Les développeurs de la bibliothèque d’analyseur XML à code source ouvert Expat (libexpat) ont corrigé une vulnérabilité critique permettant à un attaquant d’injecter et d’exécuter du code malveillant (CVE-2022-23852, CVSS 9.8 selon la National Vulnerability Database, classification des risques critique). La bibliothèque est utilisée par de nombreux projets, ce qui rend de nombreux systèmes vulnérables.
Avec la version mise à jour Expat 2.4.4 les développeurs corrigent la faille – le nouveau paquet de code source est toutefois encore en préparation et ne sera publié que prochainement. Il n’est pas clair si la faille est déjà exploitée par des pirates. Il n’y a toutefois pas encore eu de signalement à ce sujet. En raison de la disponibilité publique de l’information, cela ne devrait être qu’une question de quand et non de si.
Sommaire
Des effets à grande échelle
Comme Expat est présent dans de nombreux autres projets, notamment le serveur Web Apache, Firefox et Thunderbird ou des interpréteurs tels que Perl, Python et PHP, la vulnérabilité touche potentiellement de nombreux utilisateurs et administrateurs. On peut imaginer que des pirates pourraient l’exploiter par exemple en utilisant des documents XML préparés de manière malveillante.
La vulnérabilité critique elle-même repose sur un débordement d’entier dans la fonction XML_GetBuffer. Celui-ci peut se produire si le paramètre XML_CONTEXT_BYTES est défini comme supérieur à 0 – ce qui, selon les développeurs d’Expat, est courant et constitue la configuration par défaut.
Selon le changelog d’Expat 2.4.4, une autre vulnérabilité concerne la fonction doProlog (CVE-2022-23990, CVSS chez SuSE environ 4, bas). Ici aussi, un dépassement d’entier peut conduire à un service de déni de service ou autre.
Situation des mises à jour
De nombreuses distributions Linux sont concernées par cette vulnérabilité. SuSE, par exemple, liste un grand nombre de versions concernées, mais estime que le risque est élevé avec un CVSS de 8.1. Red Hat ne fournit pas de valeur concrète, mais estime que le risque est moyen ; Gentoo, par exemple, ne semble avoir regardé de plus près qu’une des deux failles et se retrouve donc avec une classification « normale mineure ».
Firefox et Thunderbird figurent également dans la liste des paquets concernés d’Ubuntu. Les changelogs des dernières versions de ces deux programmes ne font pas mention de la vulnérabilité Expat. Des paquets mis à jour devraient donc être distribués prochainement pour les distributions Linux, les navigateurs web comme Firefox et ses dérivés, les clients de messagerie comme Thunderbird et ses projets dérivés, et d’autres logiciels.
Étant donné que libexpat est si répandu, il n’existe pas encore de liste complète des logiciels concernés. Les utilisateurs et les administrateurs doivent donc utiliser les mécanismes de mise à jour de la distribution ou du logiciel utilisé pour vérifier si des mises à jour sont disponibles et les installer rapidement.