Libxml2 நூலகத்தில் ஐந்து பாதிப்புகள் அடையாளம் காணப்பட்டுள்ளன, இவை GNOME திட்டத்தால் உருவாக்கப்பட்டு XML உள்ளடக்கத்தை அலசப் பயன்படுத்தப்படுகின்றன, அவற்றில் இரண்டு சிறப்பாக வடிவமைக்கப்பட்ட வெளிப்புறத் தரவைச் செயலாக்கும்போது குறியீடு செயல்படுத்தலுக்கு வழிவகுக்கும். Libxml5 நூலகம் திறந்த மூல திட்டங்களில் பரவலாகப் பயன்படுத்தப்படுகிறது, எடுத்துக்காட்டாக, உபுண்டுவிலிருந்து 2 க்கும் மேற்பட்ட தொகுப்புகளில் சார்புநிலையாகப் பயன்படுத்தப்படுகிறது.
முதல் பாதிப்பு (CVE-2025-6170) XML கோப்புகளை அலசப் பயன்படுத்தப்படும் xmllint ஊடாடும் ஷெல்லின் செயல்படுத்தலில் ஒரு இடையக வழிதல் காரணமாக ஏற்படுகிறது. strcpy() செயல்பாட்டைப் பயன்படுத்தி தரவை நகலெடுப்பதற்கு முன் உள்ளீட்டு தரவு அளவின் சரியான சரிபார்ப்பு இல்லாததால் மிக நீண்ட கட்டளை வாதங்களை செயலாக்கும்போது வழிதல் ஏற்படுகிறது. பாதிப்பைப் பயன்படுத்த, ஒரு தாக்குபவர் xmllint பயன்பாட்டுக்கு அனுப்பப்பட்ட கட்டளைகளை பாதிக்க முடியும். பாதிப்பைச் சரிசெய்வதற்கான இணைப்பு இன்னும் கிடைக்கவில்லை.
இரண்டாவது பாதிப்பு (CVE-2025-6021) xmlBuildQName() செயல்பாட்டின் செயல்பாட்டில் உள்ளது மற்றும் முன்னொட்டு மற்றும் உள்ளூர் பெயரை அடிப்படையாகக் கொண்டு இடையக அளவைக் கணக்கிடும்போது முழு எண் வழிதல் காரணமாக இடையகத்திற்கு அப்பால் தரவை எழுத வழிவகுக்கிறது. பாதிப்பைப் பயன்படுத்த, ஒரு தாக்குபவர் தங்கள் தரவை xmlBuildQName() செயல்பாட்டிற்கு அனுப்பப்பட்ட முன்னொட்டு மற்றும் ncname வாதங்களில் மாற்ற வேண்டும். பாதிப்பை நீக்க ஒரு இணைப்பு தயாரிக்கப்பட்டுள்ளது. பிழைத்திருத்தம் libxml2 2.14.4 வெளியீட்டில் சேர்க்கப்பட்டுள்ளது. பின்வரும் பக்கங்களில் (பக்கம் கிடைக்கவில்லை என்றால், விநியோக டெவலப்பர்கள் இன்னும் சிக்கலைக் கருத்தில் கொள்ளத் தொடங்கவில்லை என்று அர்த்தம்): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo மற்றும் Arch (1, 2).
மற்ற மூன்று சிக்கல்களும் xmlSchematronGetNode செயல்பாட்டில் (CVE-2025-49794) ஏற்கனவே வெளியிடப்பட்ட நினைவகப் பகுதிக்கான அணுகல், xmlXPathCompiledEval செயல்பாட்டில் (CVE-2025-49795) ஒரு பூஜ்ய சுட்டிக்காட்டி நீக்கம் மற்றும் xmlSchematronFormatReport செயல்பாட்டில் (CVE-2025-49796) வகைகளை தவறாகக் கையாளுதல் (வகை குழப்பம்) காரணமாக செயலிழக்கச் செய்கின்றன. இந்தப் பாதிப்புகளை நிவர்த்தி செய்ய, libxml2 இலிருந்து Schematron மார்க்அப் மொழிக்கான ஆதரவை அகற்றுவதற்கான சாத்தியக்கூறு பரிசீலிக்கப்படுகிறது.
கூடுதலாக, பராமரிக்கப்படாத libxslt நூலகத்தில் மூன்று இணைக்கப்படாத பாதிப்புகள் குறிப்பிடப்பட்டுள்ளன. இந்த சிக்கல்கள் குறித்த தகவல்கள் இன்னும் வெளியிடப்படவில்லை, மேலும் ஜூலை 9, ஜூலை 13 மற்றும் ஆகஸ்ட் 6 ஆகிய தேதிகளில் வெளியிட திட்டமிடப்பட்டுள்ளது. GNOME தொடர்பான திட்டங்களான gvfs, libgxps, gdm, glib, GIMP மற்றும் libsoup ஆகியவற்றிலும் இணைக்கப்படாத மற்றும் பகிரங்கமாக வெளியிடப்படாத பாதிப்புகள் குறிப்பிடப்பட்டுள்ளன.
புதுப்பிப்பு: libxml2 பராமரிப்பாளர் இப்போது பாதிப்புகளை வழக்கமான பிழைகளாகக் கருதுவார்கள், முன்னுரிமை அளிக்க மாட்டார்கள், நேரம் கிடைக்கும்போது அவற்றைச் சரிசெய்வார்கள், மூன்றாம் தரப்பு தயாரிப்புகளில் தடை விதிக்காமல் அல்லது அவற்றை சரிசெய்ய நேரம் கொடுக்காமல் உடனடியாக பாதிப்பின் தன்மையை வெளிப்படுத்துவார்கள் என்று அறிவித்துள்ளது.
ஆதாரம்: opennet.ru
