(低危)libexpat_project libexpat 释放后使用(CVE-2022-40674)

浮生半日闲 发布于 2022-12-03 18 次阅读

漏洞描述

libexpat是一款使用C语言编写的流式XML解析器。

libexpat 2.4.9之前的版本存在安全漏洞,该漏洞源于其xmlparse.c组件中的doContent函数存在释放后重用。

修复方案

升级libexpat到最新版本(升级expat版本到2.4.9以上即可)。补丁获取链接:https://github.com/libexpat/libexpat/releases

centos修复方法:

如果yum list中expat版本大于2.4.9,直接通过yum进行安装。

[java@iZuf65h6b07p55f3nedcv2Z bugs]$ sudo yum update expat
[java@iZuf65h6b07p55f3nedcv2Z bugs]$ sudo yum update expat-devel

否则通过github下载安装包进行编译安装。

[java@iZuf65h6b07p55f3nedcv2Z bugs]$ wget https://github.com/libexpat/libexpat/releases/download/R_2_5_0/expat-2.5.0.tar.gz
[java@iZuf65h6b07p55f3nedcv2Z bugs]$ tar -xf expat-2.5.0.tar.gz
[java@iZuf65h6b07p55f3nedcv2Z bugs]$ cd expat-2.5.0/
[java@iZuf65h6b07p55f3nedcv2Z expat-2.5.0]$ ./configure
[java@iZuf65h6b07p55f3nedcv2Z expat-2.5.0]$ sudo make && sudo make install