БДУ - Уязвимости

BDU:2022-00756: Уязвимость реализации модуля Class Cleaner библиотеки для обработки разметки XML и HTML Lxml, позволяющая нарушителю осуществлять межсайтовые сценарные атаки

Описание уязвимости	Уязвимость реализации модуля Class Cleaner библиотеки для обработки разметки XML и HTML Lxml связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки с помощью специально созданных SVG-файлов
Вендор	Сообщество свободного программного обеспечения, Canonical Ltd., ООО «РусБИТех-Астра», Red Hat Inc., Fedora Project, ООО «Ред Софт», Stefan Behnel, АО "НППКТ"
Наименование ПО	Debian GNU/Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Red Hat Satellite, Red Hat Software Collections, Ansible Tower, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Ansible Automation Platform, Lxml, Red Hat Update Infrastructure for Cloud Providers, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8 (Red Hat Enterprise Linux) 14.04 ESM (Ubuntu) 6.0 (Red Hat Satellite) 10 (Debian GNU/Linux) - (Red Hat Software Collections) 20.04 LTS (Ubuntu) 3 (Ansible Tower) 21.04 (Ubuntu) 34 (Fedora) 16.04 ESM (Ubuntu) 11 (Debian GNU/Linux) 35 (Fedora) 21.10 (Ubuntu) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) 1.2 (Ansible Automation Platform) до 4.6.5 (Lxml) 3 (Red Hat Update Infrastructure for Cloud Providers) 2.0 (Ansible Automation Platform) 4.7 (Astra Linux Special Edition) до 2.4.2 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 8 Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 10 Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 21.04 Fedora Project Fedora 34 Canonical Ltd. Ubuntu 16.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 11 Fedora Project Fedora 35 Canonical Ltd. Ubuntu 21.10 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Тип ошибки	Непринятие мер по чистке данных на управляющем уровне (Внедрение в команду), Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\»)
Идентификатор типа ошибки	CWE-77 CWE-79
Класс уязвимости	Уязвимость кода
Дата выявления	12.12.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:C/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Lxml: https://github.com/lxml/lxml/commit/a3eacbc0dcf1de1c822ec29fb7d090a4b1712a9c#diff-59130575b4fb2932c957db2922977d7d89afb0b2085357db1a14615a2fcad776 https://github.com/advisories/GHSA-55x5-fj6c-h6m8 https://github.com/lxml/lxml/blob/lxml-4.6.5/CHANGES.txt Для Ред ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-biblioteki-lxml-cve-2021-43818/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TUIS2KE3HZ2AAQKXFLTJFZPP2IFHJTC7/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/V2XMOM5PFT6U5AAXY6EFNT5JZCKKHK2V/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WZGNET2A4WGLSUXLBFYKNC5PXHQMI3I7/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZQ4SPKJX3RRJK4UWA6FXCRHD2TVRQI44/ Для Debian: https://www.debian.org/security/2022/dsa-5043 https://lists.debian.org/debian-lts-announce/2021/12/msg00037.html Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-43818 Для Ubuntu: https://ubuntu.com/security/notices/USN-5225-1 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 Для ОСОН Основа: Обновление программного обеспечения lxml до версии 4.3.2-1+deb10u4
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/lxml/lxml/commit/12fa9669007180a7bb87d990c375cf91ca5b664a https://github.com/lxml/lxml/commit/a3eacbc0dcf1de1c822ec29fb7d090a4b1712a9c#diff-59130575b4fb2932c957db2922977d7d89afb0b2085357db1a14615a2fcad776 https://github.com/lxml/lxml/commit/f2330237440df7e8f39c3ad1b1aa8852be3b27c0 https://github.com/lxml/lxml/security/advisories/GHSA-55x5-fj6c-h6m8 https://lists.debian.org/debian-lts-announce/2021/12/msg00037.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TUIS2KE3HZ2AAQKXFLTJFZPP2IFHJTC7/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/V2XMOM5PFT6U5AAXY6EFNT5JZCKKHK2V/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WZGNET2A4WGLSUXLBFYKNC5PXHQMI3I7/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZQ4SPKJX3RRJK4UWA6FXCRHD2TVRQI44/ https://security.netapp.com/advisory/ntap-20220107-0005/ https://www.debian.org/security/2022/dsa-5043 https://nvd.nist.gov/vuln/detail/CVE-2021-43818 https://github.com/lxml/lxml/blob/lxml-4.6.5/CHANGES.txt https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-biblioteki-lxml-cve-2021-43818/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.2/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-43818
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-00756: Уязвимость реализации модуля Class Cleaner библиотеки для обработки разметки XML и HTML Lxml, позволяющая нарушителю осуществлять межсайтовые сценарные атаки