El projecte OpenBSD va publicar el 9 de febrer de 2026 un pedaç de seguretat. Arriba com a errata 014 per a OpenBSD 7.8, amb la seva errata equivalent per a 7.7, i arregla dues vulnerabilitats de denegació de servei a libexpat, la biblioteca d’anàlisi de XML que també coneixeràs com a Expat. Totes dues fallades es van corregir d’arrel a la versió libexpat 2.7.4, que el mantenidor del projecte, Sebastian Pipping, va publicar el 31 de gener de 2026.
Què són les vulnerabilitats
Aquest pedaç cobreix dues fallades:
- CVE-2026-24515: una desreferència de punter NULL (CWE-476). El problema és a la funció
XML_ExternalEntityParserCreate, que no copia bé les dades d’usuari associades al gestor de codificacions desconegudes. Si un parser pare té registrat un gestor de codificació desconeguda amb dades d’usuari, la funció crea un nou parser per processar entitats externes però no li passa el punter a aquestes dades al parser fill. Quan després s’invoca el gestor amb un punter NULL o sense inicialitzar, l’aplicació es pot caure. - CVE-2026-25210: un desbordament d’enter (CWE-190) a libexpat que també acaba en una possible denegació de servei.
A qui afecta
Afecta qualsevol programa que faci servir libexpat per analitzar XML en versions anteriors a la 2.7.4. Expat és una de les biblioteques d’anàlisi de XML més esteses del programari lliure, i la trobaràs integrada en molts llenguatges, navegadors i utilitats. En aquest avís concret, OpenBSD distribueix libexpat dins del sistema base, així que l’errata corregeix el component per a tots els programes que en depenen a OpenBSD 7.7 i 7.8.
Gravetat
La gravetat és baixa a mitjana. El CVE principal, CVE-2026-24515, va rebre una puntuació CVSS v3.1 molt reduïda (al voltant de 2.5-2.9, qualificada com a baixa tant per NIST com per MITRE), perquè cal un vector d’accés local, alta complexitat d’atac i no entren en joc privilegis ni interacció de l’usuari de manera trivial. L’impacte es queda a la disponibilitat: el procés afectat es tanca de cop en processar entrada XML manipulada. No hi ha execució de codi ni filtració de dades, i ningú ha vist exploits en ús real. Tot i així, si tens serveis que processen XML de fonts que no controles, una fallada de disponibilitat compta.
Mitigació i pedaç
La recomanació és clara: actualitza libexpat a la versió 2.7.4 o posterior. A OpenBSD n’hi ha prou amb aplicar l’errata mitjançant l’eina d’actualització de pedaços:
syspatchEls pedaços d’errata estan disponibles per a les arquitectures habituals d’OpenBSD. Un cop aplicats convé reiniciar els serveis que enllacin contra libexpat perquè carreguin la biblioteca corregida. En altres distribucions, la solució passa per instal·lar l’actualització del paquet expat/libexpat que ja porti la versió 2.7.4.
Si vols veure com OpenBSD enforteix el seu sistema base davant d’aquesta mena de fallades, fes un cop d’ull a la fitxa d’OpenBSD al nostre directori de sistemes operatius.
Font
- Avís oficial: OpenBSD 7.8 Errata
- Detall del CVE: CVE-2026-24515 a NVD
- CVE relacionat: CVE-2026-25210 a NVD