BDU:2019-03643: Уязвимость библиотеки для анализа XML-файлов libexpat, связанная с неверным ограничением xml-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости

Уязвимость библиотеки для анализа XML-файлов libexpat связана с неверным ограничением xml-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании при помощи специально созданного XML-файла

Вендор

ООО «РусБИТех-Астра», Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, Fedora Project, Novell Inc., James Clark, ООО «Ред Софт», АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Fedora, OpenSUSE Leap, SUSE Package Hub for SUSE Linux Enterprise, Expat, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)

Версия ПО

  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 6 (Red Hat Enterprise Linux)
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 29 (Fedora)
  • 12.04 ESM (Ubuntu)
  • 19.04 (Ubuntu)
  • 8 (Red Hat Enterprise Linux)
  • 15.0 (OpenSUSE Leap)
  • 15.1 (OpenSUSE Leap)
  • 30 (Fedora)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • 31 (Fedora)
  • 12 (SUSE Package Hub for SUSE Linux Enterprise)
  • до 2.2.8 (Expat)
  • до 7.2 Муром (РЕД ОС)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 1.0 (ОС ОН «Стрелец»)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Тип ошибки

Неверное ограничение XML-ссылок на внешние объекты

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

28.08.2019

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для expat:

https://github.com/libexpat/libexpat/commit/c20b758c332d9a13afbbb276d30db1d183a85d43



Для Debian:

Обновление программного обеспечения (пакета expat) до 2.2.0-2+deb9u3 или более поздней версии

Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00080.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00081.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00000.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00002.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00003.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00013.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00016.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00017.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00018.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00019.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00008.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-15903

Для Astra Linux:
Обновление программного обеспечения (пакета expat) до 2.2.0-2+deb9u3 или более поздней версии

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A4TZKPJFTURRLXIGLB34WVKQ5HGY6JJA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BDUTI5TVQWIGGQXPEVI4T2ENHFSBMIBP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S26LGXXQ7YF2BP3RGOWELBFKM6BHF6UG/

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

  • Инъекция

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://nvd.nist.gov/vuln/detail/CVE-2019-15903

https://security-tracker.debian.org/tracker/CVE-2019-15903

https://github.com/libexpat/libexpat/issues/317

https://github.com/libexpat/libexpat/commit/c20b758c332d9a13afbbb276d30db1d183a85d43

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A4TZKPJFTURRLXIGLB34WVKQ5HGY6JJA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BDUTI5TVQWIGGQXPEVI4T2ENHFSBMIBP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S26LGXXQ7YF2BP3RGOWELBFKM6BHF6UG/
https://usn.ubuntu.com/4132-1/
https://usn.ubuntu.com/4132-2/
https://github.com/libexpat/libexpat/issues/317
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00080.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00081.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00000.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00002.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00003.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00013.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00016.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00017.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00018.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00019.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00008.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
https://access.redhat.com/security/cve/CVE-2019-15903
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения