MiracleLinux 7libxml2-2.9.1-6.0.1.el7.AXS7.3 (AXSA:2016-545:01)
critical Nessus Plugin ID 289699
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 7 主機已安裝受到多個弱點影響的套件如 AXSA:2016-545:01 公告中所提及。此程式庫允許操控 XML 檔案。它包含讀取、修改和寫入 XML 與 HTML 檔案的支援。目前有 DTD 支援這包括剖析和驗證 (即使具有復雜 DtD)也可在剖析時或稍後文件修改後的情況下執行。輸出可以是簡單的 SAX 資料流或記憶體中類似 DOM 的表示法。
在此情況下可以使用內建的 XPath 和 XPointer 實作來選取子節點或範圍。現已提供彈性輸入/輸出機制搭配現有的 HTTP 和 FTP 模組並合併至 URI 程式庫。
此版本修正的安全性問題
CVE-2016-1762 libxml2 在 9.3之前的 Apple iOS、 10.11.4之前的 OS X、 9.1之前的 Safari、 9.2之前的 tvOS 以及 2.2 之前的 watchOS 中透過特製的 XML 文件。
CVE-2016-1833 在 9.3.2之前的 Apple iOS、 10.11.5之前的 OS X、 9.2.1之前的 tvOS 以及 2.2.1之前的 watchOS 中使用時libxml2 允許遠端攻擊者透過特製的XML 文件弱點與 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838、 CVE-2016-1839和 CVE-2016-1840不同。
CVE-2016-1834 在 9.3.2之前的 Apple iOS、 10.11.5之前的 OS X、 9.2.1之前的 tvOS 以及 2.2.1之前的 watchOS 中使用時libxml2 允許遠端攻擊者透過特製的XML 文件弱點與 CVE-2016-1833、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838、 CVE-2016-1839和 CVE-2016-1840不同。
CVE-2016-1835 在 9.3.2 之前的 Apple iOS 及 10.11.5之前的 OS X 中使用的 libxml2 允許遠端攻擊者透過特製的 XML 文件執行任意程式碼或造成拒絕服務 (記憶體損毀)。
CVE-2016-1836 在 9.3.2之前的 Apple iOS、 10.11.5之前的 OS X、 9.2.1之前的 tvOS 以及 2.2.1之前的 watchOS 中使用時libxml2 允許遠端攻擊者透過特製的XML 文件弱點與 CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1837、 CVE-2016-1838、 CVE-2016-1839和 CVE-2016-1840不同。
CVE-2016-1837 在 9.3.2之前的 Apple iOS、 10.11.5之前的 OS X、 9.2.1之前的 tvOS 以及 2.2.1之前的 watchOS 中使用時libxml2 允許遠端攻擊者透過特製的XML 文件弱點與 CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1838、 CVE-2016-1839和 CVE-2016-1840不同。
CVE-2016-1838 在 9.3.2之前的 Apple iOS、 10.11.5之前的 OS X、 9.2.1之前的 tvOS 以及 2.2.1之前的 watchOS 中使用時libxml2 允許遠端攻擊者透過特製的XML 文件弱點與 CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1839和 CVE-2016-1840不同。
CVE-2016-1839 在 9.3.2之前的 Apple iOS、 10.11.5之前的 OS X、 9.2.1之前的 tvOS 以及 2.2.1之前的 watchOS 中使用時libxml2 允許遠端攻擊者透過特製的XML 文件弱點與 CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838和 CVE-2016-1840不同。
CVE-2016-1840 在 9.3.2之前的 Apple iOS、 10.11.5之前的 OS X、 9.2.1之前的 tvOS 以及 2.2.1之前的 watchOS 中使用時libxml2 允許遠端攻擊者透過特製的XML 文件弱點與 CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838和 CVE-2016-1839不同。
CVE-2016-3627 在 libxml2 2.9.3 和之前版本中tree.c 的 xmlStringGetNodeList 函式在復原模式中使用時允許內容相依的攻擊者透過特製的 XML 文件造成拒絕服務 (無限遞回、堆疊消耗和應用程式損毀)。
CVE-2016-3705 libxml2 中 parser.c 的 (1) xmlParserEntityCheck 和 (2) xmlParseAttValueComplex 函式 2.9.3 並未正確追踪遞回深度進而允許內容相依的攻擊者造成拒絕服務 (堆疊消耗和應用程式損毀)內含大量巢狀實體參照的特製 XML 文件。
CVE-2016-4447 在 libxml2 2.9.4 之前的版本中,parser.c 所用的 xmlParseElementDecl 函式允許內容相依的攻擊者透過 xmlParseName 相關的特製檔案,造成拒絕服務 (堆積型緩衝區讀取不足和應用程式損毀)。
CVE-2016-44482.9.4 之前的 libxml2 中的格式字串弱點允許攻擊者透過未知向量中的格式字串指定名稱造成不明影響。
CVE-2016-4449 在 libxml2 2.9.4 之前的版本中,parser.c 所用的 xmlStringLenDecodeEntities 函式存在 XML 外部實體 (XXE) 弱點,如果不處於驗證模式下,內容相依的攻擊者即可能透過不明向量讀取任意檔案或造成拒絕服務 (資源消耗)。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 libxml2, libxml2-devel 和/或 libxml2-python 套件。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 289699
檔案名稱: miracle_linux_AXSA-2016-545.nasl
版本: 1.1
類型: local
已發布: 2026/1/16
已更新: 2026/1/16
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
Vendor
Vendor Severity: High
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2016-4448
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 8.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:miracle:linux:libxml2-devel, p-cpe:/a:miracle:linux:libxml2, p-cpe:/a:miracle:linux:libxml2-python, cpe:/o:miracle:linux:7
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2016/7/11
弱點發布日期: 2016/3/15
參考資訊
CVE: CVE-2016-1762, CVE-2016-1833, CVE-2016-1834, CVE-2016-1835, CVE-2016-1836, CVE-2016-1837, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840, CVE-2016-3627, CVE-2016-3705, CVE-2016-4447, CVE-2016-4448, CVE-2016-4449