Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-00999: Уязвимость функции doProlog() библиотеки Expat, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции doProlog() библиотеки Expat связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Сообщество свободного программного обеспечения, Red Hat Inc., Fedora Project, ООО «Ред Софт», ООО «РусБИТех-Астра», ФССП России, Tenable, Inc., James Clark, АО "НППКТ"
Наименование ПО	Debian GNU/Linux, JBoss Core Services, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, Nessus, Expat, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	10 (Debian GNU/Linux) - (JBoss Core Services) 34 (Fedora) 11 (Debian GNU/Linux) 35 (Fedora) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) до 8.15.3 (Nessus) от 10.0.0 до 10.1.1 (Nessus) до 2.4.4 (Expat) 4.7 (Astra Linux Special Edition) до 2.4.3 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 10 Fedora Project Fedora 34 Сообщество свободного программного обеспечения Debian GNU/Linux 11 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Тип ошибки	Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки	CWE-190
Класс уязвимости	Уязвимость кода
Дата выявления	26.01.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Expat: https://github.com/libexpat/libexpat/pull/551 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-23990 Для Debian: https://www.debian.org/security/2022/dsa-5073 Для продуктов Tenable Inc.: https://www.tenable.com/security/tns-2022-05 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/34NXVL2RZC2YZRV74ZQ3RNFB7WCEUP7D/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/R7FF2UH7MPXKTADYSJUAHI2Y5UHBSHUH/ Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 Для ОСОН Основа: Обновление программного обеспечения expat до версии 2.2.6-2+deb10u3
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/libexpat/libexpat/pull/551 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/34NXVL2RZC2YZRV74ZQ3RNFB7WCEUP7D/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/R7FF2UH7MPXKTADYSJUAHI2Y5UHBSHUH/ https://www.debian.org/security/2022/dsa-5073 https://www.tenable.com/security/tns-2022-05 https://nvd.nist.gov/vuln/detail/CVE-2022-23990 https://access.redhat.com/security/cve/cve-2022-23990 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://goslinux.fssp.gov.ru/2726972/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-23990
Прочая информация	Данные уточняются

Последние изменения