Уязвимости в библиотеке Expat, приводящие к выполнению кода при обработке XML-данных
Автор
Сообщение
news_bot ®
Стаж: 7 лет 3 месяца
Сообщений: 27286
В библиотеке Expat 2.4.5, используемой для разбора формата XML во многих проектах, включая Apache httpd, OpenOffice, LibreOffice, Firefox, Chromium, Python и Wayland, устранено пять опасных уязвимостей, четыре из которых потенциально позволяют организовать выполнение своего кода при обработке специально оформленных XML-данных в приложениях, использующих libexpat. Для двух уязвимостей сообщается о наличии рабочих эксплоитов. Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Выявленные уязвимости:
- CVE-2022-25235 - переполнение буфера из-за некорректной проверки кодирования Unicode-символов, которое может привести (имеется эксплоит) к выполнению кода при обработке специально оформленных последовательностей 2- и 3-байтовых символов UTF-8 в именах XML-тегов.
- CVE-2022-25236 - возможность подстановки символов разделения пространств имён в значения атрибутов "xmlns[:prefix]" в URI. Уязвимость позволяет организовать выполнение кода при обработке данных атакующего (имеется эксплоит).
- CVE-2022-25313 - исчерпание стека при разборе блока "doctype" (DTD), проявляющиеся в файлах размером более 2 МБ, включающих очень большое число открывающихся скобок. Не исключено использование уязвимости для организации выполнения своего кода в системе.
- CVE-2022-25315 - целочисленное переполнение в функции storeRawNames, которое проявляется только на 64-разрядных системах и требуется обработки гигабайтов данных. Не исключено использование уязвимости для организации выполнения своего кода в системе.
- CVE-2022-25314 - целочисленное переполнение
в функции copyString, которое проявляется только на 64-разрядных системах и требуется обработки гигабайтов данных. Проблема может привести к отказу в обслуживании.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.hartwork.org/post...)
- OpenNews: Уязвимость в XML библиотеках Apache, Python и Java
- OpenNews: Критическая уязвимость в библиотеке Libxml2
- OpenNews: Анализ использования фрагментов уязвимых библиотек в исполняемом коде
- OpenNews: 79% встроенных в код сторонних библиотек никогда не обновляются
- OpenNews: Основные проблемы с открытым кодом в коммерческих проектах вызваны использованием устаревших библиотек
Похожие новости:
- [Системное администрирование, IT-инфраструктура, DevOps] SAML простыми словами (перевод)
- [XML, Usability, Agile, Подготовка технической документации] Техническая документация и Agile: совместить несовместимое
- [Разработка веб-сайтов, API] Как написать удобный API — 10 рекомендаций
- [Работа с видео, Python, Обработка изображений, Машинное обучение] Распознавание маски на лице с помощью YOLOv3 (перевод)
- [Программирование, DevOps] Приключения с Ansible: уроки, извлеченные из практики (перевод)
- [Open source, .NET, XML, C#] Конвертируем ODT в XML
- [Программирование, *nix, Учебный процесс в IT, Карьера в IT-индустрии] Полезные материалы для разработчика
- [SQLite, Xcode, Swift] Видеомонтаж, машинное обучение и взломанный xml — все в одной программе
- [Информационная безопасность, Тестирование IT-систем, XML, IT-стандарты] XCCDF и OVAL: основа формализации аудита информационной безопасности
- [Хостинг, Программирование, DevOps, Микросервисы] Технология Serverless: снова привет, 1970-е (перевод)
Теги для поиска: #_expat, #_xml
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 07-Май 20:49
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 7 лет 3 месяца |
|
|
В библиотеке Expat 2.4.5, используемой для разбора формата XML во многих проектах, включая Apache httpd, OpenOffice, LibreOffice, Firefox, Chromium, Python и Wayland, устранено пять опасных уязвимостей, четыре из которых потенциально позволяют организовать выполнение своего кода при обработке специально оформленных XML-данных в приложениях, использующих libexpat. Для двух уязвимостей сообщается о наличии рабочих эксплоитов. Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux. Выявленные уязвимости:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 07-Май 20:49
Часовой пояс: UTC + 5