libxml2-2.9.1-6.0.1.el7.AXS7.3

エラータID: AXSA:2016-545:01

リリース日: 
2016/07/11 Monday - 17:18
題名: 
libxml2-2.9.1-6.0.1.el7.AXS7.3
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

[修正内容]
以下項目について対処しました。

[Security Fix]
- libxml2 には、巧妙に細工された XML ドキュメントによって、リモートの攻撃者が任意のコードを実行する、あるいはサービス拒否 (メモリ破壊) を引き起こす脆弱性があります。(CVE-2016-1762)

- libxml2 には、巧妙に細工された XML ドキュメントによって、リモートの攻撃者が任意のコードを実行する、あるいはサービス拒否 (メモリ破壊) を引き起こす脆弱性があります。この脆弱性は CVE-2016-1834, CVE-2016-1836, CVE-2016-1837, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840 とは異なる脆弱性です。(CVE-2016-1833)

- libxml2 には、巧妙に細工された XML ドキュメントによって、リモートの攻撃者が任意のコードを実行する、あるいはサービス拒否 (メモリ破壊) を引き起こす脆弱性があります。この脆弱性は CVE-2016-1833, CVE-2016-1836, CVE-2016-1837, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840 とは異なる脆弱性です。(CVE-2016-1834)

- libxml2 には、巧妙に細工された XML ドキュメントによって、リモートの攻撃者が任意のコードを実行する、あるいはサービス拒否 (メモリ破壊) を引き起こす脆弱性があります。(CVE-2016-1835)

- libxml2 には、巧妙に細工された XML ドキュメントによって、リモートの攻撃者が任意のコードを実行する、あるいはサービス拒否 (メモリ破壊) を引き起こす脆弱性があります。この脆弱性は CVE-2016-1833, CVE-2016-1834, CVE-2016-1837, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840 とは異なる脆弱性です。(CVE-2016-1836)

- libxml2 には、巧妙に細工された XML ドキュメントによって、リモートの攻撃者が任意のコードを実行する、あるいはサービス拒否 (メモリ破壊) を引き起こす脆弱性があります。この脆弱性は CVE-2016-1833, CVE-2016-1834, CVE-2016-1836, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840 とは異なる脆弱性です。(CVE-2016-1837)

- libxml2 には、巧妙に細工された XML ドキュメントによって、リモートの攻撃者が任意のコードを実行する、あるいはサービス拒否 (メモリ破壊) を引き起こす脆弱性があります。この脆弱性はCVE-2016-1833, CVE-2016-1834, CVE-2016-1836, CVE-2016-1837, CVE-2016-1839, CVE-2016-1840 とは異なる脆弱性です。(CVE-2016-1838)

- libxml2 には、巧妙に細工された XML ドキュメントによって、リモートの攻撃者が任意のコードを実行する、あるいはサービス拒否 (メモリ破壊) を引き起こす脆弱性があります。この脆弱性は CVE-2016-1833, CVE-2016-1834, CVE-2016-1836, CVE-2016-1837, CVE-2016-1838, CVE-2016-1840 とは異なる脆弱性です。(CVE-2016-1839)

- libxml2 には、巧妙に細工された XML ドキュメントによって、リモートの攻撃者が任意のコードを実行する、あるいはサービス拒否 (メモリ破壊) を引き起こす脆弱性があります。この脆弱性は CVE-2016-1833, CVE-2016-1834, CVE-2016-1836, CVE-2016-1837, CVE-2016-1838, CVE-2016-1839 とは異なる脆弱性です。(CVE-2016-1840)

- libxml2 の tree.c の xmlStringGetNodeList 関数は、リカバリーモードで使用される場合、巧妙に細工された XML ドキュメントによって、攻撃者がサービス拒否 (無限再帰、スタックの消費、アプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2016-3627)

- libxml2 の parser.c の (1) xmlParserEntityCheck と (2) xmlParseAttValueComplex 関数は、再帰の深さを適切にトラックしておらず、大量のネストされたエンティティ参照を含む、巧妙に細工された XML ドキュメントによって、攻撃者がサービス拒否 (スタックの消費とアプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2016-3705)

- libxml2 の parser.c の xmlParseElementDecl 関数には、xmlParseName を含む、巧妙に細工されたファイルによって、攻撃者がサービス拒否 (ヒープベースのバッファーアンダーリードとアプリケーションのクラッシュ)を引き起こす脆弱性があります。(CVE-2016-4447)

- libxml2 には、フォーマットストリングの脆弱性が存在し、未知のフォーマットストリング指定子によって、攻撃者が詳細不明な影響を与える脆弱性があります。(CVE-2016-4448)

- libxml2 の parser.c の xmlStringLenDecodeEntities 関数には、XML 外部エンティティ (XXE) の脆弱性が存在し、バリデーションモードが有効ではない場合、詳細不明な要因によって、攻撃者が任意のファイルを読み込む、あるいはサー
ビス拒否 (リソースの消費) を引き起こす脆弱性があります。(CVE-2016-4449)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. libxml2-2.9.1-6.0.1.el7.AXS7.3.src.rpm
    MD5: 73e27cb68efd556fb96835c8419f657a
    SHA-256: 7ffb5f34a7da254bf21969346cf56bb3a5fdb544f5ffda3fa0daa9c81cd7ab7e
    Size: 5.02 MB

Asianux Server 7 for x86_64
  1. libxml2-2.9.1-6.0.1.el7.AXS7.3.x86_64.rpm
    MD5: 094cb467306da87752bc45239cf49d67
    SHA-256: 37f8e7e8ba0ecb0fc138efc2e1e9abb581e62aaf5d5a1c596ac264a05c899946
    Size: 667.24 kB
  2. libxml2-devel-2.9.1-6.0.1.el7.AXS7.3.x86_64.rpm
    MD5: da1e05683b1a90453525f92d981ed73d
    SHA-256: a271657ee2cf20dee773020411b6f5717c5bc1787bb660ae3016f0a26420b522
    Size: 1.05 MB
  3. libxml2-python-2.9.1-6.0.1.el7.AXS7.3.x86_64.rpm
    MD5: 6cb9fd0242109d64badc6c90663edb30
    SHA-256: 01e30edf6c2dcfcb0a9bcad473d5db3fd1bdce623a9f0896082bc2d2bff78d64
    Size: 245.84 kB
  4. libxml2-2.9.1-6.0.1.el7.AXS7.3.i686.rpm
    MD5: fca28ecd452fc82808d467700e0cca8c
    SHA-256: e3f65fa9d91dec9dbee5fb0e4dd3374234d01b42c4b351300ef0389379629125
    Size: 653.44 kB
  5. libxml2-devel-2.9.1-6.0.1.el7.AXS7.3.i686.rpm
    MD5: 65e31c22d3930f73da34bd422b13cf88
    SHA-256: 85d37510eee2fc0378120af110aa1932ed915369394295b1c4a9ec7afc23b11e
    Size: 1.05 MB