Lima kerentanan parantos diidentifikasi dina perpustakaan Libxml2, dikembangkeun ku proyék GNOME sareng dianggo pikeun nga-parse eusi XML, dua diantarana berpotensi ngakibatkeun palaksanaan kode nalika ngolah data éksternal anu diformat khusus. Perpustakaan Libxml5 seueur dianggo dina proyék open source sareng, contona, dianggo salaku kagumantungan dina langkung ti 2 bungkusan ti Ubuntu.
Kerentanan munggaran (CVE-2025-6170) disababkeun ku overflow panyangga dina palaksanaan cangkang interaktif xmllint anu dianggo pikeun nga-parse file XML. Overflow lumangsung nalika ngolah argumen paréntah anu panjang pisan kusabab kurangna validasi anu leres tina ukuran data input sateuacan nyalin data nganggo fungsi strcpy (). Pikeun ngamangpaatkeun kerentanan, panyerang kedah tiasa mangaruhan paréntah anu disalurkeun ka utilitas xmllint. A patch pikeun ngalereskeun kerentanan henteu acan sayogi.
The kerentanan kadua (CVE-2025-6021) hadir dina palaksanaan xmlBuildQName () fungsi sarta ngabalukarkeun nulis data saluareun panyangga alatan hiji ngabahekeun integer nalika ngitung ukuran panyangga dumasar kana awalan jeung ngaran lokal. Pikeun ngamangpaatkeun kerentanan, panyerang kedah ngagentos datana kana awalan sareng argumen ncname anu dikirimkeun kana fungsi xmlBuildQName (). Patch parantos disiapkeun pikeun ngaleungitkeun kerentanan. Perbaikan ieu kalebet dina pelepasan libxml2 2.14.4. Anjeun tiasa pariksa status tina versi anyar tina pakét atawa persiapan hiji fix di sebaran dina kaca handap (lamun kaca teu sadia, eta hartina pamekar distribution teu acan mimiti mertimbangkeun masalah): Debian, Ubuntu, Fedora, SUSE / openSUSE, RHEL, Gentoo na Arch (1, 2).
Tilu masalah anu sanésna nyababkeun kacilakaan kusabab aksés kana mémori anu parantos dileupaskeun dina fungsi xmlSchematronGetNode (CVE-2025-49794), dereferensi pointer nol dina fungsi xmlXPathCompiledEval (CVE-2025-49795), sareng pananganan jinis anu salah (Type xml Confusion) (CVE-2025-49796). Pikeun ngatasi kerentanan ieu, kamungkinan pikeun ngahapus dukungan pikeun basa markup Schematron tina libxml2 nuju dipertimbangkeun.
Sajaba ti, tilu kerentanan unpatched nyatet dina perpustakaan libxslt unmaintained. Inpormasi ngeunaan masalah ieu henteu acan diungkabkeun sareng dijadwalkeun pikeun diterbitkeun dina 9 Juli, 13 Juli, sareng 6 Agustus. Kerentanan anu teu diungkabkeun sareng henteu diungkabkeun sacara umum ogé kacatet dina proyék-proyék GNOME gvfs, libgxps, gdm, glib, GIMP, sareng libsoup.
Update: The libxml2 maintainer geus ngumumkeun yén maranéhna ayeuna bakal ngubaran vulnerabilities salaku bug biasa, moal prioritas aranjeunna, ngalereskeun aranjeunna nalika aranjeunna gaduh waktos, sarta geuwat nyingkab sipat kerentanan tanpa maksakeun hiji embargo atawa méré waktu pikeun ngalereskeun aranjeunna dina produk pihak katilu.
sumber: opennet.ru
