Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-02772: Уязвимость библиотеки libxml2, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю, вызвать состояние отказа в обслуживании

Описание уязвимости	Уязвимость библиотеки libxml2 связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать состояние отказа в обслуживании путем передачи приложению специально созданных входных данных
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, Canonical Ltd., ООО «РусБИТех-Астра», ООО «Ред Софт», Daniel Veillard, АО «Концерн ВНИИНС», АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), libxml2, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8 (Red Hat Enterprise Linux) 14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) 7.2 Муром (РЕД ОС) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 20.04 LTS (Ubuntu) 20.10 (Ubuntu) 21.04 (Ubuntu) 16.04 ESM (Ubuntu) до 2.9.11 (libxml2) 1.0 (ОС ОН «Стрелец») 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) до 2.1 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 6 Red Hat Inc. Red Hat Enterprise Linux 7 Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 8 Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 20.10 Canonical Ltd. Ubuntu 21.04 Canonical Ltd. Ubuntu 16.04 ESM ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 (запись в едином реестре российских программ №369) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Недостаточная проверка вводимых данных
Идентификатор типа ошибки	CWE-20
Класс уязвимости	Уязвимость архитектуры
Дата выявления	16.05.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Нет опасности уровень опасности (базовая оценка CVSS 2.0 составляет 0) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Libxml2: обновление программного обеспечения до более поздней версии Для Ubuntu: https://ubuntu.com/security/CVE-2021-3541 Для Debian: https://security-tracker.debian.org/tracker/CVE-2021-3541 Для программных продуктов Red Hat Inc.: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2021-3541 Для РЕД ОС: https://redos.red-soft.ru/updatesec/ Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16 использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОСОН Основа: Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-7+deb10u2 Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет libxml2 до 2.9.4+dfsg1-2.2+deb9u7+ci202211281307+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 Для ОС ОН «Стрелец»: Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-2.2+deb9u7
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/updatesec/ https://security-tracker.debian.org/tracker/CVE-2021-3541 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://ubuntu.com/security/CVE-2021-3541 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://www.cybersecurity-help.cz/vdb/SB2021051601 https://www.securitylab.ru/vulnerability/520127.php https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-3541
Прочая информация	Не использовать приложения зависимые от libxml2 или - установить обновления безопасности для пакета: libxml2

Последние изменения