CVE-2022-25313 Ka pau te ngenge o te taapu i te wa e wetewete ana i te paraka "doctype" (DTD), ka kitea i roto i nga konae nui ake i te 2 MB kei roto he maha rawa o nga reu tuwhera. Ka taea pea te whakamahi i te whakaraeraetanga ki te whakarite i te whakatinanatanga o tana ake waehere i roto i te punaha.
- Ko te CVE-2022-25315 he puhake tauoti i roto i te mahi storeRawNames ka puta anake i runga i nga punaha 64-bit, me te tukatuka kikipaita o nga raraunga. Ka taea pea te whakamahi i te whakaraeraetanga ki te whakarite i te whakatinanatanga o tana ake waehere i roto i te punaha.
- Ko te CVE-2022-25314 he puhake tauoti i roto i te mahi copyString ka puta anake i runga i nga punaha 64-bit me te tukatuka i nga gigabytes o nga raraunga. Ko te raruraru ka hua ki te whakakore i te ratonga.
Source: opennet.ru