MiracleLinux 4libxml2-2.7.6-21.1.0.1.AXS4AXSA:2016-544:01
critical Nessus プラグイン ID 289734
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートのMiracleLinux 4ホストには、AXSA:2016-544:01アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。説明:
このライブラリにより、 は XML ファイルを操作できます。XML および HTML ファイルの読み取り、変更、書き込みのサポートが含まれています。解析時またはドキュメント変更後のいずれかで、複雑な DtDs でも解析と検証が含まれる DTD サポートがあります。出力は、シンプルな SAX ストリームまたは およびメモリ内 DOM のような表現です。
この場合、組み込み XPath および XPointer 実装を使用して、サブノードまたは範囲を選択できます。既存の HTTP および FTP モジュールを使用し、URI ライブラリに統合することで、柔軟な入力/出力メカニズムが利用可能です。
このリリースで修正されたセキュリティ問題
CVE-2016-17629.3より前の Apple iOS、 10.11.4より前の OS X、 9.1より前の Safari、[ 9.2より前の tvOS、および 2.2 より前の watchOS の libxml2 により、リモートの攻撃者が、サービス拒否攻撃を引き起こす可能性があります。
CVE-2016-18339.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838、 CVE-2016-1839、および CVE-2016-1840とは異なる脆弱性です。
CVE-2016-18349.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838、 CVE-2016-1839、および CVE-2016-1840とは異なる脆弱性です。
CVE-2016-18359.3.2 より前の Apple iOS および 10.11.5より前の OS X で使用される libxml2 により、リモートの攻撃者が、細工された XML ドキュメントを介して、任意のコードを実行したり、サービス拒否メモリ破損を引き起こしたりする可能性があります。
CVE-2016-18369.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1837、 CVE-2016-1838、 CVE-2016-1839、および CVE-2016-1840とは異なる脆弱性です。
CVE-2016-18379.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1838、 CVE-2016-1839、および CVE-2016-1840とは異なる脆弱性です。
CVE-2016-18389.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1839、および CVE-2016-1840とは異なる脆弱性です。
CVE-2016-18399.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838、および CVE-2016-1840とは異なる脆弱性です。
CVE-2016-18409.3.2より前の Apple iOS、 10.11.5より前の OS X、[ 9.2.1より前の tvOS、および 2.2.1より前の watchOS で使用される libxml2 により、リモートの攻撃者が、細工されたパケットを通じて、任意のコードを実行したり、サービス拒否メモリ破損を引き起こすことが可能です。 XML ドキュメントで、これは CVE-2016-1833、 CVE-2016-1834、 CVE-2016-1836、 CVE-2016-1837、 CVE-2016-1838、および CVE-2016-1839とは異なる脆弱性です。
CVE-2016-3627 libxml2 2.9.3 およびそれ以前の tree.c の xmlStringGetNodeList 関数により、リカバリモードで使用された際に、コンテキスト依存の攻撃者が、細工された XML ドキュメントで、サービス拒否無限再帰、スタック消費、アプリケーションクラッシュを引き起こす可能性があります。
CVE-2016-3705 libxml2 2.9.3のparser.cにおける(1)xmlParserEntityCheck関数と(2)xmlParseAttValueComplex関数が、再帰深度の追跡を適切に行っていません。これにより、コンテキスト依存の攻撃者が、多数のネスト化されたエンティティ参照を含む細工されたXMLドキュメントを介して、サービス拒否(スタック消費とアプリケーションクラッシュ)を引き起こす可能性があります。
CVE-2016-4447 2.9.4より前のlibxml2のparser.cにあるxmlParseElementDecl関数により、コンテキスト依存の攻撃者が細工されたファイル(xmlParseNameなど)を介してサービス拒否(ヒープベースのバッファアンダーリードとアプリケーションクラッシュ)を引き起こす可能性があります。
CVE-2016-44482.9.4 より前の libxml2 における書式文字列の脆弱性により、攻撃者が未知のベクトルの書式文字列指定子を介して詳細不明な影響を与える可能性があります。
CVE-2016-4449 2.9.4より前のlibxml2のparser.cにあるxmlStringLenDecodeEntities関数におけるXML外部エンティティ(XXE)の脆弱性により、検証モードではない場合に、コンテキスト依存の攻撃者が詳細不明なベクトルを介して、任意のファイルを読み取ったり、サービス拒否(リソース消費)を引き起こす可能性があります。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける libxml2、libxml2-devel および/または libxml2-python のパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 289734
ファイル名: miracle_linux_AXSA-2016-544.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2016-4448
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:libxml2-devel, p-cpe:/a:miracle:linux:libxml2-python, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:libxml2
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2016/7/11
脆弱性公開日: 2016/3/15
参照情報
CVE: CVE-2016-1762, CVE-2016-1833, CVE-2016-1834, CVE-2016-1835, CVE-2016-1836, CVE-2016-1837, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840, CVE-2016-3627, CVE-2016-3705, CVE-2016-4447, CVE-2016-4448, CVE-2016-4449