最近收到了服务器有漏洞的通知,提示:RHSA-2020:1190-中危: libxml2 安全更新,接下来吾爱编程就为大家介绍一下libxml2 安全更新的方法,有需要的小伙伴可以参考一下:
1、漏洞提示:
RHSA-2020:1190-中危: libxml2 安全更新
2、漏洞描述:
漏洞编号 | 漏洞公告 | 漏洞描述 |
CVE-2015-8035 | Libxml2 ‘parser.c’远程拒绝服务漏洞 | Libxml2是一个基于C语言的用来解析XML文档的函数库,它支持多种编码格式、Xpath解析、Well-formed和valid验证等。 Libxml2 ‘parser.c’存在安全漏洞,允许远程攻击者利用该漏洞提交特殊请求,进行拒绝服务攻击。 |
CVE-2016-5131 | Google Chrome libxml2内存错误引用漏洞 | 在52.0.2743.82之前的Google Chrome中, libxml2 through 2.9.4中的“UAF”漏洞允许远程攻击者通过与XPointer range-to功能相关的媒介来导致拒绝服务或可能造成未指定的其他影响。 |
CVE-2017-15412 | libxml2 xmlXPathCompOpEvalPositionalPredicate内存错误引用漏洞 | 在63.0.3239.84之前的Google Chrome和其他产品中使用的2.9.5之前的libxml2中的UAF 允许远程攻击者通过精心制作的HTML页面利用堆破坏。 |
CVE-2017-18258 | 拒绝服务漏洞 | 在2.9.6之前的libxml2中的xzlib.c中的xz_head函数允许远程攻击者通过精心设计的LZMA文件导致拒绝服务(内存消耗),因为解码器功能不将内存使用限制在合法文件所需的范围内。 |
CVE-2018-14404 | xmlXPathCompOpEval() 可以允许攻击者导致拒绝服务 | libxml2 through 2.9.8 的 xpath.c:xmlXPathCompOpEval()函数中存在空指针解引用漏洞,当在 XPath _ Op _ and 或 xpath _使用 libxml2 库处理不可信 XSL 格式输入的应用程序可能会因为应用程序崩溃而容易受到拒绝服务攻击。 |
CVE-2018-14567 | 拒绝服务漏洞 | libxml2 2.9.8,如果使用--with-lzma,允许远程攻击者通过精心制作的XML文件来触发LZMA_MEMLIMIT_ERROR,导致拒绝服务(无限循环),如xmllint所示,这是一个不同于CVE-2015-8035和CVE-2018-9251的漏洞。 |
3、影响说明:
软件:libxml2-devel 2.9.1-6.el7_2.3 命中:libxml2-devel version less than 0:2.9.1-6.el7.4 路径:/usr/bin/xml2-config
软件:libxml2 2.9.1-6.el7_2.3 命中:libxml2 version less than 0:2.9.1-6.el7.4 路径:/usr/bin/xmlcatalog
4、解决方法:
yum update libxml2-devel yum update libxml2
5、重启验证:
reboot