Mandriva Linux 安全公告：libxml2 （MDVSA-2013:198）

medium Nessus 插件 ID 69053

语言：

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

已在 libxml2 中发现并修正了多种漏洞：

在 XML 文件解析期间请求/启用了外部实体引用替换（--noent 选项）的实体值时，libxml2（用于提供对读取、修改和编写 XML 和 HTML 文件的支持的库）执行字符串替换的方式中发现一个拒绝服务缺陷。远程攻击者可提供特别构建的且包含外部实体扩展的 XML 文件，处理该文件时将导致消耗过量 CPU（拒绝服务）(CVE-2013-0339)。此缺陷与 CVE-2013-0338 不同。

低于 28.0.1500.71 的 Google Chrome 和其他产品中使用的低于 2.9.0 的 libxml2 的 parser.c 允许远程攻击者通过突然结束的文档造成拒绝服务（越界读取），这与缺少 XML_PARSER_EOF 状态的某些检查有关 (CVE-2013-2877)。

更新后的程序包已进行修补，以修正这些问题。

解决方案

更新受影响的数据包。

另见

http://advisories.mageia.org/MGASA-2013-0218.html

https://bugzilla.redhat.com/show_bug.cgi?id=915149

https://bugzilla.redhat.com/show_bug.cgi?id=983204

插件详情

严重性: Medium

ID: 69053

文件名: mandriva_MDVSA-2013-198.nasl

版本: 1.16

类型: local

系列: Mandriva Local Security Checks

发布时间: 2013/7/25

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.9

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:mandriva:linux:lib64xml2-devel, p-cpe:/a:mandriva:linux:lib64xml2_2, p-cpe:/a:mandriva:linux:libxml2-python, p-cpe:/a:mandriva:linux:libxml2-utils, cpe:/o:mandriva:business_server:1

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2013/7/24

参考资料信息

CVE: CVE-2013-0339, CVE-2013-2877

BID: 59000, 61050

MDVSA: 2013:198