検出

OracleVM 3.3/3.4:libxml2(OVMSA-2016-0087)

critical Nessus プラグイン ID 91800

Language:

概要

リモート OracleVM ホストに 1 つ以上のセキュリティ更新が欠落しています。

説明

リモートの OracleVM システムに、重要なセキュリティ更新に対処するために必要なパッチがありません。

- Tarball 内の doc/redhat.gif を更新します

- ibxml2-oracle-enterprise.patch を追加し、tarball のログにパッチを当て、更新します

- xmlNextChar でのヒープベースのバッファオーバーリード(CVE-2016-1762)

- バグ 763071:xmlStrncat でのヒープバッファオーバーフロー(CVE-2016-1834)

- バグ 757711:xmlFAParsePosCharGroup でのヒープバッファオーバーフロー(CVE-2016-1840)

- バグ 758588:xmlParserPrintFileContextInternal でのヒープベースのバッファオーバーリード(CVE-2016-1838)

- バグ 758605:xmlDictAddString でのヒープベースのバッファオーバーリード(CVE-2016-1839)

- バグ 759398:xmlDictComputeFastKey でのヒープの use-after-free(CVE-2016-1836)

- エンティティコンテンツの不適切なフェッチを修正します(CVE-2016-4449)

- htmlParsePubidLiteral と htmlParseSystemiteral でのヒープの use-after-free(CVE-2016-1837)

- xmlSAX2AttributeNs でのヒープの use-after-free(CVE-2016-1835)

- xmlParseName によるヒープベースのバッファアンダーリード(CVE-2016-4447)

- htmlCurrentChar でのヒープベースのバッファオーバーリード(CVE-2016-1833)

- 再帰デプスカウンターの不足している増分を XML パーサーに追加します。(CVE-2016-3705)

- 構築中の再帰エントリを回避します(CVE-2016-3627)

- 書式文字列の脆弱性があり得るという、一部の書式文字列の警告を修正します(CVE-2016-4448)

- 書式文字列の脆弱性があり得るという、一部の書式文字列の警告を追加します(CVE-2016-4448)

- メモリからのファイルの大規模な解析を修正します(rhbz#862969)

ソリューション

影響を受ける libxml2 / libxml2-python パッケージを更新してください。

参考資料

https://bugzilla.gnome.org/show_bug.cgi?id=758605

https://bugzilla.gnome.org/show_bug.cgi?id=759398

https://oss.oracle.com/pipermail/oraclevm-errata/2016-June/000502.html

https://oss.oracle.com/pipermail/oraclevm-errata/2016-June/000501.html

https://bugzilla.gnome.org/show_bug.cgi?id=757711

https://bugzilla.gnome.org/show_bug.cgi?id=758588

プラグインの詳細

深刻度: Critical

ID: 91800

ファイル名: oraclevm_OVMSA-2016-0087.nasl

バージョン: 2.7

タイプ: local

公開日: 2016/6/24

更新日: 2021/1/4

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:libxml2, p-cpe:/a:oracle:vm:libxml2-python, cpe:/o:oracle:vm_server:3.3, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/6/23

脆弱性公開日: 2016/3/24

参照情報

CVE: CVE-2016-1762, CVE-2016-1833, CVE-2016-1834, CVE-2016-1835, CVE-2016-1836, CVE-2016-1837, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840, CVE-2016-3627, CVE-2016-3705, CVE-2016-4447, CVE-2016-4448, CVE-2016-4449