В середине сентября Ник Велльнхофер, давний разработчик широко используемой библиотеки для разбора XML libxml2, планирует покинуть проект. Несколько дней назад это решение стало официальным.
При просмотре одного из последних коммитов в репозитории проекта на GitLab вы можете увидеть следующее уведомление:
«Этот проект не поддерживается и имеет известные проблемы с безопасностью (https://gitlab.gnome.org/GNOME/libxml2/-/issues/346).
Глупо использовать это программное обеспечение для обработки ненадёжных данных».
Разработка Libxml2 прекращается, что ставит под угрозу крупные проекты.
И это очень тревожная новость. Прежде чем вы подумаете: «Ну и что, это всего лишь библиотека», вспомните, что мы говорим об основной части экосистемы Linux, которая глубоко интегрирована в инфраструктуру, среды рабочего стола, языки программирования и рабочие нагрузки, связанные с безопасностью. Позвольте нам объяснить.
Во-первых, libxml2 — это де-факто стандартная библиотека для разбора XML и HTML в мире открытого исходного кода. Она используется в тысячах пакетов, от низкоуровневых системных компонентов до высокоуровневых приложений. Почти все среды рабочего стола сильно зависят от неё, как и основные инструменты для рабочего стола, системы конфигурации и конвейеры обработки документов.
Во-вторых, синтаксический анализ XML исторически является одной из наиболее уязвимых с точки зрения безопасности областей системного программирования. Уязвимости в библиотеках XML часто приводят к удалённому выполнению кода, атакам с расширением сущностей, утечке информации или отказу в обслуживании.
И последнее, но не менее важное: практически все дистрибутивы Linux используют libxml2 в качестве основной библиотеки. Просто посмотрите, какие пакеты в вашей системе зависят от libxml2, и вы увидите длинный список, о существовании которого вы, вероятно, даже не подозревали.
Таким образом, даже одна неустранённая проблема с безопасностью может привести к тому, что дистрибутивам придётся использовать пользовательские патчи, поддерживать ответвления или полностью заменить парсер. Однако, поскольку libxml2 глубоко интегрирована в системные библиотеки и приложения, заменить её практически невозможно (по крайней мере, в обозримом будущем).
Вот почему прекращение поддержки libxml2 — это не просто незначительное изменение в основной ветке. На самом деле это уязвимое место в основе Linux и инфраструктуры с открытым исходным кодом. Если не появится новый сопровождающий или сообщество не организует скоординированный форк, риск будет только расти.
Мы можем только надеяться, что до того, как обнаруженные в библиотеке уязвимости начнут использоваться злоумышленниками, она обретёт нового хранителя, который продолжит великолепную работу Велльнхофера, которую он вёл на протяжении многих лет и за которую мы ему глубоко признательны.