BLSA-2018:0032 – [中等] xerces-c 安全更新



  • 问题描述

    Xerces-C是一个用C ++的可移植子集编写的验证XML解析器。Xerces-C使您的应用程序能够轻松读取和写入XML数据。提供了一个共享库,用于解析,生成,操作和验证XML文档。

    • xerces-c:解析深度嵌套的DTD时堆栈溢出(CVE-2016-4463)

    影响版本

    • Big Cloud Enterprise Linux 7.4

    详细介绍

    安全修复

    [CVE-2016-4463 [中等]]

    • 在Xerces-C XML解析器处理深度嵌套DTD的方式中发现了堆栈耗尽缺陷。攻击者可能会利用此漏洞通过欺骗它来处理特制数据,从而使应用程序使用Xerces-C崩溃。

    解决方案

    目前,BCLinux 的官方源已经提供 xerces-c 的更新软件包,受影响的 BCLinux 7.4 客户端用户需要升级到 xerces-c-3.1.1-8.el7_4.1.x86_64 版本。

    1.检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@BCLinux7_4 ~]# ls -l /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  970 Mar 29 04:26 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo
    
    

    2.安装更新

    [root@BCLinux7_4 ~]# yum update xerces-c
    Loaded plugins: fastestmirror, langpacks
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package xerces-c.x86_64 0:3.1.1-8.el7_2 will be updated
    ---> Package xerces-c.x86_64 0:3.1.1-8.el7_4.1 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===================================================================================================================================================================================
     Package                                   Arch                                    Version                                          Repository                                Size
    ===================================================================================================================================================================================
    Updating:
     xerces-c                                  x86_64                                  3.1.1-8.el7_4.1                                  updates                                  879 k
    
    Transaction Summary
    ===================================================================================================================================================================================
    Upgrade  1 Package
    
    Total download size: 879 k
    Is this ok [y/d/N]: 
    
    

    3.复查

    [root@BCLinux7_4 ~]# rpm -qa|grep xerces-c
    xerces-c-3.1.1-8.el7_4.1.x86_64
    
    

    4.重启服务

    安装升级包以后,无需重启相关服务即可生效。

    外部链接

    1.BCLinux安全更新