9月中旬,我们报道了长期维护广泛使用的XML解析库libxml2的Nick Wellnhofer计划退出该项目。几天前,这一变动正式生效。
查看项目 GitLab 存储库中的最新提交之一时,您现在可以看到以下通知:
“该项目已停止维护,并且存在已知的安全问题(https://gitlab.gnome.org/GNOME/libxml2/-/issues/346)。
使用此软件处理不受信任的数据是愚蠢的。”
这确实是个令人担忧的消息。在你觉得“那又怎样,它不过是个库而已”之前,请记住,我们讨论的是Linux生态系统的核心组成部分,它深度嵌入到基础设施、桌面环境、编程语言以及对安全性要求极高的工作负载中。让我来解释一下。
首先,libxml2 是开源世界中事实上的 XML 和 HTML 解析标准库。从底层系统组件到高级应用程序,数以千计的软件包都调用了它。几乎所有桌面环境都严重依赖它,主流桌面工具、配置系统和文档处理流程也同样如此。
其次,XML解析历来是系统编程中最容易出现安全问题的领域之一。XML库中的漏洞通常会导致远程代码执行、实体扩展攻击、信息泄露或拒绝服务攻击。
最后但同样重要的是,几乎所有 Linux 发行版都将 libxml2 作为核心库打包。只需查看系统中依赖 libxml2 的软件包,您就会发现一个长长的列表,其中很多您可能从未注意到。
因此,即使只有一个未修复的安全漏洞,也可能迫使发行版携带自定义补丁、维护下游分支,或者完全替换解析器。然而,由于 libxml2 深度嵌入系统库和应用程序中,因此替换它实际上是不可能的(至少在可预见的未来是如此)。
这就是为什么 libxml2 停止维护并非仅仅是上游的一个微小改动。事实上,它代表着 Linux 和开源基础设施核心的一个安全漏洞。除非有新的维护者挺身而出,或者社区组织一次协调一致的分支,否则风险只会不断增加。
我们只能希望,在图书馆中新发现的问题开始被利用之前,能够找到一位新的维护者来继续韦尔霍弗多年来坚持的出色工作,我们对此深表感激。
