Libgio-devel
Уязвимости
15
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.04693
Распределение по критичности
Критический
2
Высокий
5
Средний
7
Низкий
1
Также сопоставлено как (исходные строки): libgio-devel
Топ уязвимостей
CVE-2021-27219Проблема обнаружена в GNOME GLib до 2.66.6 и 2.67.x до 2.67.3. Функция g_bytes_new имеет целочисленное переполнение на 64-битных платформах из-за неявного приведения из 64 бит в 32 бита. Переполнение может привести к повреждению памяти.
CVE-2018-16428В GNOME GLib 2.56.1 g_markup_parse_context_end_parse() в gmarkup.c имеет разыменование нулевого указателя.
CVE-2020-35457GNOME GLib до 2.65.3 имеет целочисленное переполнение, которое может привести к записи за пределами границ в g_option_group_add_entries. ПРИМЕЧАНИЕ: позиция поставщика такова: «Реалистично, это не проблема безопасности. Стандартная схема заключается в том, что вызывающие стороны предоставляют статический список записей параметров в фиксированном количестве вызовов g_option_group_add_entries()». Исследователь заявляет, что эта схема не задокументирована.
CVE-2025-6052В GLib's GString обнаружена уязвимость, связанная с неправильным управлением памятью при добавлении данных к строкам. Если строка уже очень большая, объединение ее с дополнительными входными данными может вызвать скрытое переполнение в расчете размера. Это приводит к тому, что система считает, что памяти достаточно, когда на самом деле ее недостаточно. В результате данные могут быть записаны за пределами выделенной памяти, что приводит к крахам или повреждению памяти [1].
Источники:
- [1] https://access.redhat.com/security/cve/CVE-2025-6052
- [2] https://bugzilla.redhat.com/show_bug.cgi?id=2372666
CVE-2025-4056В GLib был обнаружен недостаток. Отказ в обслуживании на платформах Windows может произойти, если приложение пытается породить программу с помощью длинных командных строк.
CVE-2021-27218Проблема обнаружена в GNOME GLib до 2.66.7 и 2.67.x до 2.67.4. Если g_byte_array_new_take() был вызван с буфером размером 4 ГБ или более на 64-битной платформе, длина будет усечена по модулю 2**32, что приведет к непреднамеренному усечению длины.
CVE-2024-52533gio/gsocks4aproxy.c в GNOME GLib до версии 2.82.1 имеет ошибку «off-by-one» и результирующее переполнение буфера, поскольку SOCKS4_CONN_MSG_LEN недостаточно для завершающего символа '\0'.
CVE-2020-6750GSocketClient в GNOME GLib до версии 2.62.4 может иногда подключаться непосредственно к целевому адресу вместо подключения через прокси-сервер, если настроено подключение через прокси, из-за неправильной обработки поля proxy_addr. Эта ошибка зависит от времени и может возникать лишь спорадически в зависимости от сетевых задержек. Наибольшее значение для безопасности имеет в случаях использования прокси для обеспечения конфиденциальности/анонимности, даже если нет технических препятствий для прямого подключения. ПРИМЕЧАНИЕ: версии до 2.60 не затронуты.
CVE-2019-12450file_copy_fallback в gio/gfile.c в GNOME GLib версий 2.15.0 - 2.61.1 неправильно ограничивает права доступа к файлам во время выполнения операции копирования. Вместо этого используются права доступа по умолчанию.
CVE-2023-32611В GLib была найдена уязвимость. Десериализация GVariant уязвима к проблеме замедления, когда созданный GVariant может привести к чрезмерной обработке, что приводит к отказу в обслуживании.
CVE-2023-29499В GLib была найдена уязвимость. Десериализация GVariant не выполняет проверку, соответствуют ли данные входным данным ожидаемому формату, что приводит к отказу в обслуживании.
CVE-2023-32643В GLib была найдена уязвимость. Код десериализации GVariant уязвим к переполнению буфера кучи, вызванному исправлением для CVE-2023-32665. Эта ошибка не затрагивает ни одну выпущенную версию GLib, но затрагивает дистрибьюторов GLib, которые следовали указаниям разработчиков GLib по обратному порту первоначального исправления для CVE-2023-32665.
CVE-2021-28153Проблема была обнаружена в GNOME GLib до версии 2.66.8. Когда g_file_replace() используется с G_FILE_CREATE_REPLACE_DESTINATION для замены пути, который является висячей символической ссылкой, он некорректно создает цель символической ссылки как пустой файл, что теоретически может иметь значение для безопасности, если символическая ссылка контролируется злоумышленником. (Если путь является символической ссылкой на файл, который уже существует, то содержимое этого файла правильно остается неизменным).
CVE-2019-13012Бэкэнд настроек keyfile в GNOME GLib (aka glib2.0) до версии 2.60.0 создает каталоги, используя g_file_make_directory_with_parents (kfsb->dir, NULL, NULL), и файлы, используя g_file_replace_contents (kfsb->file, contents, length, NULL, FALSE, G_FILE_CREATE_REPLACE_DESTINATION, NULL, NULL, NULL). Следовательно, он не ограничивает должным образом разрешения для каталогов (и файлов). Вместо этого для каталогов используются разрешения 0777; для файлов используются разрешения по умолчанию. Это похоже на CVE-2019-12450.
CVE-2024-34397Обнаружена проблема в GNOME GLib до версий 2.78.5 и 2.79.x и 2.80.x до версии 2.80.1. Когда клиент на основе GDBus подписывается на сигналы от доверенной системной службы, такой как NetworkManager, на общем компьютере, другие пользователи этого же компьютера могут отправлять поддельные сигналы D-Bus, которые клиент на основе GDBus ошибочно интерпретирует как отправленные доверенной системной службой. Это может привести к некорректному поведению клиента на основе GDBus с зависящим от приложения воздействием.