V knižnici Libxml2, vyvinutej v rámci projektu GNOME a používanej na analýzu obsahu XML, bolo identifikovaných päť zraniteľností, z ktorých dve by mohli potenciálne viesť k spusteniu kódu pri spracovaní špeciálne formátovaných externých údajov. Knižnica Libxml5 sa široko používa v open source projektoch a napríklad sa používa ako závislosť vo viac ako 2 balíkoch z Ubuntu.
Prvá zraniteľnosť (CVE-2025-6170) je spôsobená pretečením vyrovnávacej pamäte v implementácii interaktívneho shellu xmllint, ktorý sa používa na analýzu súborov XML. K pretečeniu dochádza pri spracovaní veľmi dlhých argumentov príkazov z dôvodu chýbajúcej správnej validácie veľkosti vstupných údajov pred kopírovaním údajov pomocou funkcie strcpy(). Aby útočník mohol túto zraniteľnosť zneužiť, musí byť schopný ovplyvniť príkazy odovzdávané nástroju xmllint. Oprava na opravu tejto zraniteľnosti zatiaľ nie je k dispozícii.
Druhá zraniteľnosť (CVE-2025-6021) sa nachádza v implementácii funkcie xmlBuildQName() a vedie k zápisu dát mimo vyrovnávacej pamäte v dôsledku celočíselného pretečenia pri výpočte veľkosti vyrovnávacej pamäte na základe prefixu a lokálneho názvu. Aby útočník mohol túto zraniteľnosť zneužiť, musí do argumentov prefix a ncname odovzdaných funkcii xmlBuildQName() dosadiť svoje dáta. Na odstránenie tejto zraniteľnosti bola pripravená oprava. Oprava je súčasťou vydania libxml2 2.14.4. Stav novej verzie balíka alebo prípravu opravy v distribúciách si môžete pozrieť na nasledujúcich stránkach (ak stránka nie je dostupná, znamená to, že vývojári distribúcií sa problémom ešte nezačali zaoberať): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo a Arch (1, 2).
Ďalšie tri problémy spôsobujú zlyhanie systému v dôsledku prístupu k už uvoľnenej oblasti pamäte vo funkcii xmlSchematronGetNode (CVE-2025-49794), dereferencie nulového ukazovateľa vo funkcii xmlXPathCompiledEval (CVE-2025-49795) a nesprávneho spracovania typov (zmätok typov) vo funkcii xmlSchematronFormatReport (CVE-2025-49796). Na riešenie týchto zraniteľností sa zvažuje možnosť odstránenia podpory pre značkovací jazyk Schematron z knižnice libxml2.
Okrem toho sú v neudržiavanej knižnici libxslt zaznamenané tri neopravené zraniteľnosti. Informácie o týchto problémoch zatiaľ nie sú zverejnené a ich publikovanie je naplánované na 9. júla, 13. júla a 6. augusta. Neopravené a verejne nezverejnené zraniteľnosti sú tiež zaznamenané v projektoch súvisiacich s GNOME: gvfs, libgxps, gdm, glib, GIMP a libsoup.
Aktualizácia: Správca knižnice libxml2 oznámil, že odteraz bude so zraniteľnosťami zaobchádzať ako s bežnými chybami, nebude ich uprednostňovať, opraví ich, keď bude mať čas, a okamžite zverejní povahu zraniteľnosti bez uloženia embarga alebo poskytnutia času na ich opravu v produktoch tretích strán.
Zdroj: opennet.ru
