Bug 34792 - webkit2 security issues fixed upstream (WSA-2025-0008)
Summary: webkit2 security issues fixed upstream (WSA-2025-0008)
Status: RESOLVED FIXED
Alias: None
Product: Mageia
Classification: Unclassified
Component: Security (show other bugs)
Version: 9
Hardware: All Linux
Priority: Normal normal
Target Milestone: ---
Assignee: QA Team
QA Contact: Sec team
URL:
Whiteboard: MGA9-64-OK MGA9-32-OK
Keywords: advisory, validated_update
Depends on:
Blocks:
 
Reported: 2025-12-02 08:58 CET by Nicolas Salguero
Modified: 2025-12-05 00:30 CET (History)
4 users (show)

See Also:
Source RPM: webkit2-2.50.1-1.2.mga9.src.rpm
CVE: CVE-2025-43392, CVE-2025-43419, CVE-2025-43425, CVE-2025-43427, CVE-2025-43429, CVE-2025-43430, CVE-2025-43431, CVE-2025-43432, CVE-2025-43434, CVE-2025-43440, CVE-2025-43443, CVE-2025-43421
Status comment:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Description Nicolas Salguero 2025-12-02 08:58:42 CET 
Upstream has issued an advisory on November 20:
https://webkitgtk.org/security/WSA-2025-0008.html

The issues are fixed upstream in 2.50.2:
https://webkitgtk.org/2025/11/19/webkitgtk2.50.2-released.html
Comment 1 Nicolas Salguero 2025-12-02 09:04:28 CET 
CVE-2023-43000 and CVE-2025-43480 are already fixed.

Source RPM: (none) => webkit2-2.50.1-1.mga10.src.rpm, webkit2-2.50.1-1.2.mga9.src.rpm
CVE: (none) => CVE-2025-43392, CVE-2025-43419, CVE-2025-43425, CVE-2025-43427, CVE-2025-43429, CVE-2025-43430, CVE-2025-43431, CVE-2025-43432, CVE-2025-43434, CVE-2025-43440, CVE-2025-43443
Whiteboard: (none) => MGA9TOO

Comment 2 Nicolas Salguero 2025-12-02 17:03:16 CET 
The fix for CVE-2025-43421 is provided by a patch from Fedora.

Assignee: bugsquad => nicolas.salguero
CVE: CVE-2025-43392, CVE-2025-43419, CVE-2025-43425, CVE-2025-43427, CVE-2025-43429, CVE-2025-43430, CVE-2025-43431, CVE-2025-43432, CVE-2025-43434, CVE-2025-43440, CVE-2025-43443 => CVE-2025-43392, CVE-2025-43419, CVE-2025-43425, CVE-2025-43427, CVE-2025-43429, CVE-2025-43430, CVE-2025-43431, CVE-2025-43432, CVE-2025-43434, CVE-2025-43440, CVE-2025-43443, CVE-2025-43421

Nicolas Salguero 2025-12-03 08:22:19 CET

Source RPM: webkit2-2.50.1-1.mga10.src.rpm, webkit2-2.50.1-1.2.mga9.src.rpm => webkit2-2.50.1-1.2.mga9.src.rpm
Whiteboard: MGA9TOO => (none)
Version: Cauldron => 9

Comment 3 Nicolas Salguero 2025-12-03 14:17:33 CET 
Suggested advisory:
========================

The updated packages fix security vulnerabilities: CVE-2025-43392, CVE-2025-43419, CVE-2025-43425, CVE-2025-43427, CVE-2025-43429, CVE-2025-43430, CVE-2025-43431, CVE-2025-43432, CVE-2025-43434, CVE-2025-43440, CVE-2025-43443, CVE-2025-43421.

References:
https://webkitgtk.org/security/WSA-2025-0008.html
https://webkitgtk.org/2025/11/19/webkitgtk2.50.2-released.html
========================

Updated packages in core/updates_testing:
========================
lib(64)javascriptcore-gir4.0-2.50.2-1.mga9
lib(64)javascriptcore-gir4.1-2.50.2-1.mga9
lib(64)javascriptcore-gir6.0-2.50.2-1.mga9
lib(64)javascriptcoregtk4.0_18-2.50.2-1.mga9
lib(64)javascriptcoregtk4.1_0-2.50.2-1.mga9
lib(64)javascriptcoregtk6.0_1-2.50.2-1.mga9
lib(64)webkit2gtk-gir4.0-2.50.2-1.mga9
lib(64)webkit2gtk-gir4.1-2.50.2-1.mga9
lib(64)webkit2gtk4.0-devel-2.50.2-1.mga9
lib(64)webkit2gtk4.0_37-2.50.2-1.mga9
lib(64)webkit2gtk4.1-devel-2.50.2-1.mga9
lib(64)webkit2gtk4.1_0-2.50.2-1.mga9
lib(64)webkitgtk-gir6.0-2.50.2-1.mga9
lib(64)webkitgtk6.0-devel-2.50.2-1.mga9
lib(64)webkitgtk6.0_4-2.50.2-1.mga9
webkit2-driver-2.50.2-1.mga9
webkit2gtk4.0-2.50.2-1.mga9
webkit2gtk4.0-jsc-2.50.2-1.mga9
webkit2gtk4.1-2.50.2-1.mga9
webkit2gtk4.1-jsc-2.50.2-1.mga9
webkitgtk6.0-2.50.2-1.mga9
webkitgtk6.0-jsc-2.50.2-1.mga9

from SRPM:
webkit2-2.50.2-1.mga9.src.rpm

Assignee: nicolas.salguero => qa-bugs
Status: NEW => ASSIGNED

Comment 4 Morgan Leijström 2025-12-03 18:24:10 CET 
Quick test OK on three systems, Plasma

Updated installed packages and rebooted
- lib64javascriptcore-gir4.0-2.50.2-1.mga9.x86_64
- lib64javascriptcore-gir4.1-2.50.2-1.mga9.x86_64
- lib64javascriptcoregtk4.0_18-2.50.2-1.mga9.x86_64
- lib64javascriptcoregtk4.1_0-2.50.2-1.mga9.x86_64
- lib64javascriptcoregtk6.0_1-2.50.2-1.mga9.x86_64
- lib64webkit2gtk-gir4.0-2.50.2-1.mga9.x86_64
- lib64webkit2gtk-gir4.1-2.50.2-1.mga9.x86_64
- lib64webkit2gtk4.0_37-2.50.2-1.mga9.x86_64
- lib64webkit2gtk4.1_0-2.50.2-1.mga9.x86_64
- lib64webkitgtk6.0_4-2.50.2-1.mga9.x86_64
- webkit2-driver-2.50.2-1.mga9.x86_64
- webkit2gtk4.0-2.50.2-1.mga9.x86_64
- webkit2gtk4.1-2.50.2-1.mga9.x86_64
- webkitgtk6.0-2.50.2-1.mga9.x86_64

MCC works.

CC: (none) => fri

katnatek 2025-12-03 21:24:26 CET

Keywords: (none) => advisory

Comment 5 katnatek 2025-12-03 23:41:47 CET 
RH x86_64

installing lib64javascriptcore-gir4.1-2.50.2-1.mga9.x86_64.rpm webkit2gtk4.1-2.50.2-1.mga9.x86_64.rpm lib64webkit2gtk4.1_0-2.50.2-1.mga9.x86_64.rpm webkit2-driver-2.50.2-1.mga9.x86_64.rpm lib64webkit2gtk-gir4.1-2.50.2-1.mga9.x86_64.rpm lib64javascriptcoregtk4.1_0-2.50.2-1.mga9.x86_64.rpm from //home/katnatek/qa-testing/x86_64
Preparing...                     ###################################################################################################
      1/6: lib64javascriptcoregtk4.1_0
                                 ###################################################################################################
      2/6: lib64javascriptcore-gir4.1
                                 ###################################################################################################
      3/6: webkit2-driver        ###################################################################################################
      4/6: lib64webkit2gtk4.1_0  ###################################################################################################
      5/6: webkit2gtk4.1         ###################################################################################################
      6/6: lib64webkit2gtk-gir4.1
                                 ###################################################################################################
      1/6: removing lib64webkit2gtk-gir4.1-2.50.1-1.2.mga9.x86_64
                                 ###################################################################################################
      2/6: removing webkit2gtk4.1-2.50.1-1.2.mga9.x86_64
                                 ###################################################################################################
      3/6: removing lib64javascriptcore-gir4.1-2.50.1-1.2.mga9.x86_64
                                 ###################################################################################################
      4/6: removing lib64webkit2gtk4.1_0-2.50.1-1.2.mga9.x86_64
                                 ###################################################################################################
      5/6: removing lib64javascriptcoregtk4.1_0-2.50.1-1.2.mga9.x86_64
                                 ###################################################################################################
      6/6: removing webkit2-driver-2.50.1-1.2.mga9.x86_64
                                 ###################################################################################################

mcc works from a root terminal and from the launcher in the menu

gnome-boxes OK
poedit OK

Install evolution, starts OK
Install epiphany, load some mageia's sites OK

Good to me
Comment 6 katnatek 2025-12-04 01:38:28 CET 
RH i586

installing libwebkit2gtk-gir4.1-2.50.2-1.mga9.i586.rpm libjavascriptcore-gir4.0-2.50.2-1.mga9.i586.rpm libjavascriptcore-gir4.1-2.50.2-1.mga9.i586.rpm libjavascriptcoregtk4.1_0-2.50.2-1.mga9.i586.rpm libwebkit2gtk4.1_0-2.50.2-1.mga9.i586.rpm libwebkit2gtk4.0_37-2.50.2-1.mga9.i586.rpm webkit2gtk4.0-2.50.2-1.mga9.i586.rpm libwebkit2gtk-gir4.0-2.50.2-1.mga9.i586.rpm libjavascriptcoregtk4.0_18-2.50.2-1.mga9.i586.rpm webkit2-driver-2.50.2-1.mga9.i586.rpm webkit2gtk4.1-2.50.2-1.mga9.i586.rpm from //home/katnatek/qa-testing/i586
Preparing...                     #######################################################################################
     1/11: libjavascriptcoregtk4.1_0
                                 #######################################################################################
     2/11: libjavascriptcoregtk4.0_18
                                 #######################################################################################
     3/11: webkit2-driver        #######################################################################################
     4/11: libjavascriptcore-gir4.0
                                 #######################################################################################
     5/11: libjavascriptcore-gir4.1
                                 #######################################################################################
     6/11: webkit2gtk4.0         #######################################################################################
     7/11: libwebkit2gtk4.0_37   #######################################################################################
     8/11: libwebkit2gtk4.1_0    #######################################################################################
     9/11: webkit2gtk4.1         #######################################################################################
    10/11: libwebkit2gtk-gir4.1  #######################################################################################
    11/11: libwebkit2gtk-gir4.0  #######################################################################################
     1/11: removing libwebkit2gtk-gir4.0-2.50.1-1.2.mga9.i586
                                 #######################################################################################
     2/11: removing libwebkit2gtk-gir4.1-2.50.1-1.2.mga9.i586
                                 #######################################################################################
     3/11: removing libwebkit2gtk4.1_0-2.50.1-1.2.mga9.i586
                                 #######################################################################################
     4/11: removing webkit2gtk4.1-2.50.1-1.2.mga9.i586
                                 #######################################################################################
     5/11: removing libjavascriptcore-gir4.1-2.50.1-1.2.mga9.i586
                                 #######################################################################################
     6/11: removing libwebkit2gtk4.0_37-2.50.1-1.2.mga9.i586
                                 #######################################################################################
     7/11: removing webkit2gtk4.0-2.50.1-1.2.mga9.i586
                                 #######################################################################################
     8/11: removing libjavascriptcore-gir4.0-2.50.1-1.2.mga9.i586
                                 #######################################################################################
     9/11: removing libjavascriptcoregtk4.0_18-2.50.1-1.2.mga9.i586
                                 #######################################################################################
    10/11: removing libjavascriptcoregtk4.1_0-2.50.1-1.2.mga9.i586
                                 #######################################################################################
    11/11: removing webkit2-driver-2.50.1-1.2.mga9.i586
                                 #######################################################################################

mcc works
Still have the semi crash with the backtrace window in poedit but selecting continue and the application works

As falkon not works in this system I install epiphany to test an can load mageia's sites

Looks good to me
Comment 7 Herman Viaene 2025-12-04 11:47:37 CET 
MGA9-64 server Plasma Wayland on Compaq H000SB.
No installation issues.
Ref bug 34747.
Jumped around in MCC as test, opened a pdf with atril and used:
$ zenity --calendar
18/12/25

All looks OK.

Whiteboard: (none) => MGA9-64-OK
CC: (none) => herman.viaene

Comment 8 Thomas Andrews 2025-12-04 17:11:59 CET 
MGA9-32 Xfce on an HP Probook 6550b, i3-M350, Intel graphics. No installation issues. There is a longstanding webkit2 issue with this hardware and this 32-bit install where MCC crashes within a second or two of attempting to run it, and that continues after this update. Our drak tools can still be run from the command line individually. 64-bit installs on the same hardware don't have the issue. Since this is by no means a new regression, and it only seems to affect this one set of hardware and only 32-bit installs, it should not hold this update back.

Also, on Foolishness, my 32-bit Dell Inspiron 5100, P4, Radeon RV200 graphics, 32-bit Xfce system, there no apparent issues in the brief tests I gave it.

Adding the 32-bit OK, and validating.

Keywords: (none) => validated_update
Whiteboard: MGA9-64-OK => MGA9-64-OK MGA9-32-OK
CC: (none) => andrewsfarm, sysadmin-bugs

Comment 9 Mageia Robot 2025-12-05 00:30:17 CET 
An update for this issue has been pushed to the Mageia Updates repository.

https://advisories.mageia.org/MGASA-2025-0319.html

Resolution: (none) => FIXED
Status: ASSIGNED => RESOLVED
Note You need to log in before you can comment on or make changes to this bug.