操作系统--麒麟信安操作系统,国产操作系统,麒麟信安云桌面—

公告ID (KylinSec-SA-2025-2531)

摘要:

libsoup security update

安全等级: High

公告ID: KylinSec-SA-2025-2531

发布日期: 2025年6月18日

关联CVE: CVE-2025-32907 CVE-2025-46421 CVE-2025-32914 CVE-2025-46420

详细介绍

1. 漏洞描述

libsoup 是 GNOME 平台的 HTTP 客户端/服务器库。该库采用 GObjects 和 glib 主循环机制，可与 GNOME 应用程序深度集成，同时提供同步 API 以支持多线程应用程序开发。

安全修复：

在 libsoup 中发现一个漏洞。HTTP 范围请求的实现存在资源消耗攻击风险。该漏洞允许恶意客户端在单个 HTTP 请求中多次请求相同范围，导致服务器使用大量内存。(CVE-2025-32907)

在 libsoup 中发现一个漏洞。soup_multipart_new_from_message() 函数存在越界读取问题。该漏洞允许恶意 HTTP 客户端诱导 libsoup 服务器执行越界读取操作。(CVE-2025-32914)

在 libsoup 中发现一个漏洞。当解析包含全零元素的 quality 列表时，soup_header_parse_quality_list() 函数存在内存泄漏问题。(CVE-2025-46420)

在 libsoup 中发现一个漏洞。当 libsoup 客户端遇到 HTTP 重定向时，会错误地将 HTTP 认证标头发送至重定向目标主机，导致目标主机可冒充用户访问原始主机。(CVE-2025-46421)

2. 影响范围

cve名称	产品	组件	是否受影响
CVE-2025-32907	V6	libsoup	Fixed
CVE-2025-32907	KY3.4-5	libsoup	Fixed
CVE-2025-32907	KY3.5.3	libsoup	Fixed
CVE-2025-46421	V6	libsoup	Fixed
CVE-2025-46421	KY3.4-5	libsoup	Fixed
CVE-2025-46421	KY3.5.3	libsoup	Fixed
CVE-2025-32914	V6	libsoup	Fixed
CVE-2025-32914	KY3.4-5	libsoup	Fixed
CVE-2025-32914	KY3.5.3	libsoup	Fixed
CVE-2025-46420	V6	libsoup	Fixed
CVE-2025-46420	KY3.4-5	libsoup	Fixed
CVE-2025-46420	KY3.5.3	libsoup	Fixed

3. 影响组件

libsoup

4. 修复版本

KY3.4-5

软件名称	架构	版本号
libsoup-help	noarch	2.71.0-8.kb1.ky3_4
libsoup	x86_64	2.71.0-8.kb1.ky3_4
libsoup-devel	x86_64	2.71.0-8.kb1.ky3_4
libsoup	aarch64	2.71.0-8.kb1.ky3_4
libsoup-devel	aarch64	2.71.0-8.kb1.ky3_4

KY3.5.3

软件名称	架构	版本号
libsoup-help	noarch	2.74.2-9.ky3_5
libsoup	x86_64	2.74.2-9.ky3_5
libsoup-devel	x86_64	2.74.2-9.ky3_5
libsoup	aarch64	2.74.2-9.ky3_5
libsoup-devel	aarch64	2.74.2-9.ky3_5