🥇 एक्स्पॅट लायब्ररीमधील असुरक्षा ज्यामुळे XML डेटावर प्रक्रिया करताना कोडची अंमलबजावणी होते

Expat 2.4.5 लायब्ररी, अपाचे httpd, OpenOffice, LibreOffice, Firefox, Chromium, Python आणि Wayland सह अनेक प्रकल्पांमध्ये XML फॉरमॅट पार्स करण्यासाठी वापरली जाते, पाच धोकादायक भेद्यता काढून टाकते, त्यापैकी चार संभाव्यत: तुम्हाला तुमच्या कोडची अंमलबजावणी आयोजित करण्याची परवानगी देतात. libexpat वापरून ऍप्लिकेशन्समध्ये खास डिझाइन केलेल्या XML डेटावर प्रक्रिया करताना. दोन असुरक्षिततेसाठी, कार्यरत शोषणाची नोंद केली जाते. तुम्ही Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux या पृष्ठांवर वितरणामध्ये पॅकेज अद्यतनांच्या प्रकाशनांचे अनुसरण करू शकता.

ओळखलेल्या भेद्यता:

CVE-2022-25235 - युनिकोड वर्णांच्या एन्कोडिंगच्या चुकीच्या तपासणीमुळे बफर ओव्हरफ्लो, ज्यामुळे XML मधील 2- आणि 3-बाइट UTF-8 वर्णांच्या विशेष स्वरूपित अनुक्रमांवर प्रक्रिया करताना कोड एक्झिक्यूशन होऊ शकते (एक शोषण आहे). टॅग नावे.
CVE-2022-25236 - URI मधील "xmlns[:prefix]" विशेषतांच्या मूल्यांमध्ये नेमस्पेस डिलिमिटर वर्णांची जागा बदलण्याची शक्यता. आक्रमणकर्ता डेटावर प्रक्रिया करताना भेद्यता आपल्याला कोड अंमलबजावणी आयोजित करण्याची परवानगी देते (एक शोषण उपलब्ध आहे).
CVE-2022-25313 "डॉकटाइप" (डीटीडी) ब्लॉक पार्स करताना स्टॅक थकवा येतो, जसे की 2 MB पेक्षा मोठ्या फायलींमध्ये दिसून येते ज्यामध्ये मोठ्या संख्येने ओपन कंस समाविष्ट असतात. हे शक्य आहे की असुरक्षा प्रणालीमध्ये स्वतःच्या कोडची अंमलबजावणी आयोजित करण्यासाठी वापरली जाऊ शकते.
CVE-2022-25315 हा storeRawNames फंक्शनमधील पूर्णांक ओव्हरफ्लो आहे जो फक्त 64-बिट सिस्टमवर होतो आणि डेटाच्या गीगाबाइट्सवर प्रक्रिया करणे आवश्यक आहे. हे शक्य आहे की असुरक्षा प्रणालीमध्ये स्वतःच्या कोडची अंमलबजावणी आयोजित करण्यासाठी वापरली जाऊ शकते.
CVE-2022-25314 हा कॉपीस्ट्रिंग फंक्शनमधील पूर्णांक ओव्हरफ्लो आहे जो फक्त 64-बिट सिस्टीमवर होतो आणि गीगाबाइट डेटाची प्रक्रिया करणे आवश्यक आहे. समस्येमुळे सेवा नाकारली जाऊ शकते.

स्त्रोत: opennet.ru

एक्स्पॅट लायब्ररीमधील भेद्यता ज्यामुळे XML डेटावर प्रक्रिया करताना कोडची अंमलबजावणी होते

एक टिप्पणी जोडा Отменить ответ