Amazon Linux 2 : libxml2 (ALAS-2019-1220)

critical Nessus 插件 ID 125603

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

在 libxml2 中发现一个拒绝服务缺陷。远程攻击者可提供特制的 XML 或 HTML 文件,如果使用 libxml2 的应用程序处理该文件,则可能导致此应用程序泄露潜在敏感信息。(CVE-2015-8242) libxml2 中发现拒绝服务缺陷。远程攻击者可提供特制的 XML 或 HTML 文件,如果使用 libxml2 的应用程序处理该文件,则可能导致此应用程序崩溃。(CVE-2015-7500) libxml2 中发现拒绝服务缺陷。远程攻击者可提供特制的 XML 或 HTML 文件,如果使用 libxml2 的应用程序处理该文件,则可能导致此应用程序泄露潜在敏感信息。(CVE-2015-8317) libxml2 中发现拒绝服务缺陷。远程攻击者可提供特制的 XML 或 HTML 文件,如果使用 libxml2 的应用程序处理该文件,则可能导致此应用程序崩溃。(CVE-2015-7497) libxml2 中发现拒绝服务缺陷。远程攻击者可提供特制的 XML 或 HTML 文件,如果使用 libxml2 的应用程序处理该文件,则可能导致此应用程序崩溃。(CVE-2015-7498) 在 libxml2 库解析特定 XML 文件的方式中发现拒绝服务缺陷。攻击者可以提供特制的 XML 文件,当应用程序使用 libxml2 解析该文件时,可导致该应用程序占用过多内存。(CVE-2015-1819) libxml2 中发现拒绝服务缺陷。远程攻击者可提供特制的 XML 或 HTML 文件,如果使用 libxml2 的应用程序处理该文件,则可能导致此应用程序崩溃。(CVE-2015-7941) libxml2 中发现拒绝服务缺陷。远程攻击者可提供特制的 XML 或 HTML 文件,如果使用 libxml2 的应用程序处理该文件,则可能导致此应用程序泄露潜在敏感信息。(CVE-2015-7499) libxml2 中发现拒绝服务缺陷。远程攻击者可提供特制的 XML 或 HTML 文件,如果使用 libxml2 的应用程序处理该文件,则可能导致此应用程序泄露潜在敏感信息。(CVE-2015-8241) libxml2 中发现拒绝服务缺陷。远程攻击者可提供特制的 XML 或 HTML 文件,如果使用 libxml2 的应用程序处理该文件,则可能导致此应用程序占用过多 CPU。(CVE-2015-5312) 在 libxml2 解析某特制 XML 输入的方式中发现基于堆的缓冲区溢出缺陷。远程攻击者可提供特制的 XML 文件,当在 libxml2 链接的应用程序中打开时,可能会导致应用程序崩溃,进而造成拒绝服务。(CVE-2015-7942) 据发现,libxml2 可在解析未关闭的 HTML 注释时,访问越界内存。远程攻击者可提供特制的 XML 文件,当以 libxml2 链接的应用程序处理该文件时,可导致该应用程序泄露堆内存内容。(CVE-2015-8710)

解决方案

运行 'yum update libxml2' 以更新系统。

另见

https://alas.aws.amazon.com/AL2/ALAS-2019-1220.html

插件详情

严重性: Critical

ID: 125603

文件名: al2_ALAS-2019-1220.nasl

版本: 1.3

类型: local

代理: unix

发布时间: 2019/5/31

最近更新时间: 2020/1/13

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:libxml2, p-cpe:/a:amazon:linux:libxml2-debuginfo, p-cpe:/a:amazon:linux:libxml2-devel, p-cpe:/a:amazon:linux:libxml2-python, p-cpe:/a:amazon:linux:libxml2-static, cpe:/o:amazon:linux:2

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2019/5/30

漏洞发布日期: 2015/8/14

参考资料信息

CVE: CVE-2015-1819, CVE-2015-5312, CVE-2015-7497, CVE-2015-7498, CVE-2015-7499, CVE-2015-7500, CVE-2015-7941, CVE-2015-7942, CVE-2015-8241, CVE-2015-8242, CVE-2015-8317, CVE-2015-8710

ALAS: 2019-1220