Pkg: libxslt vulnerable

Started by groove21, August 22, 2025, 11:35:01 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 22, 2025, 11:35:01 AM
Hallo zusammen,

mein CMK meckert schon seit einigen Wochen das Paket Pkg: libxslt vulnerable an.
Ich war der Hoffnung, dass sich das mit einem Update irgendwann erledigt, aber da mittlerweile schon zwei Releasezyklen drübergelaufen sind, wollte ich mal nachfragen ob da noch was kommt?

Gruß
August 22, 2025, 12:11:58 PM #1
Es würde einen Maintainer für den Port brauchen:

https://www.freshports.org/textproc/libxslt/

Und irgendjemanden, der sich Upstream um das Projekt kümmert - scheint tot zu sein, jedenfalls gab es seit 5 Monaten keine neue Release:

https://gitlab.gnome.org/GNOME/libxslt/-/tags

Der FreeBSD-Port ist auf Stand. Mehr kann man nicht tun.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 26, 2025, 08:15:42 PM #2
Hab das gleiche Problem. Witzig ist, dass 2/3 meiner Opnsense Instanzen dieses Problem nicht in CheckMK melden.
Weiß jemand wofür dieses Paket gebraucht wird, oder ist das nur auf dem System weil die Ports evtl. genutzt wurden?

Vielen Dank
August 26, 2025, 08:30:44 PM #3
Das ist als Abhängigkeit in vielen PHP PECL-Modulen drin. Kann man dann halt schlecht was tun. Man kann ja nicht jedes verwaiste Projekt übernehmen.

Ich würd mal anylsieren, was davon wirklich gebraucht wird, und es wenn möglich rauswerfen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 03, 2025, 12:09:25 AM #4 Last Edit: September 03, 2025, 01:55:27 PM by Marcel_75
Apple hat diese Probleme mit Unterstützung durch Sergei Glazunov und Ivan Fratric (beide vom Google Project Zero) immerhin schon am 29. / 30. Juli 2025 gefixt, also sowohl in libxml2 als auch libxslt (CVE-2025-7425 sowie CVE-2025-7424), siehe dazu:

https://support.apple.com/de-de/124152 bzw. auch https://support.apple.com/en-us/124149

Eventuell macht es ja Sinn, das entsprechend erfahrene OPNsense-Entwickler Kontakt mit Sergei und/oder Ivan aufnehmen, um einen Fix für FreeBSD und letztlich auch OPNsense entwickeln zu können?

Man will doch ganz sicher nicht damit leben, dass diese CVEs jetzt "für immer" als Warnung in der OPNsense angezeigt werden, sobald man den Security Audit laufen lässt?

Sprich, da sollte doch ein Patch möglich sein, insbesondere bei einem so sicherheits-sensiblen Projekt wie OPNsense?
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
Print
Go Up Pages1
User actions