په Libxml2 کتابتون کې پنځه زیان منونکي پیژندل شوي، چې د GNOME پروژې لخوا رامینځته شوي او د XML مینځپانګې تجزیه کولو لپاره کارول کیږي، چې دوه یې په احتمالي توګه د ځانګړي فارمیټ شوي بهرني معلوماتو پروسس کولو پرمهال د کوډ اجرا کولو لامل کیدی شي. د Libxml5 کتابتون په پراخه کچه د خلاصې سرچینې پروژو کې کارول کیږي او د مثال په توګه، د اوبنټو څخه له 2 څخه زیاتو کڅوړو کې د انحصار په توګه کارول کیږي.
لومړۍ زیانمننه (CVE-2025-6170) د xmllint متقابل شیل پلي کولو کې د بفر اوور فلو له امله رامینځته کیږي چې د XML فایلونو تجزیه کولو لپاره کارول کیږي. اوور فلو هغه وخت رامینځته کیږي کله چې د strcpy() فنکشن په کارولو سره د معلوماتو کاپي کولو دمخه د ان پټ ډیټا اندازې مناسب تایید نشتوالي له امله د خورا اوږد کمانډ دلیلونو پروسس کول. د زیان مننې څخه د ګټې اخیستنې لپاره، بریدګر باید وکولی شي هغه قوماندې اغیزمنې کړي چې xmllint یوټیلټي ته لیږدول شوي. د زیان مننې د حل لپاره پیچ لاهم شتون نلري.
دوهم زیان منونکی (CVE-2025-6021) د xmlBuildQName() فنکشن په پلي کولو کې شتون لري او د مخکینۍ او محلي نوم پراساس د بفر اندازه محاسبه کولو پرمهال د انټیجر اوور فلو له امله د بفر هاخوا د معلوماتو لیکلو لامل کیږي. د زیان منونکي څخه د ګټې اخیستنې لپاره، بریدګر باید خپل معلومات د مخکینۍ او ncname دلیلونو کې ځای په ځای کړي چې xmlBuildQName() فنکشن ته لیږدول شوي. د زیان منونکي له منځه وړلو لپاره یو پیچ چمتو شوی. حل په libxml2 2.14.4 ریلیز کې شامل دی. تاسو کولی شئ د کڅوړې د نوي نسخې حالت یا په لاندې پاڼو کې د توزیعاتو کې د حل چمتو کول وګورئ (که پاڼه شتون ونلري، دا پدې مانا ده چې د توزیع پراختیا کونکو لا تر اوسه د ستونزې په اړه فکر نه دی پیل کړی): Debian، Ubuntu، Fedora، SUSE/openSUSE، RHEL، Gentoo او Arch (1، 2).
نورې درې ستونزې د xmlSchematronGetNode فنکشن (CVE-2025-49794) کې د دمخه خوشې شوي حافظې ساحې ته د لاسرسي له امله د کریش لامل کیږي، د xmlXPathCompiledEval فنکشن (CVE-2025-49795) کې د نول پوائنټر ډیریفرنس، او د xmlSchematronFormatReport فنکشن (CVE-2025-49796) کې د ډولونو ناسم اداره کول (د ډول ګډوډي). د دې زیان منونکو د حل لپاره، د libxml2 څخه د سکیماترون مارک اپ ژبې لپاره د ملاتړ لرې کولو امکان په پام کې نیول شوی.
سربیره پردې، درې ناپیچ شوي زیان منونکي په غیر ساتل شوي libxslt کتابتون کې یادونه شوې ده. د دې مسلو په اړه معلومات لا تر اوسه افشا شوي ندي او د جولای په 9، د جولای په 13، او د اګست په 6 د خپرولو لپاره ټاکل شوي دي. ناپیچ شوي او په عامه توګه نه افشا شوي زیان منونکي د GNOME پورې اړوند پروژو gvfs، libgxps، gdm، glib، GIMP، او libsoup کې هم یادونه شوې ده.
تازه معلومات: د libxml2 ساتونکي اعلان کړی چې دوی به اوس زیان منونکو ته د منظمو غلطیو په توګه ګوري، لومړیتوب به نه ورکوي، کله چې وخت ولري نو حل به یې کړي، او سمدلاسه به د زیان منونکو نوعیت افشا کړي پرته لدې چې بندیز ولګوي یا د دریمې ډلې محصولاتو کې د دوی د حل لپاره وخت ورکړي.
سرچینه: opennet.ru
