libxml2-2.9.7-7.el8
エラータID: AXSA:2020-301:02
リリース日:
2020/09/08 Tuesday - 06:16
題名:
libxml2-2.9.7-7.el8
影響のあるチャネル:
Asianux Server 8 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- libxml2には、xmlXPathCompOpEval関数に 不正な Xpath表現をパース
するときにNULLポインタデリファレンスするため、攻撃者が、XSL
フォーマット入力を介して、それを用いて処理するアプリケーションを
クラッシュするDoS攻撃が可能な脆弱性があります。(CVE-2018-14404)
- libxml2 の xzlib.c の xz_decomp 関数には、--with-lzma が使用される場合、
リモートの攻撃者が xmllint で実証されているように、LZMA_MEMLIMIT_ERROR の
トリガとなる巧妙に細工された XML ファイルを介して、 DoS 攻撃(無限ループ)を
引き起こすことを許可する脆弱性があります。(CVE-2018-9251)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2018-14404
A NULL pointer dereference vulnerability exists in the xpath.c:xmlXPathCompOpEval() function of libxml2 through 2.9.8 when parsing an invalid XPath expression in the XPATH_OP_AND or XPATH_OP_OR case. Applications processing untrusted XSL format inputs with the use of the libxml2 library may be vulnerable to a denial of service attack due to a crash of the application.
A NULL pointer dereference vulnerability exists in the xpath.c:xmlXPathCompOpEval() function of libxml2 through 2.9.8 when parsing an invalid XPath expression in the XPATH_OP_AND or XPATH_OP_OR case. Applications processing untrusted XSL format inputs with the use of the libxml2 library may be vulnerable to a denial of service attack due to a crash of the application.
CVE-2018-9251
The xz_decomp function in xzlib.c in libxml2 2.9.8, if --with-lzma is used, allows remote attackers to cause a denial of service (infinite loop) via a crafted XML file that triggers LZMA_MEMLIMIT_ERROR, as demonstrated by xmllint, a different vulnerability than CVE-2015-8035.
The xz_decomp function in xzlib.c in libxml2 2.9.8, if --with-lzma is used, allows remote attackers to cause a denial of service (infinite loop) via a crafted XML file that triggers LZMA_MEMLIMIT_ERROR, as demonstrated by xmllint, a different vulnerability than CVE-2015-8035.
追加情報:
N/A
ダウンロード:
SRPMS
- libxml2-2.9.7-7.el8.src.rpm
MD5: 877815ae3591e08006a047ec9b05860a
SHA-256: 8dc5eadfb9aded95180e38fad28e65720ffcb7249260c9dce3db72f63ed93244
Size: 5.20 MB
Asianux Server 8 for x86_64
- libxml2-2.9.7-7.el8.x86_64.rpm
MD5: 09d6a609401c6af0d555fd3c93df7ac2
SHA-256: 1add6734757db9c007465dda9bc5b6d98fda69cc333ef37514ffd2c680f95db3
Size: 695.58 kB - libxml2-devel-2.9.7-7.el8.x86_64.rpm
MD5: 177cd5cfa048112c18cab25f94bc2feb
SHA-256: 8e98ee91baae7a2ef264d9bc575b25422752468d00f6bc2840b018addd3aaf35
Size: 1.04 MB - python3-libxml2-2.9.7-7.el8.x86_64.rpm
MD5: bc515ee9aaf47a54b218995f42687a5d
SHA-256: 500ae3dbb9a2792a557eab76c082b674076ff6166418d36f66fc3ca34c1b17f9
Size: 235.88 kB - libxml2-2.9.7-7.el8.i686.rpm
MD5: 634f1d98df22950e7353730e241f9892
SHA-256: 5027a3826befab612236cbfa97eff249480676060ccbeb67a64fb9139d14f18e
Size: 740.57 kB - libxml2-devel-2.9.7-7.el8.i686.rpm
MD5: 6b526544284bd50713ca2fc16453d9c4
SHA-256: 9c8db1ad28b61d2da9adfd2d822ef30d1b92779bea868b70332d6ca120b23f4e
Size: 1.04 MB
English