检测

Oracle Linux 7:libxml2 (ELSA-2025-2673)

high Nessus 插件 ID 233181

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 7 主机上安装的多个程序包受到 ELSA-2025-2673 公告中提及的多个漏洞影响。

 - 修复 CVE-2024-56171 [Orabug: 37694105]
 - 修复 CVE-2025-24928 [Orabug: 37694105]
 - 修复 CVE-2016-4658 (#1966916)
 - 修复 CVE-2019-19956 (#1793000)
 - 修复 CVE-2019-20388 (#1810057)
 - 修复 CVE-2020-7595 (#1810073)
 - 修复 CVE-2015-8035 (#1595697)
 - 修复 CVE-2018-14404 (#1602817)
 - 修复 CVE-2017-15412 (#1729857)
 - 修复 CVE-2016-5131 (#1714050)
 - 修复 CVE-2017-18258 (#1579211)
 - 修复 CVE-2018-1456 (#1622715)
 - xmlNextChar 中基于堆的缓冲区越界读取 (CVE-2016-1762)
 - 缺陷 763071:xmlStrncat 中的堆缓冲区溢出 <https://bugzilla.gnome.org/show_bug.cgi?id=763071>(CVE-2016-1834)
 - 缺陷 757711:xmlFAParsePosCharGroup 中的堆缓冲区溢出 <https://bugzilla.gnome.org/show_bug.cgi?id=757711> (CVE-2016-1840)
 - 缺陷 758588:xmlParserPrintFileContextInternal 中基于堆的缓冲区越界读取 <https://bugzilla.gnome.org/show_bug.cgi?id=758588> (CVE-2016-1838)
 - 缺陷 758605:xmlDictAddString 中基于堆的缓冲区越界读取 <https://bugzilla.gnome.org/show_bug.cgi?id=758605> (CVE-2016-1839)
 - 缺陷 759398:xmlDictComputeFastKey 中的堆释放后使用 <https://bugzilla.gnome.org/show_bug.cgi?id=759398> (CVE-2016-1836)
 - 修复对实体内容的不当提取 (CVE-2016-4449)
 - htmlParsePubidLiteral 和 htmlParseSystemiteral 中的堆释放后使用 (CVE-2016-1837)
 - xmlSAX2AttributeNs 中的堆释放后使用 (CVE-2016-1835)
 - xmlParseName 导致基于堆的缓冲区读取不足 (CVE-2016-4447)
 - htmlCurrentChar 中基于堆的缓冲区越界读取 (CVE-2016-1833)
 向 XML 解析器添加缺少的递归递增深度计数器。(CVE-2016-3705)
 - 避免构建递归实体 (CVE-2016-3627)
 - 已修复某些具有潜在格式字符串漏洞的格式字符串警告 (CVE-2016-4448)
 - 更多具有潜在格式字符串漏洞的格式字符串警告 (CVE-2016-4448)
 - CVE-2015-7941 停止在实体边界错误的情况下进行解析
 - CVE-2015-7941 清除条件区段错误处理
 - CVE-2015-8317 如果编码转换失败则提早解析失败
 - CVE-2015-7942 条件区段中的另一个溢出变体
 - CVE-2015-7942 修复之前条件区段修补程序中的错误
 - CVE-2015-7498 避免在编码转换失败后处理实体
 - CVE-2015-7497 避免 xmlDictComputeFastQKey 中的堆缓冲区溢出
 - CVE-2015-5312 另一个实体扩展问题
 - CVE-2015-7499 添加 xmlHaltParser() 以停止解析器
 - CVE-2015-7499 检测 GROW 中的不连贯
 - CVE-2015-7500 修复由于实体边界不正确而产生的内存访问错误
 - CVE-2015-8242 推送模式下使用 HTML 解析器的缓冲区读取越界
 - CVE-2015-1819 强制阅读器在常量内存中运行
 - 修复了 CVE-2014-3660 补丁之后缺少的实体
 - CVE-2014-0191 不获取外部参数实体 (rhbz#1195650)
 - 修复了由 CVE-2014-0191 补丁引入的回归缺陷
 - CVE-2014-3660 递归实体扩展导致的拒绝服务 (rhbz#1149087)
 修复 XPath CVE-2010-4494 缺陷 665965 中的一个双重释放问题
 - 用于解析问题的两个修补程序 CVE-2009-2414 和 CVE-2009-2416
 - 大小溢出问题的两个修补程序 CVE-2008-4225 和 CVE-2008-4226

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2025-2673.html

插件详情

严重性: High

ID: 233181

文件名: oraclelinux_ELSA-2025-2673.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2025/3/21

最近更新时间: 2025/4/10

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 7.1

CVSS v2

风险因素: Medium

基本分数: 6.2

时间分数: 4.6

矢量: CVSS2#AV:L/AC:H/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-56171

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 6.8

矢量: CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2025-24928

漏洞信息

CPE: cpe:/a:oracle:linux:7:9:latest_els, p-cpe:/a:oracle:linux:libxml2, p-cpe:/a:oracle:linux:libxml2-python, p-cpe:/a:oracle:linux:libxml2-static, cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:libxml2-devel

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

易利用性: No known exploits are available

补丁发布日期: 2025/3/20

漏洞发布日期: 2025/2/18

参考资料信息

CVE: CVE-2024-56171, CVE-2025-24928

IAVA: 2025-A-0123-S