検出

Oracle Linux 7: libxml2 (ELSA-2025-2673)

high Nessus プラグイン ID 233181

Language:

概要

リモートの Oracle Linux ホストに、1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Oracle Linux 7 ホストに、ELSA-2025-2673アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 - CVE-2024-56171 を修正 [Orabug: 37694105]
 - CVE-2025-24928 を修正 [Orabug: 37694105]
 - CVE-2016-4658 を修正 (#1966916)
 - CVE-2019-19956 を修正 (#1793000)
 - CVE-2019-20388 を修正 (#1810057)
 - CVE-2020-7595 を修正 (#1810073)
 - CVE-2015-8035 を修正 (#1595697)
 - CVE-2018-14404 を修正 (#1602817)
 - CVE-2017-15412 を修正 (#1729857)
 - CVE-2016-5131 を修正 (#1714050)
 - CVE-2017-18258 を修正 (#1579211)
 - CVE-2018-1456 を修正 (#1622715)
 - xmlNextChar でのヒープベースのバッファオーバーリード (CVE-2016-1762)
 - バグ 763071: xmlStrncat でのヒープバッファオーバーフロー <https://bugzilla.gnome.org/show_bug.cgi?id=763071>(CVE-2016-1834)
 - バグ 757711: xmlFAParsePosCharGroup でのヒープバッファオーバーフロー <https://bugzilla.gnome.org/show_bug.cgi?id=757711> (CVE-2016-1840)
 - バグ 758588: xmlParserPrintFileContextInternal でのヒープベースのバッファオーバーリード <https://bugzilla.gnome.org/show_bug.cgi?id=758588> (CVE-2016-1838)
 - バグ 758605: xmlDictAddString でのヒープベースのバッファオーバーリード <https://bugzilla.gnome.org/show_bug.cgi?id=758605> (CVE-2016-1839)
 - バグ 759398: xmlDictComputeFastKey でのヒープの use-after-free <https://bugzilla.gnome.org/show_bug.cgi?id=759398> (CVE-2016-1836)
 - エンティティコンテンツの不適切なフェッチを修正します(CVE-2016-4449)
 - htmlParsePubidLiteral と htmlParseSystemiteral でのヒープの use-after-free(CVE-2016-1837)
 - xmlSAX2AttributeNs でのヒープの use-after-free(CVE-2016-1835)
 - xmlParseName によるヒープベースのバッファアンダーリード(CVE-2016-4447)
 - htmlCurrentChar でのヒープベースのバッファオーバーリード(CVE-2016-1833)
 - 再帰デプスカウンターの不足している増分を XML パーサーに追加。(CVE-2016-3705)
 - 構築中の再帰エントリを回避します(CVE-2016-3627)
 - 書式文字列の脆弱性があり得るという、一部の書式文字列の警告を修正 (CVE-2016-4448)
 - 書式文字列の脆弱性があり得るという、多くの書式文字列の警告を追加 (CVE-2016-4448)
 - CVE-2015-7941 エンティティ境界エラーの解析を停止
 - CVE-2015-7941 条件つきセクションエラー処理をクリーンアップ
 - CVE-2015-8317 エンコーディング変換が失敗した場合に解析が早期に失敗する
 - CVE-2015-7942 条件付きセクションでの別の種類のオーバーフロー
 - CVE-2015-7942 以前の条件付きセクションパッチのエラーを修正
 - CVE-2015-7498 エンコーディング変換失敗後のエンティティ処理を回避
 - CVE-2015-7497 xmlDictComputeFastQKey でのヒープバッファオーバーフローを回避
 - CVE-2015-5312 別のエンティティ拡張の問題
 - CVE-2015-7499 xmlHaltParser() を追加してパーサーを停止
 - CVE-2015-7499 GROW の非干渉性を検出
 - CVE-2015-7500 間違ったエンティティ境界によるメモリアクセスエラーを修正
 - CVE-2015-8242 プッシュモードでの HTML パーサーのバッファオーバーリード
 - CVE-2015-1819 リーダーがコンスタントメモリで実行されるように強制
 - CVE-2014-3660 の修正後のエンティティの欠如を修正
 - CVE-2014-0191 外部パラメーターエントリをフェッチしない (rhbz#1195650)
 - CVE-2014-0191 のパッチにより導入された回帰を修正
 - CVE-2014-3660 再帰エンティティ拡張によるサービス拒否 (rhbz#1149087)
 - XPath での二重解放を修正 CVE-2010-4494 バグ 665965
 - 解析問題用の 2 つのパッチ CVE-2009-2414 および CVE-2009-2416
 - サイズオーバーフロー問題の 2 つのパッチ CVE-2008-4225 および CVE-2008-4226

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://linux.oracle.com/errata/ELSA-2025-2673.html

プラグインの詳細

深刻度: High

ID: 233181

ファイル名: oraclelinux_ELSA-2025-2673.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2025/3/21

更新日: 2025/4/10

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.1

CVSS v2

リスクファクター: Medium

基本値: 6.2

現状値: 4.6

ベクトル: CVSS2#AV:L/AC:H/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-56171

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2025-24928

脆弱性情報

CPE: cpe:/a:oracle:linux:7:9:latest_els, p-cpe:/a:oracle:linux:libxml2-devel, p-cpe:/a:oracle:linux:libxml2-python, cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:libxml2, p-cpe:/a:oracle:linux:libxml2-static

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/3/20

脆弱性公開日: 2025/2/18

参照情報

CVE: CVE-2024-56171, CVE-2025-24928

IAVA: 2025-A-0123-S