Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-00734: Уязвимость функции xz_decomp библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции xz_decomp библиотеки libxml2 связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированного XML-файла
Вендор	Juniper Networks Inc., Daniel Veillard, Сообщество свободного программного обеспечения, ООО «Ред Софт»
Наименование ПО	JunOS, libxml2, Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751)
Версия ПО	17.1r3 (JunOS) 17.2r3 (JunOS) 18.1R3 (JunOS) 18.2R2 (JunOS) от 17.1 до 17.1R2-S9 (JunOS) от 17.4 до 17.4R2 (JunOS) от 15.1 до 15.1R4-S9 (JunOS) от 16.2 до 16.2R2-S7 (JunOS) от 12.3 до 12.3R12-S10 (JunOS) 15.1R7-S2 (JunOS) от 17.2 до 17.2R1-S7 (JunOS) 16.1R7-S1 (JunOS) 17.2R2-S6 (JunOS) от 17.3 до 17.3R2-S4 (JunOS) от 15.1X53 до 15.1X53-D590 (JunOS) от 15.1X53 до 15.1X53-D234 (JunOS) от 12.1X46 до 12.1X46-D81 (JunOS) от 12.3X48 до 12.3X48-D75 (JunOS) от 14.1X53 до 14.1X53-D48 (JunOS) от 15.1F до 15.1F6-S11 (JunOS) от 15.1X49 до 15.1X49-D150 (JunOS) от 15.1X53 до 15.1X53-D495 (JunOS) от 15.1X53 до 15.1X53-D68 (JunOS) от 16.1 до 16.1R4-S11 (JunOS) 16.1R6-S5 (JunOS) 17.3R3-S1 (JunOS) от 18.1 до 18.1R2-S2 (JunOS) от 18.2 до 18.2R1-S1 (JunOS) от 18.2X75 до 18.2X75-D20 (JunOS) 2.9.8 (libxml2) 8.0 (Debian GNU/Linux) 7.1 МУРОМ (РЕД ОС)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Juniper Networks Inc. JunOS 17.1r3 Juniper Networks Inc. JunOS 17.2r3 Juniper Networks Inc. JunOS 18.1R3 Juniper Networks Inc. JunOS 18.2R2 Juniper Networks Inc. JunOS от 17.1 до 17.1R2-S9 Juniper Networks Inc. JunOS от 17.4 до 17.4R2 Juniper Networks Inc. JunOS от 15.1 до 15.1R4-S9 Juniper Networks Inc. JunOS от 16.2 до 16.2R2-S7 Juniper Networks Inc. JunOS от 12.3 до 12.3R12-S10 Juniper Networks Inc. JunOS 15.1R7-S2 Juniper Networks Inc. JunOS от 17.2 до 17.2R1-S7 Juniper Networks Inc. JunOS 16.1R7-S1 Juniper Networks Inc. JunOS 17.2R2-S6 Juniper Networks Inc. JunOS от 17.3 до 17.3R2-S4 Juniper Networks Inc. JunOS от 15.1X53 до 15.1X53-D590 EX2300 Juniper Networks Inc. JunOS от 15.1X53 до 15.1X53-D590 EX3400 Juniper Networks Inc. JunOS от 15.1X53 до 15.1X53-D234 QFX5110 Juniper Networks Inc. JunOS от 15.1X53 до 15.1X53-D234 QFX5200 Juniper Networks Inc. JunOS от 12.1X46 до 12.1X46-D81 SRX Juniper Networks Inc. JunOS от 12.3X48 до 12.3X48-D75 SRX Juniper Networks Inc. JunOS от 14.1X53 до 14.1X53-D48 EX2200/VC Juniper Networks Inc. JunOS от 14.1X53 до 14.1X53-D48 EX3200 Juniper Networks Inc. JunOS от 14.1X53 до 14.1X53-D48 EX3300/VC Juniper Networks Inc. JunOS от 14.1X53 до 14.1X53-D48 EX4200 Juniper Networks Inc. JunOS от 14.1X53 до 14.1X53-D48 EX4300 Juniper Networks Inc. JunOS от 14.1X53 до 14.1X53-D48 EX4550/VC Juniper Networks Inc. JunOS от 14.1X53 до 14.1X53-D48 EX4600 Juniper Networks Inc. JunOS от 14.1X53 до 14.1X53-D48 EX6200 Juniper Networks Inc. JunOS от 14.1X53 до 14.1X53-D48 QFX3500 Juniper Networks Inc. JunOS от 14.1X53 до 14.1X53-D48 QFX3600 Juniper Networks Inc. JunOS от 14.1X53 до 14.1X53-D48 QFX5100 Juniper Networks Inc. JunOS от 15.1F до 15.1F6-S11 Juniper Networks Inc. JunOS от 15.1X49 до 15.1X49-D150 SRX Juniper Networks Inc. JunOS от 15.1X53 до 15.1X53-D495 NFX150 Juniper Networks Inc. JunOS от 15.1X53 до 15.1X53-D495 NFX250 Juniper Networks Inc. JunOS от 15.1X53 до 15.1X53-D68 QFX10000 Series Juniper Networks Inc. JunOS от 16.1 до 16.1R4-S11 Juniper Networks Inc. JunOS 16.1R6-S5 Juniper Networks Inc. JunOS 17.3R3-S1 Juniper Networks Inc. JunOS от 18.1 до 18.1R2-S2 Juniper Networks Inc. JunOS от 18.2 до 18.2R1-S1 Juniper Networks Inc. JunOS от 18.2X75 до 18.2X75-D20 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 ООО «Ред Софт» РЕД ОС 7.1 МУРОМ (запись в едином реестре российских программ №3751)
Тип ошибки	Неконтролируемый расход ресурса («Истощение ресурса»)
Идентификатор типа ошибки	CWE-400
Класс уязвимости	Уязвимость кода
Дата выявления	03.04.2018
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для libxml2: https://gitlab.gnome.org/GNOME/libxml2/commit/2240fbf5912054af025fb6e01e26375100275e74 Для JunOS: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10916&cat=SIRT_1&actp=LIST Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2018/09/msg00035.html Для РЕД ОС: Обновление операционной системы до версии 7.2
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Исчерпание ресурсов
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10916&cat=SIRT_1&actp=LIST https://nvd.nist.gov/vuln/detail/CVE-2018-9251 https://bugzilla.gnome.org/show_bug.cgi?id=794914 https://lists.debian.org/debian-lts-announce/2018/09/msg00035.html https://gitlab.gnome.org/GNOME/libxml2/commit/2240fbf5912054af025fb6e01e26375100275e74
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2018-9251
Прочая информация	-

Последние изменения