🥇 एक्सएमएल डाटा प्रशोधन गर्दा कोड कार्यान्वयन गर्न एक्सप्याट लाइब्रेरीमा कमजोरीहरू

Expat 2.4.5 पुस्तकालय, Apache httpd, OpenOffice, LibreOffice, Firefox, Chromium, Python र Wayland लगायत धेरै परियोजनाहरूमा XML ढाँचा पार्स गर्न प्रयोग गरिन्छ, पाँच खतरनाक कमजोरीहरू हटाउँछ, जसमध्ये चारले तपाईंलाई आफ्नो कोडको कार्यान्वयन व्यवस्थित गर्न सम्भावित रूपमा अनुमति दिन्छ। libexpat प्रयोग गरेर अनुप्रयोगहरूमा विशेष रूपमा डिजाइन गरिएको XML डाटा प्रशोधन गर्दा। दुई कमजोरीहरूको लागि, कार्य शोषण रिपोर्ट गरिएको छ। तपाईंले यी पृष्ठहरूमा वितरणहरूमा प्याकेज अद्यावधिकहरूको प्रकाशनहरू डेबियन, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux लाई पछ्याउन सक्नुहुन्छ।

पहिचान गरिएका कमजोरीहरू:

CVE-2022-25235 - युनिकोड क्यारेक्टरहरूको इन्कोडिङको गलत जाँचको कारणले बफर ओभरफ्लो, जसले XML मा 2- र 3-बाइट UTF-8 क्यारेक्टरहरूको विशेष ढाँचाबद्ध अनुक्रमहरू प्रशोधन गर्दा कोड कार्यान्वयनमा लैजान सक्छ (त्यहाँ एक शोषण छ)। ट्याग नामहरू।
CVE-2022-25236 - URI मा "xmlns[:prefix]" विशेषताहरूको मानहरूमा नेमस्पेस डिलिमिटर वर्णहरूको प्रतिस्थापनको सम्भावना। असुरक्षाले तपाईंलाई आक्रमणकर्ता डेटा प्रशोधन गर्दा कोड कार्यान्वयन व्यवस्थित गर्न अनुमति दिन्छ (एक शोषण उपलब्ध छ)।
CVE-2022-25313 "doctype" (DTD) ब्लक पार्स गर्दा स्ट्याक थकान हुन्छ, जस्तै 2 MB भन्दा ठूला फाइलहरूमा देखिन्छ जसमा धेरै ठूलो संख्यामा खुला कोष्ठकहरू समावेश हुन्छन्। यो सम्भव छ कि प्रणालीमा आफ्नै कोडको कार्यान्वयनलाई व्यवस्थित गर्न भेद्यता प्रयोग गर्न सकिन्छ।
CVE-2022-25315 StoreRawNames प्रकार्यमा एक पूर्णांक ओभरफ्लो हो जुन 64-बिट प्रणालीहरूमा मात्र हुन्छ र डाटाको गीगाबाइट प्रशोधन आवश्यक हुन्छ। यो सम्भव छ कि प्रणालीमा आफ्नै कोडको कार्यान्वयनलाई व्यवस्थित गर्न भेद्यता प्रयोग गर्न सकिन्छ।
CVE-2022-25314 copyString प्रकार्यमा पूर्णांक ओभरफ्लो हो जुन 64-बिट प्रणालीहरूमा मात्र हुन्छ र डाटाको गीगाबाइट प्रशोधन गर्न आवश्यक हुन्छ। समस्याले सेवा अस्वीकार गर्न सक्छ।

स्रोत: opennet.ru

एक्स्प्याट लाइब्रेरीमा भएका कमजोरीहरू जसले XML डेटा प्रशोधन गर्दा कोड कार्यान्वयनमा लैजान्छ

एक टिप्पणी थप्न Отменить ответ