• 公告ID (KylinSec-SA-2025-2525)

摘要:

libxml2 security update

安全等级: Medium

公告ID: KylinSec-SA-2025-2525

发布日期: 2025年6月23日

关联CVE: CVE-2025-32415   CVE-2025-32414  

  • 详细介绍

1. 漏洞描述

   

该库支持对 XML 文件进行操作,包含读取、修改和写入 XML 及 HTML 文件的功能。提供 DTD 支持,包括解析和验证(即使是复杂的 DTD),可在解析时或文档修改后进行验证。输出可以是简单的 SAX 流或内存中的 DOM 表示形式。在此情况下,可使用内置的 XPath 和 XPointer 实现来选择子节点或范围。提供灵活的输入/输出机制,包含现有的 HTTP 和 FTP 模块,并与 URI 库结合使用。

安全修复:

在 libxml2 2.13.8 之前版本和 2.14.x 2.14.2 之前版本中,由于返回值错误,Python API(Python 绑定)可能出现越界内存访问。该问题发生在 xmlPythonFileRead 和 xmlPythonFileReadRaw 中,原因是字节与字符的差异。(CVE-2025-32414)

在 libxml2 2.13.8 之前版本和 2.14.x 2.14.2 之前版本中,xmlschemas.c 中的 xmlSchemaIDCFillNodeTables 存在基于堆的缓冲区下读漏洞。要利用此漏洞,需使用特制的 XML 文档针对具有某些身份约束的 XML 模式进行验证,或使用特制的 XML 模式。(CVE-2025-32415)

2. 影响范围

cve名称 产品 组件 是否受影响
CVE-2025-32415 V6 libxml2 Fixed
CVE-2025-32414 V6 libxml2 Fixed

3. 影响组件

    libxml2

4. 修复版本

   

V6

软件名称 架构 版本号
libxml2-help noarch 2.11.5-6.ks6
libxml2 x86_64 2.11.5-6.ks6
libxml2-devel x86_64 2.11.5-6.ks6
python3-libxml2 x86_64 2.11.5-6.ks6
libxml2 aarch64 2.11.5-6.ks6
libxml2-devel aarch64 2.11.5-6.ks6
python3-libxml2 aarch64 2.11.5-6.ks6

5. 修复方法


方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm

方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名

6. 下载链接

   

V6:

x86_64:

     libxml2-help   

     libxml2   

     libxml2-devel   

     python3-libxml2   

aarch64:

     libxml2-help   

     libxml2   

     libxml2-devel   

     python3-libxml2   

上一篇:KylinSec-SA-2025-2522 下一篇:KylinSec-SA-2025-2529