ايڪسپيٽ 2.4.5 لائبريري، ڪيترن ئي پروجيڪٽن ۾ ايڪس ايم ايل فارميٽ کي پارس ڪرڻ لاءِ استعمال ڪئي وئي، بشمول Apache httpd، OpenOffice، LibreOffice، Firefox، Chromium، Python ۽ Wayland، پنج خطرناڪ خطرن کي ختم ڪري ٿي، جن مان چار ممڪن طور تي توهان کي توهان جي ڪوڊ جي عمل کي منظم ڪرڻ جي اجازت ڏين ٿيون. جڏهن پروسيسنگ خاص طور تي ڊزائين ڪيل XML ڊيٽا ايپليڪيشنن ۾ libexpat استعمال ڪندي. ٻن خطرن لاء، ڪم ڪندڙ استحصال ٻڌايو ويو آهي. توهان انهن صفحن تي تقسيم ۾ پيڪيج جي تازه ڪاري جي اشاعت جي پيروي ڪري سگهو ٿا Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
سڃاڻپ ٿيل ڪمزوريون:
- CVE-2022-25235 - يونيڪوڊ اکرن جي انڪوڊنگ جي غلط چڪاس جي ڪري هڪ بفر اوور فلو، جيڪو XML ۾ 2- ۽ 3-بائيٽ UTF-8 اکرن جي خاص فارميٽ ڪيل ترتيبن جي پروسيسنگ دوران ڪوڊ ايگزيڪيوشن تائين (هڪ استحصال آهي) ڪري سگھي ٿو. ٽيگ جا نالا.
- CVE-2022-25236 - هڪ URI ۾ "xmlns[:prefix]" خاصيتن جي قدرن ۾ نالو اسپيس ڊيليميٽر ڪردارن جي متبادل جو امڪان. ڪمزوري توهان کي اجازت ڏئي ٿي ته ڪوڊ جي عمل کي ترتيب ڏيو جڏهن حملي ڪندڙ ڊيٽا کي پروسيس ڪندي (هڪ استحصال موجود آهي).
- CVE-2022-25313 Stack exhaustion تڏهن ٿئي ٿو جڏهن ”ڊڪٽائپ“ (DTD) بلاڪ کي پارس ڪيو وڃي، جيئن 2 MB کان وڏي فائلن ۾ ڏٺو ويو آهي جنهن ۾ کليل قوس جو تمام وڏو تعداد شامل آهي. اهو ممڪن آهي ته ڪمزوري استعمال ٿي سگهي ٿي سسٽم ۾ پنهنجي ڪوڊ جي عمل کي منظم ڪرڻ لاءِ.
- CVE-2022-25315 storeRawNames فنڪشن ۾ هڪ انٽيجر اوور فلو آهي جيڪو صرف 64-bit سسٽم تي ٿئي ٿو ۽ گيگا بائيٽ ڊيٽا جي پروسيسنگ جي ضرورت آهي. اهو ممڪن آهي ته ڪمزوري استعمال ٿي سگهي ٿي سسٽم ۾ پنهنجي ڪوڊ جي عمل کي منظم ڪرڻ لاءِ.
- CVE-2022-25314 ڪاپي اسٽرينگ فنڪشن ۾ هڪ انٽيجر اوور فلو آهي جيڪو صرف 64-bit سسٽم تي ٿئي ٿو ۽ گيگا بائيٽ ڊيٽا جي پروسيسنگ جي ضرورت آهي. مسئلو ٿي سگھي ٿو خدمت جي انڪار جي نتيجي ۾.
جو ذريعو: opennet.ru