Amazon Linux 2:libxml2 (ALAS-2019-1301)
critical Nessus Plugin ID 129559
語系:
概要
遠端 Amazon Linux 2 主機缺少一個安全性更新。說明
在 2.9.5 之前的 libxml2 (如 10 之前的 Apple iOS、10.12 之前的 OS X、10 之前的 tvOS 和 3 之前的 watchOS 及其他產品中所使用) 中,xpointer.c 未在 XPointer 範圍中禁止命名空間節點,遠端攻擊者因而得以透過特製 XML 文件執行任意程式碼,或造成拒絕服務 (釋放後使用和記憶體損毀)。(CVE-2016-4658) 在 2.9.5 之前的 libxml2 中,parser.c 未正確處理參數與實體間的參照,這是因為 NEXTL 巨集在 DTD 名稱中呼叫「%」字元內的 xmlParserHandlePEReference 函式。(CVE-2017-16931)解決方案
執行「yum update libxml2」以更新系統。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 129559
檔案名稱: al2_ALAS-2019-1301.nasl
版本: 1.3
類型: local
代理程式: unix
已發布: 2019/10/4
已更新: 2024/4/19
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2016-4658
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2017-16931
弱點資訊
CPE: p-cpe:/a:amazon:linux:libxml2, p-cpe:/a:amazon:linux:libxml2-debuginfo, p-cpe:/a:amazon:linux:libxml2-devel, p-cpe:/a:amazon:linux:libxml2-python, p-cpe:/a:amazon:linux:libxml2-static, cpe:/o:amazon:linux:2
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2019/10/2
弱點發布日期: 2016/9/25
參考資訊
CVE: CVE-2016-4658, CVE-2017-16931
ALAS: 2019-1301