Pkg: libxslt vulnerable

groove21 · August 22, 2025, 11:35:01 AM

Hallo zusammen,

mein CMK meckert schon seit einigen Wochen das Paket Pkg: libxslt vulnerable an.
Ich war der Hoffnung, dass sich das mit einem Update irgendwann erledigt, aber da mittlerweile schon zwei Releasezyklen drübergelaufen sind, wollte ich mal nachfragen ob da noch was kommt?

Gruß

Patrick M. Hausen · August 22, 2025, 12:11:58 PM

Es würde einen Maintainer für den Port brauchen:

https://www.freshports.org/textproc/libxslt/

Und irgendjemanden, der sich Upstream um das Projekt kümmert - scheint tot zu sein, jedenfalls gab es seit 5 Monaten keine neue Release:

https://gitlab.gnome.org/GNOME/libxslt/-/tags

Der FreeBSD-Port ist auf Stand. Mehr kann man nicht tun.

atomique · August 26, 2025, 08:15:42 PM

Hab das gleiche Problem. Witzig ist, dass 2/3 meiner Opnsense Instanzen dieses Problem nicht in CheckMK melden.
Weiß jemand wofür dieses Paket gebraucht wird, oder ist das nur auf dem System weil die Ports evtl. genutzt wurden?

Vielen Dank

Patrick M. Hausen · August 26, 2025, 08:30:44 PM

Das ist als Abhängigkeit in vielen PHP PECL-Modulen drin. Kann man dann halt schlecht was tun. Man kann ja nicht jedes verwaiste Projekt übernehmen.

Ich würd mal anylsieren, was davon wirklich gebraucht wird, und es wenn möglich rauswerfen.

Marcel_75 · September 03, 2025, 12:09:25 AM

Apple hat diese Probleme mit Unterstützung durch Sergei Glazunov und Ivan Fratric (beide vom Google Project Zero) immerhin schon am 29. / 30. Juli 2025 gefixt, also sowohl in libxml2 als auch libxslt (CVE-2025-7425 sowie CVE-2025-7424), siehe dazu:

https://support.apple.com/de-de/124152 bzw. auch https://support.apple.com/en-us/124149

Eventuell macht es ja Sinn, das entsprechend erfahrene OPNsense-Entwickler Kontakt mit Sergei und/oder Ivan aufnehmen, um einen Fix für FreeBSD und letztlich auch OPNsense entwickeln zu können?

Man will doch ganz sicher nicht damit leben, dass diese CVEs jetzt "für immer" als Warnung in der OPNsense angezeigt werden, sobald man den Security Audit laufen lässt?

Sprich, da sollte doch ein Patch möglich sein, insbesondere bei einem so sicherheits-sensiblen Projekt wie OPNsense?

groove21 · September 12, 2025, 03:51:12 PM

Ich fände es auch cool, wenn sich da was ergeben würde. Auf Dauer ist das vermutlich kein wünschenswerter Zustand aus Security-Sicht.

Patrick M. Hausen · September 12, 2025, 03:56:13 PM

Das Problem ist, dass die libxslt vom Gnome Projekt komplett aufgegeben wurde und nicht mehr aktualisiert werden wird. Es ist m.E. sinnvoller, zu versuchen, die Library loszuwerden, als sie selbst zu patchen.

groove21 · September 12, 2025, 05:02:22 PM

Kurze Frage: Ist dieses "Loswerden" im Zuständingskeitsbereich von OPNsense? Es wird doch dort benutzt, wenn ich es richtig verstanden habe, oder?

Patrick M. Hausen · September 12, 2025, 05:27:26 PM

"Loswerden" - ja, das muss aber das OPNsense-Team recherchieren und entscheiden, ob man das Paket braucht oder Dinge anders implementieren kann.

groove21 · Reply #9 - Re: Pkg: libxslt vulnerable

Also wäre das etwas, was sich ggf. @franco anschauen müsste, korrekt?

Patrick M. Hausen · Reply #10 - Re: Pkg: libxslt vulnerable

Ja? Vielleicht? Oder ein anderer Kollege? Franco ist ja nicht allein. OPNsense wird von der Firma Deciso mit Sitz in den Niederlanden hergestellt. Die haben ein Team, das sich hauptberuflich um das Produkt kümmert. Alle Architektur-Entscheidungen fallen dort.

Pkg: libxslt vulnerable

groove21

August 22, 2025, 11:35:01 AM

Patrick M. Hausen

August 22, 2025, 12:11:58 PM #1

atomique

August 26, 2025, 08:15:42 PM #2

Patrick M. Hausen

August 26, 2025, 08:30:44 PM #3

Marcel_75

September 03, 2025, 12:09:25 AM #4 Last Edit: September 03, 2025, 01:55:27 PM by Marcel_75

groove21

September 12, 2025, 03:51:12 PM #5

Patrick M. Hausen

September 12, 2025, 03:56:13 PM #6

groove21

September 12, 2025, 05:02:22 PM #7

Patrick M. Hausen

September 12, 2025, 05:27:26 PM #8

groove21

Today at 08:31:24 AM #9

Patrick M. Hausen

Today at 09:12:42 AM #10