Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-03429: Уязвимость функции xmlEncodeEntitiesInternal компонента libxml2/entities.c библиотеки Libxml2, связанная с чтением за допустимыми границами буфера данных, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Основная информация
Подробнее

Описание уязвимости

Уязвимость функции xmlEncodeEntitiesInternal компонента libxml2/entities.c библиотеки Libxml2 связана с чтением за допустимыми границами буфера данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Daniel Veillard, АО «Концерн ВНИИНС», АО "НППКТ"

Наименование ПО

Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), libxml2, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
9.0 (Debian GNU/Linux)
2.12 «Орёл» (Astra Linux Common Edition)
10.0 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
до 2.9.11 (libxml2)
1.0 (ОС ОН «Стрелец»)
4.7 (Astra Linux Special Edition)
до 2.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433)
Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 (запись в едином реестре российских программ №369)

Тип ошибки

Чтение за границами буфера

Идентификатор типа ошибки

CWE-125

Класс уязвимости

Уязвимость кода

Дата выявления

04.08.2020

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:P

CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Libxml2:
использование рекомендаций производителя: https://gitlab.gnome.org/GNOME/libxml2/-/commit/50f06b3efb638efb0abd95dc62dca05ae67882c2

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-24977

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОСОН Основа:
Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-7+deb10u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://gitlab.gnome.org/GNOME/libxml2/-/commit/50f06b3efb638efb0abd95dc62dca05ae67882c2
https://gitlab.gnome.org/GNOME/libxml2/-/issues/178
https://nvd.nist.gov/vuln/detail/CVE-2020-24977
https://security-tracker.debian.org/tracker/CVE-2020-24977
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2020-24977

Прочая информация

Данные уточняются

Последние изменения