摘要:
libxml2 security update
安全等级: High
公告ID: KylinSec-SA-2025-2439
发布日期: 2025年5月1日
该库提供对XML文件的操作功能,支持读写和修改XML/HTML文件,包含DTD解析与验证支持(包括复杂DTD的即时解析或文档修改后验证)。输出可为SAX流或内存DOM表示形式,后者可使用内置XPath和XPointer实现选择子节点或范围,并配备灵活的I/O机制(集成HTTP/FTP模块及URI库)。
安全修复:
1.libxml2 2.12.10之前版本及2.13.6之前的2.13.x版本中,xmlschemas.c文件的 xmlSchemaIDCFillNodeTables 和 xmlSchemaBubbleIDCNodeTables函数 存在释放后重用漏洞。需通过特定身份约束的XML模式验证恶意文档,或直接使用恶意XML模式触发(CVE-2024-56171)
2.libxml2 2.12.10之前版本及2.13.6之前的2.13.x版本中,valid.c文件的 xmlSnprintfElements函数 存在基于栈的缓冲区溢出。需对不可信文档或DTD进行验证时触发(注:类似CVE-2017-9047)(CVE-2025-24928)
3.libxml2 2.12.10之前版本及2.13.6之前的2.13.x版本中,pattern.c文件的 xmlPatMatch函数 存在空指针解引用问题(CVE-2025-27113)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2025-24928 | KY3.4-5A | libxml2 | Fixed |
| CVE-2025-24928 | V6 | libxml2 | Fixed |
| CVE-2024-56171 | KY3.4-5A | libxml2 | Fixed |
| CVE-2024-56171 | V6 | libxml2 | Fixed |
| CVE-2025-27113 | KY3.4-5A | libxml2 | Fixed |
| CVE-2025-27113 | V6 | libxml2 | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| libxml2-help | noarch | 2.9.10-43.kb1.ky3_4 |
| libxml2 | x86_64 | 2.9.10-43.kb1.ky3_4 |
| libxml2-devel | x86_64 | 2.9.10-43.kb1.ky3_4 |
| python2-libxml2 | x86_64 | 2.9.10-43.kb1.ky3_4 |
| python3-libxml2 | x86_64 | 2.9.10-43.kb1.ky3_4 |
| libxml2 | aarch64 | 2.9.10-43.kb1.ky3_4 |
| libxml2-devel | aarch64 | 2.9.10-43.kb1.ky3_4 |
| python2-libxml2 | aarch64 | 2.9.10-43.kb1.ky3_4 |
| python3-libxml2 | aarch64 | 2.9.10-43.kb1.ky3_4 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| libxml2-help | noarch | 2.11.5-5.ks6 |
| libxml2 | x86_64 | 2.11.5-5.ks6 |
| libxml2-devel | x86_64 | 2.11.5-5.ks6 |
| python3-libxml2 | x86_64 | 2.11.5-5.ks6 |
| libxml2 | aarch64 | 2.11.5-5.ks6 |
| libxml2-devel | aarch64 | 2.11.5-5.ks6 |
| python3-libxml2 | aarch64 | 2.11.5-5.ks6 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
