BDU:2019-03643: Уязвимость библиотеки для анализа XML-файлов libexpat, связанная с неверным ограничением xml-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость библиотеки для анализа XML-файлов libexpat связана с неверным ограничением xml-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании при помощи специально созданного XML-файла
Вендор АО «НПО РусБИТех», Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, Fedora Project, Novell Inc., James Clark, ООО «Ред Софт»
Наименование ПО Astra Linux, Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Fedora, OpenSUSE Leap, SUSE Package Hub for SUSE Linux Enterprise, Expat, РЕД ОС
Версия ПО
  • 1.5 «Смоленск» (Astra Linux)
  • 6 (Red Hat Enterprise Linux)
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 29 (Fedora)
  • 12.04 ESM (Ubuntu)
  • 19.04 (Ubuntu)
  • 8 (Red Hat Enterprise Linux)
  • 15.0 (OpenSUSE Leap)
  • 15.1 (OpenSUSE Leap)
  • 30 (Fedora)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • 31 (Fedora)
  • 12 (SUSE Package Hub for SUSE Linux Enterprise)
  • до 2.2.8 (Expat)
  • до 7.2 Муром (РЕД ОС)
  • 8.1 «Ленинград» (Astra Linux)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • АО «НПО РусБИТех» Astra Linux 1.5 «Смоленск»
  • Red Hat Inc. Red Hat Enterprise Linux 6
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Canonical Ltd. Ubuntu 16.04 LTS
  • Canonical Ltd. Ubuntu 18.04 LTS
  • АО «НПО РусБИТех» Astra Linux 1.6 «Смоленск»
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Fedora Project Fedora 29
  • Canonical Ltd. Ubuntu 12.04 ESM
  • Canonical Ltd. Ubuntu 19.04
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Novell Inc. OpenSUSE Leap 15.0
  • Novell Inc. OpenSUSE Leap 15.1
  • Fedora Project Fedora 30
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Canonical Ltd. Ubuntu 14.04 ESM
  • Fedora Project Fedora 31
  • ООО «Ред Софт» РЕД ОС до 7.2 Муром
  • АО «НПО РусБИТех» Astra Linux 8.1 «Ленинград»
Тип ошибки Неверное ограничение XML-ссылок на внешние объекты
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 28.08.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для expat:

https://github.com/libexpat/libexpat/commit/c20b758c332d9a13afbbb276d30db1d183a85d43



Для Debian:

Обновление программного обеспечения (пакета expat) до 2.2.0-2+deb9u3 или более поздней версии

Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00080.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00081.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00000.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00002.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00003.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00013.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00016.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00017.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00018.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00019.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00008.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-15903

Для Astra Linux:
Обновление программного обеспечения (пакета expat) до 2.2.0-2+deb9u3 или более поздней версии

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A4TZKPJFTURRLXIGLB34WVKQ5HGY6JJA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BDUTI5TVQWIGGQXPEVI4T2ENHFSBMIBP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S26LGXXQ7YF2BP3RGOWELBFKM6BHF6UG/
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
https://nvd.nist.gov/vuln/detail/CVE-2019-15903

https://security-tracker.debian.org/tracker/CVE-2019-15903

https://github.com/libexpat/libexpat/issues/317

https://github.com/libexpat/libexpat/commit/c20b758c332d9a13afbbb276d30db1d183a85d43

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A4TZKPJFTURRLXIGLB34WVKQ5HGY6JJA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BDUTI5TVQWIGGQXPEVI4T2ENHFSBMIBP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S26LGXXQ7YF2BP3RGOWELBFKM6BHF6UG/
https://usn.ubuntu.com/4132-1/
https://usn.ubuntu.com/4132-2/
https://github.com/libexpat/libexpat/issues/317
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00080.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00081.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00000.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00002.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00003.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00013.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00016.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00017.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00018.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00019.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00008.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
https://access.redhat.com/security/cve/CVE-2019-15903
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения