Описание уязвимости | Уязвимость библиотеки для анализа XML-файлов libexpat связана с неверным ограничением xml-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании при помощи специально созданного XML-файла |
Вендор | ООО «РусБИТех-Астра», Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, Fedora Project, Novell Inc., James Clark, ООО «Ред Софт», АО «Концерн ВНИИНС» |
Наименование ПО | Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Fedora, OpenSUSE Leap, SUSE Package Hub for SUSE Linux Enterprise, Expat, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177) |
Версия ПО | 1.5 «Смоленск» (Astra Linux Special Edition), 6 (Red Hat Enterprise Linux), 7 (Red Hat Enterprise Linux), 16.04 LTS (Ubuntu), 18.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 29 (Fedora), 12.04 ESM (Ubuntu), 19.04 (Ubuntu), 8 (Red Hat Enterprise Linux), 15.0 (OpenSUSE Leap), 15.1 (OpenSUSE Leap), 30 (Fedora), 10.0 (Debian GNU/Linux), 14.04 ESM (Ubuntu), 31 (Fedora), 12 (SUSE Package Hub for SUSE Linux Enterprise), до 2.2.8 (Expat), до 7.2 Муром (РЕД ОС), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), 1.0 (ОС ОН «Стрелец») |
Тип ПО | Операционная система, Прикладное ПО информационных систем |
Операционные системы и аппаратные платформы |
|
Тип ошибки | Неверное ограничение XML-ссылок на внешние объекты |
Идентификатор типа ошибки | CWE-611 |
Класс уязвимости | Уязвимость кода |
Дата выявления | 28.08.2019 |
Базовый вектор уязвимости |
|
Уровень опасности уязвимости | Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5) |
Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для expat: https://github.com/libexpat/libexpat/commit/c20b758c332d9a13afbbb276d30db1d183a85d43 Для Debian: Обновление программного обеспечения (пакета expat) до 2.2.0-2+deb9u3 или более поздней версии Для РЕД ОС: Обновление операционной системы до версии 7.2 Муром Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00080.html https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00081.html https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00000.html https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00002.html https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00003.html https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00013.html https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00016.html https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00017.html https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00018.html https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00019.html https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00008.html https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-15903 Для Astra Linux: Обновление программного обеспечения (пакета expat) до 2.2.0-2+deb9u3 или более поздней версии Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A4TZKPJFTURRLXIGLB34WVKQ5HGY6JJA/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BDUTI5TVQWIGGQXPEVI4T2ENHFSBMIBP/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S26LGXXQ7YF2BP3RGOWELBFKM6BHF6UG/ Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie |
Статус уязвимости | Подтверждена производителем |
Наличие эксплойта | Существует в открытом доступе |
Способ эксплуатации |
|
Способ устранения | Обновление программного обеспечения |
Информация об устранении | Уязвимость устранена |
Ссылки на источники |
https://nvd.nist.gov/vuln/detail/CVE-2019-15903
https://security-tracker.debian.org/tracker/CVE-2019-15903
https://github.com/libexpat/libexpat/issues/317
https://github.com/libexpat/libexpat/commit/c20b758c332d9a13afbbb276d30db1d183a85d43
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A4TZKPJFTURRLXIGLB34WVKQ5HGY6JJA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BDUTI5TVQWIGGQXPEVI4T2ENHFSBMIBP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S26LGXXQ7YF2BP3RGOWELBFKM6BHF6UG/
https://usn.ubuntu.com/4132-1/
https://usn.ubuntu.com/4132-2/
https://github.com/libexpat/libexpat/issues/317
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00080.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00081.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00000.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00002.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00003.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00013.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00016.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00017.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00018.html
https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00019.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00008.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
https://access.redhat.com/security/cve/CVE-2019-15903
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
|
Идентификаторы других систем описаний уязвимостей |
|
Прочая информация | Данные уточняются |