BLSA-2016:0104 – [中等] expat 安全警告及修复方法


  • BCLinux Developers

    BLSA-2016:0104 – [中等] expat 安全警告及修复方法

    问题描述

    Expat最近在处理某些输入时暴露出越界读漏洞,恶意攻击者可以利用这个漏洞,通过发送恶意XML文件,使得应用进程在使用Expat库的应用程序解析该XML文件发生崩溃或者远程执行任意代码。为了增加系统安全强度,建议所有用户都安装BCLinux提供的的升级包以修复这些漏洞,升级包包含了修复这些漏洞的补丁文件。

    Expat简介
    Expat是一个用C语言开发的、用来解析XML文档的开发库,它最初是开源的、Mozilla 项目下的一个XML解析器。这个库的开发者是James Clark, 还开发了很多我们所熟知的工具包:groff、Jade、XP (a Java XML parser package)、 and XT (a Java XSL engine)。Expat是一个面向流的解析器。我们注册解析器回调(或handler)功能,然后开始搜索它的文档。当解析器识别该文件的指定的位置,它会调用该部分相应的处理程序(如果您已经注册的一个)。该文件被输送到解析器,会被分割成多个片断,并分段装到内存中。因此expat可以解析那些巨大的文件。

    提示
    此次安全更新的软件包版本隶属于7.3发行版,鉴于当前BCLinux 7.3尚未发布,本次安全更新仅针对急需修复此安全漏洞的用户,其他用户可以等待BCLinux 7.3发布后,统一将系统升级至7.3版本。
    软件包在CR源中,需要启用CR源才能应用修复方案。CR源的目的是为了在下一个版本发布之前,提供短期的软件包更新过渡支持。

    影响版本

    • BigCloud Enterprise Linux 7
    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 7
    • Red Hat Enterprise Linux 6
    • CentOS Linux 7
    • CentOS Linux 6

    详细介绍

    • CVE-2016-0718
      expat在处理某些输入时被发现存在越界读操作漏洞,远程攻击者利用这个漏洞,通过发送恶意的XML文件,可能会使应用进程在使用expat库中的应用程序解析该XML文件时发生崩溃,或者在运行应用程序的用户权限下远程执行任意代码。

    解决方案

    目前,BCLinux的官方源已经提供 expat 的更新软件包,受影响的 BCLinux 7 客户端用户需要升级到2.1.0-10.el7版本,受影响的 BCLinux 6 客户端用户需要升级到2.0.1-13.el6版本。

    BCLinux 7 用户安装更新步骤如下:

    1.增加CR源,配置文件内容如下:

    [root@BCLinux ~]# cat /etc/yum.repos.d/BCLinux-CR.repo 
    [cr] 
    name=BCLinux-$releasever - CR
    baseurl=http://mirrors.bclinux.org/bclinux/el7/cr/$basearch/
    gpgcheck=0 
    enabled=0
    

    2.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]# ls -l /etc/yum.repos.d/
    total 20
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  119 Aug 13 03:02 BCLinux-CR.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    

    3.安装更新

    [root@BCLinux ~]# yum --enablerepo=cr update expat
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package expat.x86_64 0:2.1.0-8.el7 will be updated
    ---> Package expat.x86_64 0:2.1.0-10.el7 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ====================================================================================================================================================
     Package                           Arch                               Version                                  Repository                      Size
    ====================================================================================================================================================
    Updating:
     expat                             x86_64                             2.1.0-10.el7                             cr                              79 k
    
    Transaction Summary
    ====================================================================================================================================================
    Upgrade  1 Package
    
    Total download size: 79 k
    Is this ok [y/d/N]: y
    

    4.复查

    [root@BCLinux ~]# rpm -q expat
    expat-2.1.0-10.el7.x86_64
    

    5.重启应用

    安装升级包以后,重启应用,更新生效。

    BCLinux 6 用户安装更新步骤如下:

    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]#  ls -l /etc/yum.repos.d/
    total 12
    -rw-r--r--. 1 root root  969 Nov 16  2015 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1053 Nov 16  2015 BCLinux-Source.repo
    -rw-r--r--. 1 root root 1184 Nov 16  2015 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update expat
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Setting up Update Process
    Resolving Dependencies
    --> Running transaction check
    ---> Package expat.x86_64 0:2.0.1-11.el6_2 will be updated
    ---> Package expat.x86_64 0:2.0.1-13.el6 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    =====================================================================================================================================================
     Package                                  Arch                                      Version                                           Repository     
    =====================================================================================================================================================
    Updating:
     expat                                    x86_64                                    2.0.1-13.el6                                      updates        
    
    Transaction Summary
    =====================================================================================================================================================
    Upgrade       1 Package(s)
    
    Total download size: 75 k
    Is this ok [y/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q expat
    expat-2.0.1-13.el6.x86_64
    

    4.重启应用

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待