Debian dla-4622:libxml2 - 安全性更新
medium Nessus Plugin ID 319670
語言:
概要
遠端 Debian 主機上缺少一個或多個安全性更新。說明
遠端 Debian 11 主機已安裝的套件受到 dla-4622 公告中提及的多個弱點影響。------------------------------------------------------------------------- Debian LTS 公告 DLA-4622-1 [email protected] https://www.debian.org/lts/security/Guilhem Moulin 2026 年 6 月 8 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
套件 : libxml2 版本 : 2.9.10+dfsg-6.7+deb11u10 CVE ID : CVE-2025-8732 CVE-2026-0989 CVE-2026-0990 CVE-2026-0992 CVE-2026-1757 Debian 錯誤 : 1125691 1125695 1125696
在 GNOME XML 程式庫 libxml2 中發現多個安全問題,可能導致拒絕服務。
CVE-2025-8732
目錄剖析功能缺少循環偵測。當目錄檔案包含指向自己的 CATALOG 指令時,「xmlExpandCatalog()」和「xmlParseSGMLCatalog()」會遞迴地無邊界地呼叫彼此,直到堆疊溢位為止。
CVE-2026-0989
RelaxNG 剖析器在解析 '<include>' 指令時不會限制遞迴深度,這可能會導致惡意 RelaxNG 結構描述檔案上的堆疊溢位。
CVE-2026-0990
Nick Wellnhofer 發現,如果目錄具有參照自己的 URI 委派,「xmlCatalogXMLResolveURI()」將無限遞迴,最終導致呼叫堆疊溢位。
CVE-2026-0992
Nick Wellnhofer 發現,處理與 '<nextCatalog>' 連結的 XML 目錄鏈並具有 '<nextCatalog>' 元素需要指數級時間,進而因資源耗盡而導致拒絕服務。
CVE-2026-1757
發現 xmllint(1) 互動式 shell 的命令剖析邏輯會洩漏記憶體。
此外,還發現了一些尚未指派 CVE ID 的其他安全問題:
* 'xmlTextWriterStartElementNS()' 中前置詞的記憶體洩漏。
* 'xmlRelaxNGValidateValue()' 中潛在的釋放後使用問題。
* 'xmlTextWriterStartAttributeNS()' 中發生記憶體洩漏。
* schematron 中錯誤路徑上存在額外的記憶體洩漏。
* 自我參照 SGML CATALOG 項目的堆疊溢位。
對於 Debian 11 bullseye,這些問題已在 +dfsg-6.7+deb11u10 版本 2.9.10中修復。
建議您升級 libxml2 套件。
如需有關 libxml2 安全性狀態的詳細資訊,請參閱其安全追蹤頁面:
https://security-tracker.debian.org/tracker/libxml2
有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊,請參閱:https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 簽章
Tenable 已直接從 Debian 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 libxml2 套件。另請參閱
https://security-tracker.debian.org/tracker/source-package/libxml2
https://security-tracker.debian.org/tracker/CVE-2025-8732
https://security-tracker.debian.org/tracker/CVE-2026-0989
https://security-tracker.debian.org/tracker/CVE-2026-0990
https://security-tracker.debian.org/tracker/CVE-2026-0992
Plugin 詳細資訊
嚴重性: Medium
ID: 319670
檔案名稱: debian_DLA-4622.nasl
版本: 1.2
類型: Local
代理程式: unix
已發布: 2026/6/8
已更新: 2026/6/9
支援的感應器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Low
基本分數: 1.7
時間性分數: 1.3
媒介: CVSS2#AV:L/AC:L/Au:S/C:N/I:N/A:P
CVSS 評分資料來源: CVE-2025-8732
CVSS v3
風險因素: Medium
基本分數: 6.2
時間性分數: 5.4
媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2026-1757
CVSS v4
風險因素: Medium
Base Score: 4.8
Threat Score: 1.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
弱點資訊
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:python3-libxml2-dbg, p-cpe:/a:debian:debian_linux:python3-libxml2, p-cpe:/a:debian:debian_linux:libxml2-utils, p-cpe:/a:debian:debian_linux:libxml2-dev, p-cpe:/a:debian:debian_linux:libxml2, p-cpe:/a:debian:debian_linux:libxml2-doc
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/6/8
弱點發布日期: 2025/8/8
參考資訊
CVE: CVE-2025-8732, CVE-2026-0989, CVE-2026-0990, CVE-2026-0992, CVE-2026-1757
IAVA: 2025-A-0840-S