検出

MiracleLinux 7libxml2-2.9.1-6.0.1.el7.AXS7.3AXSA:2016-545:01

critical Nessus プラグイン ID 289699

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのMiracleLinux 7ホストには、AXSA:2016-545:01アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 このライブラリにより、 は XML ファイルを操作できます。XML および HTML ファイルの読み取り、変更、書き込みのサポートが含まれています。解析時またはドキュメント変更後のいずれかで、複雑な DtDs でも解析と検証が含まれる DTD サポートがあります。出力は、シンプルな SAX ストリームまたは およびメモリ内 DOM のような表現です。
 この場合、ビルトイン XPath および XPointer の実装を使用して、サブノードまたは範囲を選択できます。既存の HTTP および FTP モジュールを使用し、URI ライブラリに統合することで、柔軟な入力/出力メカニズムが利用可能です。
 このリリースで修正されたセキュリティ問題
 CVE-2016-17629.3より前の Apple iOS、 10.11.4より前の OS X、 9.1より前の Safari、[ 9.2より前の tvOS、および 2.2 より前の watchOS の libxml2 により、リモートの攻撃者が、サービス拒否攻撃を引き起こす可能性があります。
 CVE-2016-18339.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838、 CVE-2016-1839、および CVE-2016-1840とは異なる脆弱性です。
 CVE-2016-18349.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838、 CVE-2016-1839、および CVE-2016-1840とは異なる脆弱性です。
 CVE-2016-18359.3.2 より前の Apple iOS および 10.11.5より前の OS X で使用される libxml2 により、リモートの攻撃者が、細工された XML ドキュメントを介して、任意のコードを実行したり、サービス拒否メモリ破損を引き起こしたりする可能性があります。
 CVE-2016-18369.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1837、 CVE-2016-1838、 CVE-2016-1839、および CVE-2016-1840とは異なる脆弱性です。
 CVE-2016-18379.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1838、 CVE-2016-1839、および CVE-2016-1840とは異なる脆弱性です。
 CVE-2016-18389.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1839、および CVE-2016-1840とは異なる脆弱性です。
 CVE-2016-18399.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838、および CVE-2016-1840とは異なる脆弱性です。
 CVE-2016-18409.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838、および CVE-2016-1839とは異なる脆弱性です。
 CVE-2016-3627 libxml2 2.9.3 およびそれ以前の tree.c の xmlStringGetNodeList 関数により、リカバリモードで使用された際に、コンテキスト依存の攻撃者が、細工された XML ドキュメントで、サービス拒否無限再帰、スタック消費、アプリケーションクラッシュを引き起こす可能性があります。
 CVE-2016-3705 libxml2 2.9.3のparser.cにおける(1)xmlParserEntityCheck関数と(2)xmlParseAttValueComplex関数が、再帰深度の追跡を適切に行っていません。これにより、コンテキスト依存の攻撃者が、多数のネスト化されたエンティティ参照を含む細工されたXMLドキュメントを介して、サービス拒否(スタック消費とアプリケーションクラッシュ)を引き起こす可能性があります。
 CVE-2016-4447 2.9.4より前のlibxml2のparser.cにあるxmlParseElementDecl関数により、コンテキスト依存の攻撃者が細工されたファイル(xmlParseNameなど)を介してサービス拒否(ヒープベースのバッファアンダーリードとアプリケーションクラッシュ)を引き起こす可能性があります。
 CVE-2016-44482.9.4 より前の libxml2 における書式文字列の脆弱性により、攻撃者が未知のベクトルの書式文字列指定子を介して詳細不明な影響を与える可能性があります。
 CVE-2016-4449 2.9.4より前のlibxml2のparser.cにあるxmlStringLenDecodeEntities関数におけるXML外部エンティティ(XXE)の脆弱性により、検証モードではない場合に、コンテキスト依存の攻撃者が詳細不明なベクトルを介して、任意のファイルを読み取ったり、サービス拒否(リソース消費)を引き起こす可能性があります。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける libxml2、libxml2-devel および/または libxml2-python のパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/6971

プラグインの詳細

深刻度: Critical

ID: 289699

ファイル名: miracle_linux_AXSA-2016-545.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2016-4448

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:miracle:linux:libxml2-devel, p-cpe:/a:miracle:linux:libxml2, p-cpe:/a:miracle:linux:libxml2-python, cpe:/o:miracle:linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/7/11

脆弱性公開日: 2016/3/15

参照情報

CVE: CVE-2016-1762, CVE-2016-1833, CVE-2016-1834, CVE-2016-1835, CVE-2016-1836, CVE-2016-1837, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840, CVE-2016-3627, CVE-2016-3705, CVE-2016-4447, CVE-2016-4448, CVE-2016-4449