-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-3
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/01/20
 最終更新日   : 2016/01/20

 パッケージ名 : libxml2
 
 タイトル : libxml2 に複数の脆弱性

 概要 : libxml2 は、XMLフォーマットドキュメントの読み込み/書き換え/書き出し等を行う事の
      できるライブラリとアプリケーションが含まれています。
      これらのライブラリは DTD サポート、SAX/DOM のような読み込みインタフェースもサポート
      しています。

      libxml2 に複数の脆弱性が存在します。
 
 影響 : xmlStringLenDecodeEntities 関数の欠陥で、エンティティ拡張を適切に制限しないため
      DoS 状態(CPU 資源の消費)にされる脆弱性が存在します。
      第三者が細工した XML を使用し、DoS(CPU 資源の消費)状態にされる可能性があります
      (CVE-2015-5312)。
 
      xmlDictComputeFastQKey 関数の欠陥で、ヒープベースのバッファオーバーフローの脆弱性が
      存在します。
      第三者がこの脆弱性を利用して、DoS 状態にされる可能性があります(CVE-2015-7497)。
 
      xmlParseXmlDecl 関数の欠陥で、ヒープベースのバッファオーバーフローの脆弱性が存在します。
      第三者がエンコードの失敗後のエラー抽出に関する不特定の要因を利用して、DoS 状態にされる
      可能性があります(CVE-2015-7498)。
 
      xmlGROW 関数の欠陥で、ヒープベースのバッファオーバーフローの脆弱性が存在します。
      第三者がこの脆弱性を利用して、プロセスメモリ情報を得る可能性があります(CVE-2015-7499)。
 
      xmlParseMisc 関数の欠陥で、DoS 状態(out-of-bounds heap read)にされる脆弱性が存在します。
      第三者が、不正なエンティティ境界、もしくは start タグに関する不特定の要因を利用して、
      Dos(out-of-bounds heap read)状態にされる可能性があります(CVE-2015-7500)。
 
      libxml2 に無効な入力の構文解析を適切に停止しない欠陥があるため、DoS(out-of-bounds read、
      もしくは libxml2 クラッシュ)状態にされる脆弱性が存在します(CVE-2015-7941)。
 
      xmlParseConditionalSections 関数には、無効な入力の構文解析を停止する際に中間エンティティ
      (intermediary entities)を適切にスキップしない欠陥があるため、DoS(out-of-bounds read、
      もしくはクラッシュ)状態にされる脆弱性が存在します。
      第三者が細工した XML を使用し、DoS(out-of-bounds read、もしくはクラッシュ)状態にされる
      可能性があります(CVE-2015-7942)。
 
      xmlSAX2TextNode 関数の欠陥で、DoS(スタックベースのバッファオーバーリード、もしくはアプリ
      ケーションクラッシュ)状態にされる、又は重要な情報が取得される脆弱性が存在します。
      第三者が細工した XML を使用し、DoS(スタックベースのバッファオーバーリード、もしくはアプリ
      ケーションクラッシュ)状態にされる、情報が取得される脆弱性が存在します(CVE-2015-8242)。
 
      xmlParseXMLDecl 関数の欠陥で、重要な情報が取得される脆弱性が存在します。
      第三者が、終端のないエンコーディング値や、XML データ内で不完全な XML 宣言することによって
      out-of-bounds heap read が発生して、情報が取得される可能性があります(CVE-2015-8317)。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u libxml2 libxml2-devel
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   libxml2-2.6.28-4.src.rpm
      4717410 e7141b607b039ce6d38b2e8aaa2ba636

   Binary Packages
   Size: MD5

   libxml2-2.6.28-4.x86_64.rpm
      1382620 5fa2b954943fcdbcad09ef8265562438
   libxml2-devel-2.6.28-4.x86_64.rpm
       764757 d9a590c39cb6a0a0a5df32bacd11e2d1

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   libxml2-2.6.28-4.src.rpm
      4717410 e7141b607b039ce6d38b2e8aaa2ba636

   Binary Packages
   Size: MD5

   libxml2-2.6.28-4.i686.rpm
      1338965 4909bf3e826056f557c296fd75d760da
   libxml2-devel-2.6.28-4.i686.rpm
       688807 37181f4753b5fda7902e8428d0c9d3e6

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/libxml2-2.6.28-4.src.rpm
      4705046 6396d26affb7ff70e6cfa0883b4ca75c

   Binary Packages
   Size: MD5

   libxml2-2.6.28-4.x86_64.rpm
      1382620 5fa2b954943fcdbcad09ef8265562438
   libxml2-devel-2.6.28-4.x86_64.rpm
       764757 d9a590c39cb6a0a0a5df32bacd11e2d1

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/libxml2-2.6.28-4.src.rpm
      4717410 e7141b607b039ce6d38b2e8aaa2ba636

   Binary Packages
   Size: MD5

   libxml2-2.6.28-4.i686.rpm
      1338965 4909bf3e826056f557c296fd75d760da
   libxml2-devel-2.6.28-4.i686.rpm
       688807 37181f4753b5fda7902e8428d0c9d3e6

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   libxml2-2.6.11-5.src.rpm
      3724103 d9356550765288a1605f09dc5c16d67a

   Binary Packages
   Size: MD5

   libxml2-2.6.11-5.i586.rpm
       933063 84ae225e6131c5e9883efaf1ad3ed49c
   libxml2-devel-2.6.11-5.i586.rpm
      1836253 4a78416ad62c51897c82651c14d685a9


 関連文章 :

 CVE
   [CVE-2015-5312]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5312
   [CVE-2015-7497]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7497
   [CVE-2015-7498]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7498
   [CVE-2015-7499]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7499
   [CVE-2015-7500]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7500
   [CVE-2015-7941]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7941
   [CVE-2015-7942]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7942
   [CVE-2015-8242]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8242
   [CVE-2015-8317]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8317

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/01/20
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlafR58ACgkQK0LzjOqIJMz2LACdEinaZnwE4XR/hfQr0NDkoU/B
ocIAnRF8T4NznjsOUs5zXf30lwH8ceKj
=/I9F
-----END PGP SIGNATURE-----