BDU:2022-01702: Уязвимость библиотеки синтаксического анализатора XML libexpat, связанная с целочисленным переполнением, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость библиотеки синтаксического анализатора XML libexpat связанная с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью отправки специально созданных данных
Вендор Red Hat Inc., ООО «РусБИТех-Астра», Novell Inc., ООО «Ред Софт», ФССП России, Сообщество свободного программного обеспечения, IBM Corp., АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), OpenSUSE Leap, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, libexpat, IBM Cloud Pak System, IBM QRadar SIEM, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 15.3 (OpenSUSE Leap)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • ИК6 (ОС ТД АИС ФССП России)
  • от 2.0.0 до 2.4.3 (libexpat)
  • до 2.3.3.5 (IBM Cloud Pak System)
  • от 7.3 до 7.3.3 Fix Pack 12 (IBM QRadar SIEM)
  • от 7.4 до 7.4.3 Fix Pack 6 (IBM QRadar SIEM)
  • от 7.5 до 7.5.0 Update Pack 2 (IBM QRadar SIEM)
  • 4.7 (Astra Linux Special Edition)
  • до 2.4.3 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, ПО виртуализации/ПО виртуального программно-аппаратного средства, Программное средство защиты
Операционные системы и аппаратные платформы
Тип ошибки Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 25.01.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для libexpat:
https://github.com/libexpat/libexpat/pull/550

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23852.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-23852

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6612587
https://www.ibm.com/support/pages/node/6614725

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОСОН Основа:
Обновление программного обеспечения expat до версии 2.2.6-2+deb10u3
Для Astra Linux Special Edition 1.7 архитектуры x86-64:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения