AXSA:2016-021:01

リリース日: 
2016/01/11 Monday - 11:24
題名: 
libxml2-2.7.6-20.1.0.1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
Moderate
Description: 

- libxml2 の parser.c の xmlStringLenDecodeEntities 関数は,適切にエ
ンティティ拡張を妨げておらず,巧妙に細工された XML データによって,攻撃者
がサービス拒否 (CPU の消費) を引き起こす脆弱性があります。
この脆弱性は CVE-2014-3660 とは異なる脆弱性です。(CVE-2015-5312)

- libxml2 の dict.c の xmlDictComputeFastQKey 関数には,ヒープベース
のバッファーオーバーフローが存在し,詳細不明な要因によって,攻撃者がサー
ビス拒否を引き起こす脆弱性があります。(CVE-2015-7497)

- libxml2 の parser.c の xmlParseXmlDecl 関数には,ヒープベースのバッ
ファーオーバーフローが存在し,エンコード変換失敗の後のエラー抽出に関連す
る要因によって,攻撃者がサービス拒否を引き起こす脆弱性があります。
(CVE-2015-7498)

- libxml2 の parser.c の xmlGROW 関数には,ヒープベースのバッファーオー
バーフローが存在し,攻撃者が機密プロセスのメモリ情報を取得する脆弱性があり
ます。(CVE-2015-7499)

- libxml2 の parser.c の xmlParseMisc 関数には,誤ったエンティティ境界
と start タグに関連する要因によって,攻撃者がサービス拒否 (境界外からの
ヒープの読み込み) を引き起こす脆弱性があります。(CVE-2015-7500)

- libxml2 は,不正な入力のパースを適切に停止しておらず,parser.c の
xmlParseEntityDecl 関数,(2) xmlParseConditionalSections 関数への巧妙
に細工された XML データによって,攻撃者がサービス拒否 (境界外からの読み
込みと libxml2 のクラッシュ) を引き起こす脆弱性があります。(CVE-2015-7941)

- libxml2 の parser.c の xmlParseConditionalSections 関数は,不正な入力
のパースを停止した際に,中間エンティティを適切にスキップしておらず,
巧妙に細工された XML データによって,攻撃者がサービス拒否 (境界外から
の読み込みとクラッシュ) を引き起こす脆弱性があります。
この脆弱性は CVE-2015-7941 とは異なる脆弱性です。(CVE-2015-7942)

- libxml2 の xmlNextChar 関数は適切に状態をチェックしておらず,攻撃
者がサービス拒否 (ヒープベースのバッファーオーバーリードとアプリケー
ションのクラッシュ) を引き起こす,あるいは機密情報を取得する脆弱性があ
ります。 (CVE-2015-8241)

- libxml2 の HTML パーサの push インターフェースの SAX2.c の
xmlSAX2TextNode 関数には,巧妙に細工された XML データによって,攻
撃者がサービス拒否 (スタックベースのバッファーオーバーフローとアプリ
ケーションのクラッシュ) を引き起こす,あるいは機密情報を取得する脆弱
性があります。(CVE-2015-8242)

- libxml2 の parser.c の xmlParseXMLDec 関数には,(1) 終端していない
エンコード値あるいは (2) XML データの不完全な XML宣言によって,攻撃者が
機密情報を取得する脆弱性があります。(CVE-2015-8317)

現時点では CVE-2015-8710 の情報が公開されておりません。
CVE の情報が公開され次第情報をアップデートいたします。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. libxml2-2.7.6-20.1.0.1.AXS4.src.rpm
    MD5: f3da49679e252b38712daf6a0be3b2ae
    SHA-256: 9d6786ac19e183f01f425c6f590fb780a75c6bd1e0852f07cf1b0c7a2ff07ca9
    Size: 4.69 MB

Asianux Server 4 for x86
  1. libxml2-2.7.6-20.1.0.1.AXS4.i686.rpm
    MD5: c1b715f8278532bbecccff89389696cc
    SHA-256: bcfc08193c24a597bb5a6b7efdfac79485c39e16f72b157ccc88cbecbc782a62
    Size: 802.54 kB
  2. libxml2-devel-2.7.6-20.1.0.1.AXS4.i686.rpm
    MD5: 423f455a895cb3e20751c5ae8ef2d374
    SHA-256: 8f568d1a6d65c506d9b0701b1cf9004bcecd635457725fb5307527dd51297fec
    Size: 1.06 MB
  3. libxml2-python-2.7.6-20.1.0.1.AXS4.i686.rpm
    MD5: f3a54a44651f513dfbd4401064b3017c
    SHA-256: e07199e8c2b241207a1869d1a5d778ddbfa2b5650b104fe0121012011583d2c7
    Size: 315.73 kB

Asianux Server 4 for x86_64
  1. libxml2-2.7.6-20.1.0.1.AXS4.x86_64.rpm
    MD5: 7f84bf996f318c7c77d0ceee8e63cd1e
    SHA-256: 6335da44f0a1feed89f11469453cb1299b6bdd5d19fa63f3c31943d2ca31be8c
    Size: 801.91 kB
  2. libxml2-devel-2.7.6-20.1.0.1.AXS4.x86_64.rpm
    MD5: 0d1fc8d84b7a9b7c140a3e883a3cd165
    SHA-256: a70402e2a8297c98264548310f3fc78c305ca01c6429935aa968e42569029fc5
    Size: 1.06 MB
  3. libxml2-python-2.7.6-20.1.0.1.AXS4.x86_64.rpm
    MD5: 29d7c4c905e8cf3bbe29da1e428c8253
    SHA-256: 6d60a436be3f0015be5fe7faec9e2bcdcce29e98d14d8618c42c2624448ebb4a
    Size: 322.19 kB
  4. libxml2-2.7.6-20.1.0.1.AXS4.i686.rpm
    MD5: c1b715f8278532bbecccff89389696cc
    SHA-256: bcfc08193c24a597bb5a6b7efdfac79485c39e16f72b157ccc88cbecbc782a62
    Size: 802.54 kB
  5. libxml2-devel-2.7.6-20.1.0.1.AXS4.i686.rpm
    MD5: 423f455a895cb3e20751c5ae8ef2d374
    SHA-256: 8f568d1a6d65c506d9b0701b1cf9004bcecd635457725fb5307527dd51297fec
    Size: 1.06 MB
Copyright© 2007-2015 Asianux. All rights reserved.