Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06700: Уязвимость функции очистки объекта XML библиотеки анализа XML-документов libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции очистки объекта XML библиотеки анализа XML-документов libxml2 связана с двойным освобождением памяти при обработке объектов структуры dict, значение первого байта которых равно нулю. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	ООО «РусБИТех-Астра», Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», ФССП России, АО «ИВК», Fedora Project, Apple Inc., АО "НППКТ"
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Debian GNU/Linux, JBoss Core Services, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Альт 8 СП, Fedora, libxml2, Mac OS, iOS, iPadOS, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) - (JBoss Core Services) 11 (Debian GNU/Linux) 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) - (Альт 8 СП) 36 (Fedora) 9 (Red Hat Enterprise Linux) 37 (Fedora) 4.7 (Astra Linux Special Edition) от 2.0.0 до 2.10.3 (libxml2) Ventura до 13.0.1 (Mac OS) до 16.1.1 (iOS) до 16.1.1 (iPadOS) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6 АО «ИВК» Альт 8 СП - Fedora Project Fedora 36 Red Hat Inc. Red Hat Enterprise Linux 9 Fedora Project Fedora 37 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) Apple Inc. Mac OS Ventura до 13.0.1 Apple Inc. iOS до 16.1.1 Apple Inc. iPadOS до 16.1.1 АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Ошибки управления ресурсом, Повторное освобождение
Идентификатор типа ошибки	CWE-399 CWE-415
Класс уязвимости	Уязвимость кода
Дата выявления	31.08.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для libxml2: https://gitlab.gnome.org/GNOME/libxml2/-/commit/1b41ec4e9433b05bb0376be4725804c54ef1d80b Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-40304 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-40304 Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2022-a6812b0224 https://bodhi.fedoraproject.org/updates/FEDORA-2022-aeafd24818 Для программных продуктов Apple Inc.: https://support.apple.com/en-us/HT213504 https://support.apple.com/en-us/HT213505 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-7+deb10u5 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных Исчерпание ресурсов
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2022-40304 https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libxml2-cve-id-cve-2022-40304-cve-id-cve-2022-40303/ https://gitlab.gnome.org/GNOME/libxml2/-/commit/1b41ec4e9433b05bb0376be4725804c54ef1d80b https://security-tracker.debian.org/tracker/CVE-2022-40304 https://bodhi.fedoraproject.org/updates/FEDORA-2022-a6812b0224 https://bodhi.fedoraproject.org/updates/FEDORA-2022-aeafd24818 https://support.apple.com/en-us/HT213504 https://support.apple.com/en-us/HT213505 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://goslinux.fssp.gov.ru/2726972/ https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 https://altsp.su/obnovleniya-bezopasnosti/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-40304
Прочая информация	Данные уточняются

Последние изменения