偵測

GLSA-202402-11:libxml2:多個弱點

high Nessus Plugin ID 190354

語系:

說明

遠端主機受到 GLSA-202402-11 中所述的弱點影響 (libxml2:多個弱點)

 - 在 libxml2 2.10.4 之前版本中,剖析某些無效的 XSD 配置會導致 NULL 指標解除參照,進而造成區段錯誤。此錯誤發生在 xmlschemas.c 的 xmlSchemaFixupComplexType 中。(CVE-2023-28484)

 - 在 2.10.4 之前的 libxml2 中發現一個問題。雜湊特製的 XML 文件中的空 dict 字串時,dict.c 中的 xmlDictComputeFastKey 會產生不確定的值,進而導致各種邏輯和記憶體錯誤 (例如重複釋放)。發生此行為的原因是,系統嘗試使用空字串的第一個位元組,而且可能有任何值 (不只是 '\0' 值)。(CVE-2023-29469)

 - libxml2 2.11.5 及之前版本有釋放後使用問題,該問題只有在特定記憶體配置失敗後才會發生。
 此問題發生在 tree.c 的 xmlUnlinkNode 中。注意:供應商的立場是,我不認為這些問題嚴重到足以保證 CVE ID…因為攻擊者通常無法掌控記憶體配置何時失敗。(CVE-2023-45322)

 - 在 2.11.7 之前以及 2.12.x 至 2.12.5 的 libxml2 中發現一個問題。在啟用 DTD 驗證和 XInclude 擴充的情況下使用 XML 讀取器介面時,處理特製 XML 文件可導致 xmlValidatePopElement 釋放後使用弱點。(CVE-2024-25062)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

所有 libxml2 使用者皆應升級至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose>=dev-libs/libxml2-2.12.5 如果您目前無法更新至 libxml2-2.12,可以更新至最新的 2.11 版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=dev-libs/libxml2-2.11.7 =dev-libs/libxml2-2.11*

另請參閱

https://security.gentoo.org/glsa/202402-11

https://bugs.gentoo.org/show_bug.cgi?id=904202

https://bugs.gentoo.org/show_bug.cgi?id=905399

https://bugs.gentoo.org/show_bug.cgi?id=915351

https://bugs.gentoo.org/show_bug.cgi?id=923806

Plugin 詳細資訊

嚴重性: High

ID: 190354

檔案名稱: gentoo_GLSA-202402-11.nasl

版本: 1.1

類型: local

已發布: 2024/2/9

已更新: 2024/2/13

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: High

基本分數: 7.8

時間分數: 6.1

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 評分資料來源: CVE-2024-25062

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:gentoo:linux:libxml2, cpe:/o:gentoo:linux

必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2024/2/9

弱點發布日期: 2023/4/13

參考資訊

CVE: CVE-2023-28484, CVE-2023-29469, CVE-2023-45322, CVE-2024-25062