FreeBSDlibxml2 -- 複数の脆弱性abbc8912-5efa-11f0-ae84-99047d0a6bcc

low Nessus プラグイン ID 242030

Language:

概要

リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、abbc8912-5efa-11f0-ae84-99047d0a6bcc のアドバイザリに記載されている複数の脆弱性の影響を受けます。

Alan Coopersmith 氏による報告
https://gitlab.gnome.org/GNOME/libxml2/-/issues/913 で説明されているように、libxml2 のセキュリティポリシーが変更され、修正が利用可能になる前に脆弱性を漏洩するようになったため、メンテナー以外のユーザーがこのライブラリのセキュリティ問題の修正に貢献できるようになりました。
その一部として、以下の 5 つの CVE が最近開示されました
CVE-2025-49794ヒープ use-after-freeUAFにより、サービス拒否DoSが発生します https://gitlab.gnome.org/GNOME/libxml2/-/issues/931 [...]CVE-2025-49795] Null ポインターデリファレンスがサービス拒否DoSを引き起こす https://gitlab.gnome.org/GNOME/libxml2/-/issues/932 [...CVE-2025-49796] ]サービス拒否DoSにつながる型の取り違えType Confusionにより、サービス拒否DoSが発生します https://gitlab.gnome.org/GNOME/libxml2/-/issues/933 [...] 上記すべてについて、 Upstream は Schematron サポートを完全に削除することを検討しています。 https://gitlab.gnome.org/GNOME/libxml2/-/issues/935.(CVE-2025-6021xmlBuildQName でのバッファオーバーフローにつながる整数オーバーフロー https://gitlab.gnome.org/GNOME/libxml2/-/issues/926 [...]CVE-2025-6170] xmllint シェルのスタックベースのバッファオーバーフロー https://gitlab.gnome.org/GNOME/libxml2/-/issues/941 [...]

Tenable は、前述の記述ブロックを FreeBSD セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://gitlab.gnome.org/GNOME/libxml2/-/issues/913

https://gitlab.gnome.org/GNOME/libxml2/-/issues/926

https://gitlab.gnome.org/GNOME/libxml2/-/issues/931

https://gitlab.gnome.org/GNOME/libxml2/-/issues/932

https://gitlab.gnome.org/GNOME/libxml2/-/issues/933

https://gitlab.gnome.org/GNOME/libxml2/-/issues/935

https://gitlab.gnome.org/GNOME/libxml2/-/issues/941

http://www.nessus.org/u?138e9254

https://www.openwall.com/lists/oss-security/2025/06/16/6

http://www.nessus.org/u?aa20d1a2

プラグインの詳細

深刻度: Low

ID: 242030

ファイル名: freebsd_pkg_abbc89125efa11f0ae8499047d0a6bcc.nasl

バージョン: 1.2

タイプ: local

公開日: 2025/7/12

更新日: 2025/7/15

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: Low

基本値: 1.2

現状値: 0.9

ベクトル: CVSS2#AV:L/AC:H/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2025-6170

CVSS v3

リスクファクター: Low

基本値: 2.5

現状値: 2.2

ベクトル: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:libxml2, p-cpe:/a:freebsd:freebsd:linux-rl9-libxml2, p-cpe:/a:freebsd:freebsd:linux-c7-libxml2, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/7/12

脆弱性公開日: 2025/6/12

参照情報

CVE: CVE-2025-49794, CVE-2025-49795, CVE-2025-6021, CVE-2025-6170