Awọn ailagbara marun ni a ti ṣe idanimọ ni ile-ikawe Libxml2, ti o dagbasoke nipasẹ iṣẹ akanṣe GNOME ati pe a lo lati ṣe itupalẹ akoonu XML, meji ninu eyiti o le ja si ipaniyan koodu nigba ṣiṣe awọn data itagbangba ti a ṣe ni pataki. Ile-ikawe Libxml5 jẹ lilo pupọ ni awọn iṣẹ akanṣe orisun ṣiṣi ati, fun apẹẹrẹ, o jẹ lilo bi igbẹkẹle ninu diẹ sii ju awọn idii 2 lati Ubuntu.
Ailagbara akọkọ (CVE-2025-6170) jẹ eyiti o ṣẹlẹ nipasẹ ṣiṣan buffer ni imuse ti ikarahun ibaraenisepo xmllint ti a lo lati sọ awọn faili XML. Aponsedanu naa waye nigbati ṣiṣe awọn ariyanjiyan aṣẹ gigun pupọ nitori aini afọwọsi to dara ti iwọn data titẹ sii ṣaaju didakọ data naa ni lilo iṣẹ strcpy (). Lati lo ailagbara, ikọlu gbọdọ ni anfani lati ni agba awọn aṣẹ ti o kọja si iwUlO xmllint. Patch lati ṣatunṣe ailagbara ko sibẹsibẹ wa.
Ailagbara keji (CVE-2025-6021) wa ninu imuse ti iṣẹ xmlBuildQName () ati pe o yori si kikọ data ti o kọja ifipamọ nitori ilokun odidi kan nigbati o ba n ṣe iṣiro iwọn ifipamọ ti o da lori asọtẹlẹ ati orukọ agbegbe. Lati lo ailagbara naa, ikọlu gbọdọ paarọ data wọn sinu ìpele ati awọn ariyanjiyan ncname ti o kọja si iṣẹ xmlBuildQName(). A ti pese patch kan lati yọkuro ailagbara naa. Atunṣe naa wa ninu itusilẹ libxml2 2.14.4. O le ṣayẹwo ipo ti ẹya tuntun ti package tabi igbaradi ti atunṣe ni awọn ipinpinpin lori awọn oju-iwe atẹle (ti oju-iwe ko ba si, o tumọ si pe awọn olupilẹṣẹ pinpin ko tii bẹrẹ lati ronu iṣoro naa): Debian, Ubuntu, Fedora, SUSE / openSUSE, RHEL, Gentoo ati Arch (1, 2).
Awọn ọran mẹta miiran ja si jamba nitori iraye si agbegbe iranti ti a ti tu silẹ tẹlẹ ninu iṣẹ xmlSchematronGetNode (CVE-2025-49794), imukuro itọka asan ninu iṣẹ xmlXPathCompiledEval (CVE-2025-49795), ati mimu ti ko tọ ti awọn oriṣi ninu iṣẹ-ṣiṣe xmlXPath. (CVE-2025-49796). Lati koju awọn ailagbara wọnyi, o ṣeeṣe yiyọkuro atilẹyin fun ede isamisi Schematron lati libxml2 ni a gbero.
Ni afikun, awọn ailagbara mẹta ti a ko ṣe akiyesi ni a ṣe akiyesi ni ile ikawe libxslt ti ko tọju. Alaye lori awọn ọran wọnyi ko tii ṣe afihan ati pe o ti ṣe eto fun ikede ni Oṣu Keje 9, Oṣu Keje 13, ati Oṣu Kẹjọ Ọjọ 6. Awọn ailagbara ti a ko fi han ati ti a ko sọ ni gbangba ni a tun ṣe akiyesi ni awọn iṣẹ akanṣe GNOME gvfs, libgxps, gdm, glib, GIMP, ati libsoup.
Imudojuiwọn: Olutọju libxml2 ti kede pe wọn yoo ṣe itọju awọn ailagbara bayi bi awọn idun deede, kii ṣe pataki wọn, ṣatunṣe wọn nigbati wọn ba ni akoko, ati lẹsẹkẹsẹ ṣafihan iru ailagbara naa lai fa idawọle tabi fifun akoko lati ṣatunṣe wọn ni awọn ọja ẹnikẹta.
orisun: opennet.ru
