Libxml2 لائبريري ۾ پنج ڪمزورين جي سڃاڻپ ڪئي وئي آهي، جيڪا GNOME پروجيڪٽ پاران تيار ڪئي وئي آهي ۽ XML مواد کي پارس ڪرڻ لاءِ استعمال ڪئي وئي آهي، جن مان ٻه ممڪن طور تي ڪوڊ جي عملدرآمد جو سبب بڻجي سگهن ٿيون جڏهن خاص طور تي تيار ڪيل ٻاهرين ڊيٽا کي پروسيس ڪيو ويندو آهي. Libxml2 وڏي پيماني تي اوپن سورس پروجيڪٽس ۾ استعمال ٿيندو آهي ۽، مثال طور، 800 کان وڌيڪ Ubuntu پيڪيجز ۾ هڪ انحصار آهي.
پهرين ڪمزوري (CVE-2025-6170) xmllint انٽرايڪٽو شيل جي عمل درآمد ۾ بفر اوور فلو جي ڪري ٿيندي آهي، جيڪو XML فائلن کي پارس ڪرڻ لاءِ استعمال ڪيو ويندو آهي. اوور فلو تڏهن ٿيندو آهي جڏهن strcpy() فنڪشن استعمال ڪندي ڊيٽا کي ڪاپي ڪرڻ کان اڳ ان پٽ ڊيٽا سائيز جي صحيح تصديق جي کوٽ جي ڪري تمام ڊگهي ڪمانڊ دليلن کي پروسيس ڪيو ويندو آهي. هن ڪمزوري کي استعمال ڪرڻ لاءِ، هڪ حملي آور کي xmllint يوٽيلٽي ڏانهن منتقل ڪيل حڪمن کي متاثر ڪرڻ جي قابل هوندو. ڪمزوري کي درست ڪرڻ لاءِ هڪ پيچ اڃا تائين موجود ناهي.
ٻي ڪمزوري (CVE-2025-6021) xmlBuildQName() فنڪشن جي عمل درآمد ۾ موجود آهي ۽ پريفڪس ۽ مقامي نالي جي بنياد تي بفر سائيز جي حساب سان انٽيجر اوور فلو جي ڪري حد کان ٻاهر لکڻ جي طرف وٺي ٿي. هن ڪمزوري کي استعمال ڪرڻ لاءِ، هڪ حملي آور کي پنهنجي ڊيٽا کي پريفڪس ۽ ncname دليلن ۾ تبديل ڪرڻ گهرجي جيڪي xmlBuildQName() فنڪشن ڏانهن منتقل ڪيا ويا آهن. هن ڪمزوري کي حل ڪرڻ لاءِ هڪ پيچ تيار ڪيو ويو آهي. حل libxml2 2.14.4 رليز ۾ شامل ڪيو ويو آهي. توهان هيٺين صفحن تي نئين پيڪيج ورزن جي حالت يا پنهنجي تقسيم لاءِ حل جي تياري چيڪ ڪري سگهو ٿا (جيڪڏهن صفحو دستياب ناهي، ان جو مطلب آهي ته تقسيم ڊولپرز اڃا تائين مسئلي کي حل ڪرڻ شروع نه ڪيو آهي): Debian، Ubuntu، Fedora، SUSE/openSUSE، RHEL، Gentoo، ۽ Arch (1، 2).
باقي ٽي مسئلا xmlSchematronGetNode فنڪشن (CVE-2025-49794) ۾ آزاد ٿيڻ کان پوءِ ميموري رسائي جي ڪري ڪريش جو سبب بڻجن ٿا، xmlXPathCompiledEval فنڪشن (CVE-2025-49795) ۾ هڪ NULL پوائنٽر ڊيريفرنس، ۽ xmlSchematronFormatReport فنڪشن (CVE-2025-49796) ۾ هڪ قسم جي مونجهارو. انهن ڪمزورين کي حل ڪرڻ لاءِ، libxml2 مان Schematron مارڪ اپ ٻولي لاءِ سپورٽ کي هٽائڻ جي امڪان تي غور ڪيو پيو وڃي.
ان کان علاوه، غير برقرار رکيل libxslt لائبريري ۾ ٽي غير پيچ ٿيل ڪمزوريون نوٽ ڪيون ويون آهن. انهن مسئلن تي معلومات اڃا تائين ظاهر نه ڪئي وئي آهي ۽ 9 جولاءِ، 13 جولاءِ ۽ 6 آگسٽ تي اشاعت لاءِ شيڊول ڪئي وئي آهي. GNOME سان لاڳاپيل منصوبن gvfs، libgxps، gdm، glib، GIMP، ۽ libsoup ۾ پڻ غير پيچ ٿيل ۽ عوامي طور تي ظاهر نه ڪيل ڪمزوريون رپورٽ ڪيون ويون آهن.
تازه ڪاري: libxml2 سنڀاليندڙ اعلان ڪيو آهي ته اهي هاڻي ڪمزورين کي باقاعده بگ سمجهندا، انهن کي ترجيح کان محروم ڪندا، انهن کي وقت سان ئي درست ڪندا، ۽ فوري طور تي ڪمزورين جي نوعيت کي ظاهر ڪندا بغير ڪنهن پابندي لاڳو ڪرڻ يا ٽئين پارٽي جي شين ۾ اصلاح لاءِ وقت فراهم ڪرڻ جي.
جو ذريعو: opennet.ru
