Libxml2 официально прекращает поддерживаться после ухода сопровождающего

Главная » Программное обеспечение » Libxml2 официально прекращает поддерживаться после ухода сопровождающего

09.12.2025

Время чтения: 2 мин.

В середине сентября Ник Велльнхофер, давний разработчик широко используемой библиотеки для разбора XML libxml2, планирует покинуть проект. Несколько дней назад это решение стало официальным.

При просмотре одного из последних коммитов в репозитории проекта на GitLab вы можете увидеть следующее уведомление:

«Этот проект не поддерживается и имеет известные проблемы с безопасностью (https://gitlab.gnome.org/GNOME/libxml2/-/issues/346).
Глупо использовать это программное обеспечение для обработки ненадёжных данных».

Разработка Libxml2 прекращается, что ставит под угрозу крупные проекты.

И это очень тревожная новость. Прежде чем вы подумаете: «Ну и что, это всего лишь библиотека», вспомните, что мы говорим об основной части экосистемы Linux, которая глубоко интегрирована в инфраструктуру, среды рабочего стола, языки программирования и рабочие нагрузки, связанные с безопасностью. Позвольте нам объяснить.

Во-первых, libxml2 — это де-факто стандартная библиотека для разбора XML и HTML в мире открытого исходного кода. Она используется в тысячах пакетов, от низкоуровневых системных компонентов до высокоуровневых приложений. Почти все среды рабочего стола сильно зависят от неё, как и основные инструменты для рабочего стола, системы конфигурации и конвейеры обработки документов.

Во-вторых, синтаксический анализ XML исторически является одной из наиболее уязвимых с точки зрения безопасности областей системного программирования. Уязвимости в библиотеках XML часто приводят к удалённому выполнению кода, атакам с расширением сущностей, утечке информации или отказу в обслуживании.

Читать Через сколько устройств проходит ваше соединение, прежде чем вы перейдете на веб-сайт?

И последнее, но не менее важное: практически все дистрибутивы Linux используют libxml2 в качестве основной библиотеки. Просто посмотрите, какие пакеты в вашей системе зависят от libxml2, и вы увидите длинный список, о существовании которого вы, вероятно, даже не подозревали.

Таким образом, даже одна неустранённая проблема с безопасностью может привести к тому, что дистрибутивам придётся использовать пользовательские патчи, поддерживать ответвления или полностью заменить парсер. Однако, поскольку libxml2 глубоко интегрирована в системные библиотеки и приложения, заменить её практически невозможно (по крайней мере, в обозримом будущем).

Вот почему прекращение поддержки libxml2 — это не просто незначительное изменение в основной ветке. На самом деле это уязвимое место в основе Linux и инфраструктуры с открытым исходным кодом. Если не появится новый сопровождающий или сообщество не организует скоординированный форк, риск будет только расти.

Мы можем только надеяться, что до того, как обнаруженные в библиотеке уязвимости начнут использоваться злоумышленниками, она обретёт нового хранителя, который продолжит великолепную работу Велльнхофера, которую он вёл на протяжении многих лет и за которую мы ему глубоко признательны.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров поста: 1

Редактор: AndreyEx

Рейтинг: 5 (1 голос)

Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.