Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-01341: Уязвимость функции xsltCopyText (transform.c) библиотеки libxslt, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость функции xsltCopyText (transform.c) библиотеки libxslt связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор	ООО «РусБИТех-Астра», Canonical Ltd., Сообщество свободного программного обеспечения, Novell Inc., Daniel Veillard
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Ubuntu, Debian GNU/Linux, OpenSUSE Leap, SUSE Package Hub for SUSE Linux Enterprise, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), libxslt
Версия ПО	1.5 «Смоленск» (Astra Linux Special Edition) 16.04 LTS (Ubuntu) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 12.04 ESM (Ubuntu) 19.04 (Ubuntu) 15.1 (OpenSUSE Leap) 14.04 ESM (Ubuntu) 12 (SUSE Package Hub for SUSE Linux Enterprise) 19.10 (Ubuntu) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 1.1.33 (libxslt)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» (запись в едином реестре российских программ №369) Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Canonical Ltd. Ubuntu 12.04 ESM Canonical Ltd. Ubuntu 19.04 Novell Inc. OpenSUSE Leap 15.1 Canonical Ltd. Ubuntu 14.04 ESM Novell Inc. SUSE Package Hub for SUSE Linux Enterprise 12 Canonical Ltd. Ubuntu 19.10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Daniel Veillard libxslt 1.1.33
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	18.10.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для libxslt: https://gitlab.gnome.org/GNOME/libxslt/commit/2232473733b7313d67de8836ea3b29eec6e8e285 Для программных продуктов Novell Inc.: http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00015.html http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00025.html Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2019/10/msg00037.html Для Astra Linux: Обновление программного обеспечения (пакета libxslt) до 1.1.29-2.1+deb9u2 или более поздней версии
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-18197.html?_ga=2.252260362.2077164082.1571715739-1618695258.1547637860 https://gitlab.gnome.org/GNOME/libxslt/commit/2232473733b7313d67de8836ea3b29eec6e8e285 http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00010.html http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00015.html http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00025.html https://lists.debian.org/debian-lts-announce/2019/10/msg00037.html https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81 https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-18197
Прочая информация	Данные уточняются

Последние изменения