expat-2.2.5-4.el8

エラータID: AXSA:2020-1007:03

リリース日: 
2020/12/20 Sunday - 04:07
題名: 
expat-2.2.5-4.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- expatには、XML名にたくさんのコロン(":")が
含まれたXMLが入力されると、大量の(サービス拒否
攻撃をする為に十分な量の)CPUとメモリリソースを
消費する脆弱性があります。(CVE-2018-20843)

- expatには、巧妙に細工されたXMLが入力されると、
パーサーがDTDの構文解析から、より早期にドキュメント
の構文解析に切り替えてしまい、XML_GetCurrentLineNumber
(又はXML_GetCurrentColumnNumber)への連続
呼び出しが発生することでヒープ領域のバッファ・
オーバーフローを引き起こす脆弱性があります。
(CVE-2019-15903)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2018-20843
In libexpat in Expat before 2.2.7, XML input including XML names that contain a large number of colons could make the XML parser consume a high amount of RAM and CPU resources while processing (enough to be usable for denial-of-service attacks).
CVE-2019-15903
In libexpat before 2.2.8, crafted XML input could fool the parser into changing from DTD parsing to document parsing too early; a consecutive call to XML_GetCurrentLineNumber (or XML_GetCurrentColumnNumber) then resulted in a heap-based buffer over-read.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. expat-2.2.5-4.el8.src.rpm
    MD5: 9110bca8e2872fc9150bd5258f7bfe26
    SHA-256: 73c5922d3852698f6db41f80d7098082daa4b92ce548d13bd9b5c64807c6d084
    Size: 7.91 MB

Asianux Server 8 for x86_64
  1. expat-2.2.5-4.el8.x86_64.rpm
    MD5: 228b2021c3d3431abae51ddef97f8da6
    SHA-256: a9be4f8ad9ada92b21cb21f3c12bc7d26cf8c70aaf813911954f397d3c34a3b2
    Size: 109.77 kB
  2. expat-devel-2.2.5-4.el8.x86_64.rpm
    MD5: 047c39fa73ae2870cd6e0ff9635ecdae
    SHA-256: 9786c4f62bc54de6ed2da4bd3e9bd0293abc0a5d897b417c87881a70189aa720
    Size: 54.21 kB
  3. expat-2.2.5-4.el8.i686.rpm
    MD5: e4cebdf74da1f2d745312a05267a3721
    SHA-256: a0c39e9f3f4ef99c5f7e118bfbfb0f23692dde1e3f3e15a88d5e3c44f9db3a39
    Size: 109.25 kB
  4. expat-devel-2.2.5-4.el8.i686.rpm
    MD5: 9c38686ce29d6eef8ecaecb60e838495
    SHA-256: 689c105acd546e09a93faf81fd240066810723e0cf31827e0e08ea60758017c2
    Size: 54.23 kB