BDU:2020-04513: Уязвимость компонента parser.c библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость компонента parser.c библиотеки libxml2 связана с неосвобождением ресурса после истечения действительного срока его эксплуатирования. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Red Hat Inc., Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, Oracle Corp., АО «Концерн ВНИИНС»
Наименование ПО Red Hat Enterprise Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenSUSE Leap, Fedora, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Oracle Real User Experience Insight, libxml2, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 7 (Red Hat Enterprise Linux), 16.04 LTS (Ubuntu), 18.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 12.04 ESM (Ubuntu), 2.12 «Орёл» (Astra Linux Common Edition), 8 (Red Hat Enterprise Linux), 15.1 (OpenSUSE Leap), 30 (Fedora), 10.0 (Debian GNU/Linux), 14.04 ESM (Ubuntu), 19.10 (Ubuntu), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), 32 (Fedora), 13.3.1.0 (Oracle Real User Experience Insight), до 2.9.10 (libxml2), 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7 IA-32
  • Canonical Ltd. Ubuntu 16.04 LTS 32-bit
  • Red Hat Inc. Red Hat Enterprise Linux 7 Не указана
  • Canonical Ltd. Ubuntu 16.04 LTS Не указана
  • Canonical Ltd. Ubuntu 18.04 LTS Не указана
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369)
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана
  • Canonical Ltd. Ubuntu 12.04 ESM Не указана
  • ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» Не указана (запись в едином реестре российских программ №4433)
  • Red Hat Inc. Red Hat Enterprise Linux 8 Не указана
  • Novell Inc. OpenSUSE Leap 15.1 Не указана
  • Fedora Project Fedora 30 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана
  • Canonical Ltd. Ubuntu 14.04 ESM Не указана
  • Canonical Ltd. Ubuntu 19.10 Не указана
  • ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» Не указана (запись в едином реестре российских программ №11156)
  • Fedora Project Fedora 32 Не указана
  • АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 Не указана (запись в едином реестре российских программ №6177)
Тип ошибки Неосвобождение ресурса после истечения действительного срока его эксплуатирования
Идентификатор типа ошибки CWE-772
Класс уязвимости Уязвимость архитектуры
Дата выявления 07.08.2019
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:P
    CVSS 3.0: Вектор не задан
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-19956

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-19956.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-19956/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-19956

Для libxml2:
https://gitlab.gnome.org/GNOME/libxml2/commit/7ffcd44d7e6c46704f8af0321d9314cd26e0e18a

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются