最近收到了服务器提示有RHSA-2020:4005:libxslt安全更新,可能通过精心设计的URL进行安全绕过,也可能导致信息泄露。接下来就为大家介绍一下解决方法,有需要的小伙伴可以参考一下:
1、漏洞提示:
RHSA-2020:4005:libxslt安全更新
2、漏洞描述:
漏洞编号 | 漏洞公告 | 漏洞描述 |
CVE-2019-11068 | libxslt:xsltCheckRead和xsltCheckWrite例程通过精心设计的URL进行安全绕过 |
libxslt through 1.1.33 允许绕过保护机制,因为xsltCheckRead和xsltCheckWrite的调用者即使在收到-1错误代码时也允许访问。 xsltCheckRead可以为精心设计的URL返回-1,该URL实际上无效并随后被加载。 |
CVE-2019-18197 | 在transform.c中的xsltCopyText中的UAF可能导致信息泄露 |
在libxslt 1.1.33的transform.c中的xsltCopyText中,在某些情况下不会重置指针变量。如果相关的内存区域恰巧以某种方式被释放和重用,则边界检查可能会失败,并且可能会将缓冲区外部的内存写入其中,或者可能会公开未初始化的数据。 |
3、影响说明:
软件:libxslt 1.1.28-5.el7 命中:libxslt version less than 0:1.1.28-6.el7 路径:/usr/bin/xsltproc
软件:libxslt-devel 1.1.28-5.el7 命中:libxslt-devel version less than 0:1.1.28-6.el7 路径:/usr/bin/xslt-config
4、解决方法:
yum update libxslt
5、重启验证:
reboot