د Expat 2.4.5 کتابتون، په ډیرو پروژو کې د XML بڼه پارس کولو لپاره کارول کیږي، پشمول د اپاچي httpd، OpenOffice، LibreOffice، Firefox، Chromium، Python او Wayland، پنځه خطرناک زیانونه له منځه وړي، چې څلور یې په احتمالي توګه تاسو ته اجازه درکوي د خپل کوډ اجرا کول تنظیم کړئ. کله چې د libexpat په کارولو سره غوښتنلیکونو کې د ځانګړي ډیزاین شوي XML ډیټا پروسس کول. د دوو زیانونو لپاره، کاري ګټې راپور شوي. تاسو کولی شئ پدې پا pagesو Debian ، SUSE ، Ubuntu ، RHEL ، Fedora ، Gentoo ، Arch Linux په توزیع کې د بسته بندۍ تازه خپرونې تعقیب کړئ.
پیژندل شوي زیانونه:
- CVE-2022-25235 - د یونیکوډ حروفونو د کوډ کولو غلط چک کولو له امله د بفر ډیر جریان، کوم چې کولی شي د کوډ اجرا کولو ته الر پیدا کړي (دلته ګټه ده) کله چې په XML کې د 2- او 3-بایټ UTF-8 حروفونو ځانګړي ترتیب شوي ترتیبونه پروسس کوي. نومونه ټګ کړئ.
- CVE-2022-25236 - په URI کې د "xmlns[:prefix]" صفاتو په ارزښتونو کې د نوم ځای ډیلیمیټر حروفونو د ځای په ځای کولو امکان. زیانمنتیا تاسو ته اجازه درکوي د کوډ اجرا کول تنظیم کړئ کله چې د برید کونکي ډیټا پروسس کول (استثنا شتون لري).
- CVE-2022-25313 د سټیک ستړیا هغه وخت رامینځته کیږي کله چې د "ډاکټایپ" (DTD) بلاک پارس کول ، لکه څنګه چې د 2 MB څخه لوی فایلونو کې لیدل کیږي چې د خلاص قوسونو خورا لوی شمیر پکې شامل دي. دا ممکنه ده چې زیانمنتیا په سیسټم کې د خپل کوډ اجرا کولو تنظیم کولو لپاره وکارول شي.
- CVE-2022-25315 د StoreRawNames فنکشن کې د انټر فلو دی چې یوازې په 64-bit سیسټمونو کې پیښیږي او د ګیګابایټ ډیټا پروسس کولو ته اړتیا لري. دا ممکنه ده چې زیانمنتیا په سیسټم کې د خپل کوډ اجرا کولو تنظیم کولو لپاره وکارول شي.
- CVE-2022-25314 د کاپي سټرینګ فنکشن کې د انټیجر اوور فلو دی چې یوازې په 64-bit سیسټمونو کې پیښیږي او د ګیګابایټ ډیټا پروسس کولو ته اړتیا لري. ستونزه کیدای شي د خدمت څخه انکار پایله ولري.
سرچینه: opennet.ru