Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
ФСТЭК России
Главная
Список уязвимостей
BDU:2019-03643
BDU:2019-03643: Уязвимость библиотеки для анализа XML-файлов libexpat, связанная с неверным ограничением xml-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость библиотеки для анализа XML-файлов libexpat связана с неверным ограничением xml-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании при помощи специально созданного XML-файла
Вендор
ООО «РусБИТех-Астра», Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, Fedora Project, Novell Inc., James Clark, ООО «Ред Софт», АО «Концерн ВНИИНС»
Наименование ПО
Astra Linux Special Edition (
запись в едином реестре российских программ №369
), Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Fedora, OpenSUSE Leap, SUSE Package Hub for SUSE Linux Enterprise, Expat, РЕД ОС (
запись в едином реестре российских программ №3751
), Astra Linux Special Edition для «Эльбрус» (
запись в едином реестре российских программ №11156
), ОС ОН «Стрелец» (
запись в едином реестре российских программ №6177
)
Версия ПО
1.5 «Смоленск» (Astra Linux Special Edition)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
9.0 (Debian GNU/Linux)
29 (Fedora)
12.04 ESM (Ubuntu)
19.04 (Ubuntu)
8 (Red Hat Enterprise Linux)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
30 (Fedora)
10.0 (Debian GNU/Linux)
14.04 ESM (Ubuntu)
31 (Fedora)
12 (SUSE Package Hub for SUSE Linux Enterprise)
до 2.2.8 (Expat)
до 7.2 Муром (РЕД ОС)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
1.0 (ОС ОН «Стрелец»)
Тип ПО
Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» (
запись в едином реестре российских программ №369
)
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (
запись в едином реестре российских программ №369
)
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
Fedora Project Fedora 29
Canonical Ltd. Ubuntu 12.04 ESM
Canonical Ltd. Ubuntu 19.04
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Canonical Ltd. Ubuntu 14.04 ESM
Fedora Project Fedora 31
ООО «Ред Софт» РЕД ОС до 7.2 Муром (
запись в едином реестре российских программ №3751
)
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (
запись в едином реестре российских программ №11156
)
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (
запись в едином реестре российских программ №6177
)
Тип ошибки
Неверное ограничение XML-ссылок на внешние объекты
Идентификатор типа ошибки
CWE-611
Класс уязвимости
Уязвимость кода
Дата выявления
28.08.2019
Базовый вектор уязвимости
CVSS 2.0:
AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 3.0:
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для expat:
https://github.com/libexpat/libexpat/commit/c20b758c332d9a13afbbb276d30db1d183a85d43
Для Debian:
Обновление программного обеспечения (пакета expat) до 2.2.0-2+deb9u3 или более поздней версии
Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00080.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00081.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00000.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00002.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00003.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00013.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00016.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00017.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00018.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00019.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00008.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-15903
Для Astra Linux:
Обновление программного обеспечения (пакета expat) до 2.2.0-2+deb9u3 или более поздней версии
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A4TZKPJFTURRLXIGLB34WVKQ5HGY6JJA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BDUTI5TVQWIGGQXPEVI4T2ENHFSBMIBP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S26LGXXQ7YF2BP3RGOWELBFKM6BHF6UG/
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Способ эксплуатации
Инъекция
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://nvd.nist.gov/vuln/detail/CVE-2019-15903
https://security-tracker.debian.org/tracker/CVE-2019-15903
https://github.com/libexpat/libexpat/issues/317
https://github.com/libexpat/libexpat/commit/c20b758c332d9a13afbbb276d30db1d183a85d43
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A4TZKPJFTURRLXIGLB34WVKQ5HGY6JJA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BDUTI5TVQWIGGQXPEVI4T2ENHFSBMIBP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S26LGXXQ7YF2BP3RGOWELBFKM6BHF6UG/
https://usn.ubuntu.com/4132-1/
https://usn.ubuntu.com/4132-2/
https://github.com/libexpat/libexpat/issues/317
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00080.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00081.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00000.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00002.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00003.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00013.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00016.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00017.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00018.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00019.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00008.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
https://access.redhat.com/security/cve/CVE-2019-15903
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2019-15903
Прочая информация
Данные уточняются
Последние изменения
06.02.2023
Уязвимость функции smoothscroll текстового редактора Vim, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
06.02.2023
Уязвимость функции from_header (list.c) архиватора GNU Tar, связанная с чтением за пределами памяти, позволяющая нарушителю получить доступ к конфиденциальным данным
06.02.2023
Уязвимость программного средства разработки GNU Binutils, связанная с разыменованием нулевого указателя, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании» (DoS)
06.02.2023
Уязвимость микропрограммного обеспечения коммутаторов TP-Link SG105PE, связанная с недостатками процедуры аутентификации, позволяющая нарушителю обойти процесс аутентификации
06.02.2023
Уязвимость библиотеки libssh2 реализации методов Git на языке C Libgit2, позволяющая нарушителю выполнить атаку типа «человек посередине»
06.02.2023
Уязвимость компонента Core сервера приложений Oracle WebLogic Server программной платформы Oracle Fusion Middleware, позволяющая нарушителю раскрыть защищаемую информацию
06.02.2023
Уязвимость компонента Upload программного средства для работы с веб-приложениями Oracle Web Applications Desktop Integrator, позволяющая нарушителю получить полный контроль над приложением
06.02.2023
Уязвимость гипервизора VMware Workstation связана с ошибками разграничения доступа, позволяющая нарушителю удалить произвольные файлы в корневой операционной системе
06.02.2023
Уязвимость модуля Packet Forwarding Engine (PFE) операционных систем Juniper Networks Junos OS Evolved и Junos, позволяющая нарушителю вызвать отказ в обслуживании
06.02.2023
Уязвимость реализации протокола Routing Protocol Daemon (rpd) операционных систем Juniper Networks Junos OS Evolved и Junos, позволяющая нарушителю вызвать отказ в обслуживании