Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03327

Опубликовано: 10 янв. 2018
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции libexpat библиотеки языка С для выполнения грамматического разбора XML Expat связана с анализатором XML, который потребляет большое количество оперативной памяти и ресурсов ЦП. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
James Clark
ООО «Ред Софт»
АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
Expat
РЕД ОС
Astra Linux Special Edition для «Эльбрус»
ОС ОН «Стрелец»

Версия ПО

1.5 «Смоленск» (Astra Linux Special Edition)
9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
до 2.2.7 (Expat)
до 7.2 Муром (РЕД ОС)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
ООО «Ред Софт» РЕД ОС до 7.2 Муром
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Для Expat:
Обновление программного обеспечения до 2.2.7 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета expat) до 2.2.0-2+deb9u2 или более поздней версии
Для Astra Linux:
Использование рекомендаций, приведенных в бюллетенях № 20190912SE16 и № 20191225SE81:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://wiki.astralinux.ru/pages/viewpage.action?pageId=67111271
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром
Для ОС ОН «Стрелец»:
Обновление программного обеспечения expat до версии 2.2.0-2+deb9u5

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.05817
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-20843

CVSS3: 7.5
ubuntu
почти 6 лет назад

In libexpat in Expat before 2.2.7, XML input including XML names that contain a large number of colons could make the XML parser consume a high amount of RAM and CPU resources while processing (enough to be usable for denial-of-service attacks).

redhat логотип

CVE-2018-20843

CVSS3: 7.5
redhat
около 6 лет назад

In libexpat in Expat before 2.2.7, XML input including XML names that contain a large number of colons could make the XML parser consume a high amount of RAM and CPU resources while processing (enough to be usable for denial-of-service attacks).

nvd логотип

CVE-2018-20843

CVSS3: 7.5
nvd
почти 6 лет назад

In libexpat in Expat before 2.2.7, XML input including XML names that contain a large number of colons could make the XML parser consume a high amount of RAM and CPU resources while processing (enough to be usable for denial-of-service attacks).

msrc логотип

CVE-2018-20843

CVSS3: 7.5
msrc
почти 5 лет назад

Описание отсутствует

debian логотип

CVE-2018-20843

CVSS3: 7.5
debian
почти 6 лет назад

In libexpat in Expat before 2.2.7, XML input including XML names that ...

EPSS

Процентиль: 90%
0.05817
Низкий

7.5 High

CVSS3

7.8 High

CVSS2