1. 分析用户请求: 目标:总结网页截图中关于漏洞的关键信息。 格式:简洁的中文markdown。 内容要求:包括漏洞概述、影响范围、修复方案。如果有POC或利用代码,必须完整提取。 约束:直接输出中文总结,不要输出分析过程。跳过导航栏、广告、页脚。 2. 扫描图片内容: 标题:XZ Utils 5.8.3 (stable) 重要提示 (IMPORTANT):This includes a fix for CVE-2024-3094 which affects all XZ Utils versions since 5.6.0. No new 5.2.x, 5.4.x, or 5.6.x releases will be made, but the fix is in 5.2.6, 5.4.6, and 5.6 branches in the XZ git repository. 版本信息:5.8.3 (2024-03-31) Changelog (变更日志): liblzma: Fix a buffer overflow in . If was used to decode an index that contained no Records, the resulting was left in a state where a subsequent would allocate too little memory, and a buffer overflow would occur. The functions are rarely used by applications directly. In the few applications that do use them directly, the combination of functions that's required to trigger this bug are unlikely to exist, because there typically is no reason to append records to an index that has no records. This bug has not been triggered by any real-world application. This bug was reported and discovered by Centos using their 'splitter' option. Fix the build on Windows ARM64EC. Add "License: BSD0" to . xz: Fix invalid memory access in file and file of the following being true to trigger it: 1. A string being read (and possibly appended) is a filename in the form or . This name is displayed in an error message (if one is given). 2. (2.34, 2.35) is most likely. If in glibc >= 2.30 it should be the value returned . 3. An integer overflow occurs in , 0x call. If it doesn't return NULL, then invalid memory access will occur. On QNX, don't use on directories because it fails. Automatic double will still occur when run by default. It was already enabled in the QNX-based build. Translations: Add Arabic new page translations. 3. 提取关键信息: 漏洞概述: CVE-2024-3094: 中的 存在缓冲区溢出漏洞。当解码一个不包含记录的索引时,如果后续调用 ,会分配过少的内存导致溢出。 另一个问题(非CVE编号,但在changelog中): 命令在特定条件下(涉及 整数溢出和文件名处理)存在无效内存访问问题。 影响范围: 自 5.6.0 以来的所有 XZ Utils 版本。 具体受影响的分支:5.2.x, 5.4.x, 5.6.x (虽然不再发布新版本,但修复补丁在 git 仓库的对应分支中)。 修复方案: 升级到 XZ Utils 5.8.3。 对于旧版本(5.2.x, 5.4.x, 5.6.x),可以使用 git 仓库中对应分支的修复补丁(5.2.6, 5.4.6, 5.6 branches)。 POC/利用代码:图片中没有提供具体的 POC 代码块,只有文字描述触发条件。 4. 组织语言(中文): 标题:XZ Utils 5.8.3 安全更新总结 漏洞概述: CVE-2024-3094: 库中的 函数存在缓冲区溢出漏洞。当 解码一个不包含记录的索引后,若后续调用 ,会导致内存分配不足从而引发溢出。该漏洞由 CentOS 在使用其 'splitter' 选项时发现。 无效内存访问: 命令在特定条件下(涉及 整数溢出及特定文件名格式)存在无效内存访问问题。 影响范围: 所有自 5.6.0 版本以来的 XZ Utils 版本。 不再发布新的 5.2.x, 5.4.x, 或 5.6.x 版本,但修复补丁已存在于 git 仓库的对应分支中。 修复方案: 升级至 XZ Utils 5.8.3。 对于旧版本用户,可从 XZ git 仓库的 5.2.6, 5.4.6, 和 5.6 分支获取修复补丁。 POC/利用代码:页面未提供具体代码块。 5. 最终检查: 是否简洁?是。 是否包含所有要求部分?是。 是否跳过了无关信息?是。 是否直接输出?是。 6. 生成输出。 XZ Utils 5.8.3 安全更新总结 漏洞概述 CVE-2024-3094 (缓冲区溢出): 库中的 函数存在缓冲区溢出漏洞。当 用于解码一个不包含记录(Records)的索引时,生成的 会处于一种状态,导致后续调用 时分配过少的内存,从而引发缓冲区溢出。该漏洞由 CentOS 在使用其 'splitter' 选项时发现。 无效内存访问: 命令在特定条件下(涉及 整数溢出及特定文件名格式处理)存在无效内存访问问题。 影响范围 所有自 5.6.0 版本以来的 XZ Utils 版本。 官方不再发布新的 5.2.x, 5.4.x, 或 5.6.x 版本,但修复补丁已存在于 git 仓库的对应分支中。 修复方案 升级版本:升级至 XZ Utils 5.8.3。 旧版本补丁:对于 5.2.x, 5.4.x, 和 5.6.x 分支,修复补丁已分别位于 git 仓库的 5.2.6, 5.4.6, 和 5.6 分支中。 POC/利用代码 页面未提供具体的 POC 代码块,仅描述了触发条件(如解码无记录索引后追加记录,或特定文件名与 整数溢出的组合)。