Amazon Linux AMI:libxml2 (ALAS-2015-628)
high Nessus 插件 ID 87354
语言:
简介
远程 Amazon Linux AMI 主机缺少安全更新。描述
在 libxml2 库解析特定 XML 文件的方式中发现拒绝服务缺陷。攻击者可以提供特别构建的 XML 文件,当应用程序使用 libxml2 解析该文件时,可导致该应用程序占用过多内存。libxml2 中的 parser.c 中的 xmlParseConditionalSections 函数在停止解析无效输入时,未正确跳过中间实体,这允许上下文有关的攻击者通过构建的 XML 数据造成拒绝服务(越界读取和崩溃),此漏洞与 CVE-2015-7941 不同。
libxml2 2.9.2 未正确停止解析无效输入,这允许上下文有关的攻击者通过为 parser.c 中的 (1) xmlParseEntityDecl 或 (2) xmlParseConditionalSections 函数构建的 XML 数据造成拒绝服务(越界读取和 libxml2 崩溃),这一点已由非终止实体证实。
在 dict.c 中的 xmlDictComputeFastQKey 中发现一个基于堆的缓冲区溢出漏洞。
在 xmlParseMisc 中发现基于堆的缓冲区溢出读取。
在 xmlGROW 中发现基于堆的缓冲区溢出,允许攻击者读取内存越界。
在 xmlNextChar 中发现缓冲区越界读取,可在使用 ASAN 编译时造成分段错误。
在 xmlParseXmlDecl 中发现基于堆的缓冲区溢出。转换失败时,解析器继续提取更多错误,这可能造成意外行为。
xmlSAX2TextNode 中推送模式下 HTML 解析器基于堆栈的缓冲区越界读取漏洞,可在使用 ASAN 编译时造成分段错误。
在 libxml2 中发现一个漏洞,可通过在解析特别构建的 XML 文档时耗尽 CPU 来造成 DoS。
文件包含未完成的 xml 声明时,xmlParseXMLDecl 中发生越界堆读取。
解决方案
请运行“yum update libxml2”更新系统。另见
插件详情
严重性: High
ID: 87354
文件名: ala_ALAS-2015-628.nasl
版本: 2.3
类型: local
代理: unix
发布时间: 2015/12/15
最近更新时间: 2018/4/18
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.1
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C
漏洞信息
CPE: p-cpe:/a:amazon:linux:libxml2, p-cpe:/a:amazon:linux:libxml2-debuginfo, p-cpe:/a:amazon:linux:libxml2-devel, p-cpe:/a:amazon:linux:libxml2-python26, p-cpe:/a:amazon:linux:libxml2-python27, p-cpe:/a:amazon:linux:libxml2-static, cpe:/o:amazon:linux
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
补丁发布日期: 2015/12/14
参考资料信息
CVE: CVE-2015-1819, CVE-2015-5312, CVE-2015-7497, CVE-2015-7498, CVE-2015-7499, CVE-2015-7500, CVE-2015-7941, CVE-2015-7942, CVE-2015-8241, CVE-2015-8242, CVE-2015-8317
ALAS: 2015-628