libsoup库多个安全漏洞分析与修复指南

本文详细分析了libsoup库中发现的五个高危安全漏洞,包括越界读取、资源消耗攻击、双重释放等问题,提供了受影响的具体软件包和修复方案,帮助用户及时更新系统确保安全。

ALAS-2025-1979安全公告

漏洞概述

在libsoup库中发现多个安全漏洞:

CVE-2025-32906 发现libsoup中存在一个缺陷,soup_headers_parse_request()函数可能存在越界读取漏洞。此缺陷允许恶意用户使用特制的HTTP请求使HTTP服务器崩溃。

CVE-2025-32907 在libsoup中发现一个缺陷。HTTP范围请求的实现容易受到资源消耗攻击。此缺陷允许恶意客户端在单个HTTP请求中多次请求相同范围,导致服务器使用大量内存。

CVE-2025-32911 libsoup:通过"params" GHashTable值,在soup_message_headers_get_content_disposition()函数中存在双重释放漏洞。

CVE-2025-32913 在libsoup中发现一个缺陷,soup_message_headers_get_content_disposition()函数存在空指针解引用漏洞。此缺陷允许恶意HTTP对等方崩溃使用此函数的libsoup客户端或服务器。

CVE-2025-32914 在libsoup中发现一个缺陷,soup_multipart_new_from_message()函数存在越界读取漏洞。此缺陷允许恶意HTTP客户端诱导libsoup服务器进行越界读取。

受影响软件包

  • libsoup

问题修复

运行以下命令更新系统:

1

yum update libsoup


1

yum update --advisory ALAS-2025-1979

新软件包

i686架构:

  • libsoup-devel-2.28.2-5.9.amzn1.i686
  • libsoup-2.28.2-5.9.amzn1.i686
  • libsoup-debuginfo-2.28.2-5.9.amzn1.i686

源代码:

  • libsoup-2.28.2-5.9.amzn1.src

x86_64架构:

  • libsoup-devel-2.28.2-5.9.amzn1.x86_64
  • libsoup-debuginfo-2.28.2-5.9.amzn1.x86_64
  • libsoup-2.28.2-5.9.amzn1.x86_64

附加参考

  • Red Hat:CVE-2025-32906, CVE-2025-32907, CVE-2025-32911, CVE-2025-32913, CVE-2025-32914
  • Mitre:CVE-2025-32906, CVE-2025-32907, CVE-2025-32911, CVE-2025-32913, CVE-2025-32914
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次