BDU:2022-06701: Уязвимость функции xmlParseNameComplex() библиотеки анализа XML-документов libxml2, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции xmlParseNameComplex() библиотеки анализа XML-документов libxml2 связана с целочисленным переполнением при обработке содержимого с параметром XML_PARSE_HUGE. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании
Вендор ООО «РусБИТех-Астра», Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», ФССП России, АО «ИВК», Fedora Project, Apple Inc., АО "НППКТ"
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Debian GNU/Linux, JBoss Core Services, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Альт 8 СП, Fedora, Mac OS, iOS, iPadOS, libxml2, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • - (JBoss Core Services)
  • 11 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • - (Альт 8 СП)
  • 36 (Fedora)
  • 9 (Red Hat Enterprise Linux)
  • 37 (Fedora)
  • 4.7 (Astra Linux Special Edition)
  • Ventura до 13.0.1 (Mac OS)
  • до 16.1.1 (iOS)
  • до 16.1.1 (iPadOS)
  • от 2.9 до 2.10.3 (libxml2)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 22.06.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для libxml2:
https://gitlab.gnome.org/GNOME/libxml2/-/commit/c846986356fc149915a74972bf198abc266bc2c0
https://gitlab.gnome.org/GNOME/libxml2/-/issues/381

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-40303

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-40303

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-a6812b0224
https://bodhi.fedoraproject.org/updates/FEDORA-2022-aeafd24818

Для программных продуктов Apple Inc.:
https://support.apple.com/en-us/HT213504
https://support.apple.com/en-us/HT213505



Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-7+deb10u5

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения