INFSA-2025:7505: Устранение уязвимостей libsoup3
Информация о бюллетене
Идентификатор: INFSA-2025:7505
Тип: устранение уязвимостей
Дата публикации: 2025-07-17 21:43:25 UTC
Информация о пакете
Libsoup — это реализация HTTP-библиотеки на языке Cи. Изначально она была частью реализации SOAP (Simple Object Access Protocol) под названием Soup, но теперь SOAP- и не-SOAP-части выделены в отдельные пакеты. Libsoup использует основной цикл Glib и разработан для эффективной работы с приложениями GTK. Это позволяет приложениям GNOME получать доступ к HTTP-серверам в сети полностью асинхронно, что очень похоже на модель программирования Gtk+ (также поддерживается синхронный режим работы для тех, кому это необходимо), но SOAP-части были давно удалены.
Описание уязвимостей
- CVE-2025-32906
Уязвимость библиотеки GNOME libsoup вызвана сбоем службы из-за уязвимости чтения за пределами выделенного буфера в функции soup_headers_parse_request(). Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании.
- CVE-2025-46421
Уязвимость библиотеки libsoup связана с неправильной обработкой HTTP-перенаправлений. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к конфиденциальной информации.
- CVE-2025-2784
Уязвимость функции skip_insight_whitespace() библиотеки libsoup графического интерфейса GNOME связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании путем отправки специально созданного HTTP-запроса.
- CVE-2025-32914
Уязвимость функции soup_multipart_new_from_message() (soup-multipart.c) библиотеки libsoup графического интерфейса GNOME связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-32908
Уязвимость функции on_frame_recv_callback() (soup-server-message-io-http1.c) библиотеки libsoup графического интерфейса GNOME связана с неправильной интерпретацией входных данных при обработке псевдозаголовков :scheme, :authority, и :path. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-32912
Уязвимость механизма HTTP дайджест-аутентификации библиотеки libsoup графического интерфейса GNOME связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании путем отправки специально сформированного POST-запроса.
Уровень опасности
| CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
|---|---|---|---|
|
NIST — CVE-2025-2784
|
нет информации | 7.0 | нет информации |
|
NIST — CVE-2025-32906
|
нет информации | 7.5 | нет информации |
|
NIST — CVE-2025-32908
БДУ —
BDU:2025-04545
|
нет информации | 7.5 | нет информации |
|
NIST — CVE-2025-32912
БДУ —
BDU:2025-07140
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2025-32914
|
нет информации | 7.4 | нет информации |
|
NIST — CVE-2025-46421
|
нет информации | 6.8 | нет информации |
Обновлённые пакеты