RHSA-2020:4005:libxslt安全更新

最近收到了服务器提示有RHSA-2020:4005:libxslt安全更新，可能通过精心设计的URL进行安全绕过，也可能导致信息泄露。接下来就为大家介绍一下解决方法，有需要的小伙伴可以参考一下：

1、漏洞提示：

RHSA-2020:4005:libxslt安全更新

2、漏洞描述：

漏洞编号 漏洞公告 漏洞描述 CVE-2019-11068 libxslt：xsltCheckRead和xsltCheckWrite例程通过精心设计的URL进行安全绕过

libxslt through 1.1.33 允许绕过保护机制，因为xsltCheckRead和xsltCheckWrite的调用者即使在收到-1错误代码时也允许访问。 xsltCheckRead可以为精心设计的URL返回-1，该URL实际上无效并随后被加载。

CVE-2019-18197 在transform.c中的xsltCopyText中的UAF可能导致信息泄露

在libxslt 1.1.33的transform.c中的xsltCopyText中，在某些情况下不会重置指针变量。如果相关的内存区域恰巧以某种方式被释放和重用，则边界检查可能会失败，并且可能会将缓冲区外部的内存写入其中，或者可能会公开未初始化的数据。

3、影响说明：

软件：libxslt 1.1.28-5.el7 命中：libxslt version less than 0:1.1.28-6.el7 路径：/usr/bin/xsltproc 软件：libxslt-devel 1.1.28-5.el7 命中：libxslt-devel version less than 0:1.1.28-6.el7 路径：/usr/bin/xslt-config

4、解决方法：

yum update libxslt

5、重启验证：

reboot