Ile-ikawe Expat 2.4.5, ti a lo lati ṣe itupalẹ ọna kika XML ni ọpọlọpọ awọn iṣẹ akanṣe, pẹlu Apache httpd, OpenOffice, LibreOffice, Firefox, Chromium, Python ati Wayland, yọkuro awọn ailagbara marun ti o lewu, mẹrin ninu eyiti o le gba ọ laaye lati ṣeto ipaniyan ti koodu rẹ nigbati o ba n ṣiṣẹ data XML apẹrẹ pataki ni awọn ohun elo nipa lilo libexpat. Fun awọn ailagbara meji, awọn iṣiṣẹ ṣiṣẹ jẹ ijabọ. O le tẹle awọn atẹjade ti awọn imudojuiwọn package ni awọn pinpin lori awọn oju-iwe wọnyi Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Awọn ailagbara ti idanimọ:
- CVE-2022-25235 – Afojufoju ifipamọ nitori ṣiṣayẹwo ti ko tọ ti fifi koodu ti awọn ohun kikọ Unicode, eyiti o le darí (lo nilokulo) si ipaniyan koodu nigba ṣiṣe awọn ọna kika pataki ti awọn ohun kikọ 2- ati 3-byte UTF-8 ni XML tag awọn orukọ.
- CVE-2022-25236 - O ṣeeṣe ti fidipo awọn ohun kikọ apinpin orukọ si awọn iye ti “xmlns[: prefix]” awọn abuda ni URI kan. Ailagbara naa gba ọ laaye lati ṣeto ipaniyan koodu nigba ṣiṣe data ikọlu (iwa nilokulo wa).
- CVE-2022-25313 Irẹwẹsi Stack waye nigbati o ba ṣe atunwo bulọọki “doctype” (DTD), bi a ti rii ninu awọn faili ti o tobi ju 2 MB ti o pẹlu nọmba nla pupọ ti awọn akọmọ ṣiṣi. O ṣee ṣe pe ailagbara naa le ṣee lo lati ṣeto ipaniyan ti koodu tirẹ ninu eto naa.
- CVE-2022-25315 jẹ odidi aponsedanu ninu iṣẹ ibi ipamọRawNames ti o waye nikan lori awọn ọna ṣiṣe 64-bit ati pe o nilo ṣiṣiṣẹ gigabytes ti data. O ṣee ṣe pe ailagbara naa le ṣee lo lati ṣeto ipaniyan ti koodu tirẹ ninu eto naa.
- CVE-2022-25314 jẹ odidi aponsedanu ninu iṣẹ ẹda ẹda ti o waye nikan lori awọn ọna ṣiṣe 64-bit ati pe o nilo sisẹ gigabytes ti data. Iṣoro naa le ja si kiko iṣẹ.
orisun: opennet.ru