BDU:2019-00518: Уязвимость функции xpath.c:xmlXPathCompOpEval() библиотеки libxml2, связанная с ошибками разыменования указателя, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции xpath.c:xmlXPathCompOpEval() библиотеки libxml2 связана с разыменованием нулевого указателя. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Canonical Ltd., ООО «РусБИТех-Астра», Siemens AG, Сообщество свободного программного обеспечения, ООО «Ред Софт», АО «Концерн ВНИИНС»
Наименование ПО Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP, libxml2, Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО
  • 14.04 LTS (Ubuntu)
  • 16.04 LTS (Ubuntu)
  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • V2.6.0 (SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP)
  • до V2.9.8 включительно (libxml2)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 12.04 ESM (Ubuntu)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 10.0 (Debian GNU/Linux)
  • 7.1 МУРОМ (РЕД ОС)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, ПО программно-аппаратного средства АСУ ТП, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Разыменование указателя NULL
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 18.06.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Обновление ядра Linux до версии выше 4.17.3:

https://www.kernel.org


Для libxml2:
Обновление программного обеспечения до 2.9.1+dfsg1-5+deb8u7 или более поздней версии

Для Ubuntu:
https://usn.ubuntu.com/3739-1/
https://usn.ubuntu.com/3739-2/

Для РЕД ОС:
Обновление операционной системы до версии 7.2


Компенсирующие меры для SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP:

Следовать рекомендациям производителя:

https://www.siemens.com/cert/operational-guidelines-industrial-security

Использование приложений только из надежных источников

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2018-14404

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81


Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения