BDU:2018-00112: Уязвимость функции entityValueInitProcessor библиотеки для анализа XML-файлов libexpat, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции entityValueInitProcessor библиотеки для анализа XML-файлов libexpat свзана с неверным ограничением XML-ссылок на внешние DTD-объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании (бесконечный цикл) при обработке XML-документов
Вендор АО «НПО РусБИТех», Сообщество свободного программного обеспечения
Наименование ПО Astra Linux, libexpat
Версия ПО
  • 1.5 «Смоленск» (Astra Linux)
  • до 2.2.0 включительно (libexpat)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • АО «НПО РусБИТех» Astra Linux 1.5 «Смоленск»
Тип ошибки Неверное ограничение XML-ссылок на внешние объекты
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 25.06.2017
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Для libexpat использование рекомендаций:
https://libexpat.github.io/doc/cve-2017-9233/

Для Astra Linux:
обновление программного обеспечения до 2.1.0-1+deb7u5 или более поздней версии
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения