libxml2-2.7.6-4.0.1.AXS4

エラータID: AXSA:2012-10:01

リリース日: 
2012/01/17 Tuesday - 14:01
題名: 
libxml2-2.7.6-4.0.1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86
Asianux Server 4 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- libxml2 は、不正な形式の XPath 表現を処理中に無効なメモリ位置から読み込むため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。 (CVE-2010-4008)
- libxml2 は、XPath ハンドリングに関する処理に不備があるため、サービス運用妨害 (DoS) 状態となる、またはその他の詳細不明な影響を受ける脆弱性が存在します。 (CVE-2010-4494)
- Apple Safari の libxml には、一つずれ (Off-by-one) エラーが存在し、巧妙に細工された WEB サイトによって,リモートの攻撃者が任意のコードを実行したり、サービス拒否 (ヒープベースのバッファオーバーフローとアプリケーションのクラッシュ) を引き起こす脆弱性が存在します。 (CVE-2011-0216)
- libxml の xpath.c には整数オーバーフローが存在し,巧妙に細工された XML ファイルによって,攻撃者がサービス拒否 (クラッシュ) を引き起こしたり,任意のコードを実行する可能性のある脆弱性があります。(CVE-2011-1944)
- Google Chrome で利用される libxml2 には、二重開放が発生するため、サービス運用妨害 (DoS) 状態となる、またはその他の詳細不明な影響を受ける脆弱性が存在します。 (CVE-2011-2821)
- Google Chrome にて使用される libxml2 には、XPath に関する処理に不備があるため、メモリ二重開放の脆弱性が存在します。 (CVE-2011-2834)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2010-4008
libxml2 before 2.7.8, as used in Google Chrome before 7.0.517.44, Apple Safari 5.0.2 and earlier, and other products, reads from invalid memory locations during processing of malformed XPath expressions, which allows context-dependent attackers to cause a denial of service (application crash) via a crafted XML document.
CVE-2010-4494
Double free vulnerability in libxml2 2.7.8 and other versions, as used in Google Chrome before 8.0.552.215 and other products, allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors related to XPath handling.
CVE-2011-0216
Off-by-one error in libxml in Apple Safari before 5.0.6 allows remote attackers to execute arbitrary code or cause a denial of service (heap-based buffer overflow and application crash) via a crafted web site.
CVE-2011-1944
Integer overflow in xpath.c in libxml2 2.6.x through 2.6.32 and 2.7.x through 2.7.8, and libxml 1.8.16 and earlier, allows context-dependent attackers to cause a denial of service (crash) and possibly execute arbitrary code via a crafted XML file that triggers a heap-based buffer overflow when adding a new namespace node, related to handling of XPath expressions.
CVE-2011-2821
Double free vulnerability in libxml2, as used in Google Chrome before 13.0.782.215, allows remote attackers to cause a denial of service or possibly have unspecified other impact via a crafted XPath expression.
CVE-2011-2834
Double free vulnerability in libxml2, as used in Google Chrome before 14.0.835.163, allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors related to XPath handling.




追加情報: 

N/A

ダウンロード: 

SRPMS
  1. libxml2-2.7.6-4.0.1.AXS4.src.rpm
    MD5: 80989b917128f5463a471c52c5375608
    SHA-256: bcf1a24e8581095e2ad916e6ce4bc7a36a208da4166bc430657b5dbaba27b5c7
    Size: 4.63 MB

Asianux Server 4 for x86
  1. libxml2-2.7.6-4.0.1.AXS4.i686.rpm
    MD5: 8cd40ee298d05ae7a00edcbf1e3d62aa
    SHA-256: 8a2309867d062f52354f83c5fa4f7264ca7e1b0bedce3dc0e31d7ed66b5d095e
    Size: 794.19 kB
  2. libxml2-devel-2.7.6-4.0.1.AXS4.i686.rpm
    MD5: 2ee82333079e72182ef65fd958d0da48
    SHA-256: 9d8aa3927b582a836141bbf1456ec88f2d07fe7fddc0f94c98035e6dc8c83778
    Size: 1.05 MB
  3. libxml2-python-2.7.6-4.0.1.AXS4.i686.rpm
    MD5: fcc5371e2c58ddf3408aee93c8e32ff7
    SHA-256: 1082a92731373ee26962742423d9e74354f243789c60430802a349370e836886
    Size: 311.66 kB

Asianux Server 4 for x86_64
  1. libxml2-2.7.6-4.0.1.AXS4.x86_64.rpm
    MD5: 1fdbb8b415ada2db38b0578005d58b71
    SHA-256: a419aa82f7448b59d57b23f88695645fa04a46fcda95f5009ee41b821a08c3c9
    Size: 793.35 kB
  2. libxml2-devel-2.7.6-4.0.1.AXS4.x86_64.rpm
    MD5: 285345aefd0a055218841c772b1dab08
    SHA-256: ff9970d1780e1831c07246bc687655e97bbf4f1fba63752254f18874ddd2a41b
    Size: 1.05 MB
  3. libxml2-python-2.7.6-4.0.1.AXS4.x86_64.rpm
    MD5: bebad9cc02f63bd7b00a72717a7dec3d
    SHA-256: 0537ebca54c3b90d200c3335d5441c0ab90177c3c7b0d82b0f12c3f4fb64c4f6
    Size: 318.14 kB
  4. libxml2-2.7.6-4.0.1.AXS4.i686.rpm
    MD5: 8cd40ee298d05ae7a00edcbf1e3d62aa
    SHA-256: 8a2309867d062f52354f83c5fa4f7264ca7e1b0bedce3dc0e31d7ed66b5d095e
    Size: 794.19 kB
  5. libxml2-devel-2.7.6-4.0.1.AXS4.i686.rpm
    MD5: 2ee82333079e72182ef65fd958d0da48
    SHA-256: 9d8aa3927b582a836141bbf1456ec88f2d07fe7fddc0f94c98035e6dc8c83778
    Size: 1.05 MB