BDU:2022-00756: Уязвимость реализации модуля Class Cleaner библиотеки для обработки разметки XML и HTML Lxml, позволяющая нарушителю осуществлять межсайтовые сценарные атаки

Описание уязвимости Уязвимость реализации модуля Class Cleaner библиотеки для обработки разметки XML и HTML Lxml связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки с помощью специально созданных SVG-файлов
Вендор Сообщество свободного программного обеспечения, Canonical Ltd., ООО «РусБИТех-Астра», Red Hat Inc., Fedora Project, ООО «Ред Софт», Stefan Behnel, АО "НППКТ"
Наименование ПО Debian GNU/Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Red Hat Satellite, Red Hat Software Collections, Ansible Tower, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Ansible Automation Platform, Lxml, Red Hat Update Infrastructure for Cloud Providers, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 9 (Debian GNU/Linux)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 14.04 ESM (Ubuntu)
  • 6.0 (Red Hat Satellite)
  • 10 (Debian GNU/Linux)
  • - (Red Hat Software Collections)
  • 20.04 LTS (Ubuntu)
  • 3 (Ansible Tower)
  • 21.04 (Ubuntu)
  • 34 (Fedora)
  • 16.04 ESM (Ubuntu)
  • 11 (Debian GNU/Linux)
  • 35 (Fedora)
  • 21.10 (Ubuntu)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • 1.2 (Ansible Automation Platform)
  • до 4.6.5 (Lxml)
  • 3 (Red Hat Update Infrastructure for Cloud Providers)
  • 2.0 (Ansible Automation Platform)
  • 4.7 (Astra Linux Special Edition)
  • до 2.4.2 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Непринятие мер по чистке данных на управляющем уровне (Внедрение в команду), Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\»)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 12.12.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Lxml:
https://github.com/lxml/lxml/commit/a3eacbc0dcf1de1c822ec29fb7d090a4b1712a9c#diff-59130575b4fb2932c957db2922977d7d89afb0b2085357db1a14615a2fcad776
https://github.com/advisories/GHSA-55x5-fj6c-h6m8
https://github.com/lxml/lxml/blob/lxml-4.6.5/CHANGES.txt

Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-biblioteki-lxml-cve-2021-43818/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TUIS2KE3HZ2AAQKXFLTJFZPP2IFHJTC7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/V2XMOM5PFT6U5AAXY6EFNT5JZCKKHK2V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WZGNET2A4WGLSUXLBFYKNC5PXHQMI3I7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZQ4SPKJX3RRJK4UWA6FXCRHD2TVRQI44/

Для Debian:
https://www.debian.org/security/2022/dsa-5043
https://lists.debian.org/debian-lts-announce/2021/12/msg00037.html

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-43818

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5225-1

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОСОН Основа:
Обновление программного обеспечения lxml до версии 4.3.2-1+deb10u4
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
https://github.com/lxml/lxml/commit/12fa9669007180a7bb87d990c375cf91ca5b664a
https://github.com/lxml/lxml/commit/a3eacbc0dcf1de1c822ec29fb7d090a4b1712a9c#diff-59130575b4fb2932c957db2922977d7d89afb0b2085357db1a14615a2fcad776
https://github.com/lxml/lxml/commit/f2330237440df7e8f39c3ad1b1aa8852be3b27c0
https://github.com/lxml/lxml/security/advisories/GHSA-55x5-fj6c-h6m8
https://lists.debian.org/debian-lts-announce/2021/12/msg00037.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TUIS2KE3HZ2AAQKXFLTJFZPP2IFHJTC7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/V2XMOM5PFT6U5AAXY6EFNT5JZCKKHK2V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WZGNET2A4WGLSUXLBFYKNC5PXHQMI3I7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZQ4SPKJX3RRJK4UWA6FXCRHD2TVRQI44/
https://security.netapp.com/advisory/ntap-20220107-0005/
https://www.debian.org/security/2022/dsa-5043
https://nvd.nist.gov/vuln/detail/CVE-2021-43818
https://github.com/lxml/lxml/blob/lxml-4.6.5/CHANGES.txt
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-biblioteki-lxml-cve-2021-43818/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.2/
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения