Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01063

Опубликовано: 21 фев. 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость компонента xmltok_impl.c библиотеки Expat связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью отправки специально сформированного запроса

Вендор

ООО «РусБИТех-Астра»
Fedora Project
ООО «Ред Софт»
ФССП России
James Clark
АО «ИВК»
IBM Corp.
АО "НППКТ"
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition
Astra Linux Special Edition для «Эльбрус»
Fedora
РЕД ОС
ОС ТД АИС ФССП России
Expat
Альт 8 СП
IBM PureData System for Operational Analytics
IBM QRadar SIEM
ОСОН ОСнова Оnyx
ROSA Virtualization
АЛЬТ СП 10
ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
34 (Fedora)
35 (Fedora)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
до 2.4.5 (Expat)
- (Альт 8 СП)
1.1 (IBM PureData System for Operational Analytics)
от 7.3 до 7.3.3 Fix Pack 12 (IBM QRadar SIEM)
от 7.4 до 7.4.3 Fix Pack 6 (IBM QRadar SIEM)
от 7.5 до 7.5.0 Update Pack 2 (IBM QRadar SIEM)
4.7 (Astra Linux Special Edition)
до 2.4.3 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)
- (АЛЬТ СП 10)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Программное средство защиты

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Fedora Project Fedora 34
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «ИВК» АЛЬТ СП 10 -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для библиотеки Expat:
Обновление программного обеспечения до актуальной версии
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3UFRBA3UQVIQKXTBUQXDWQOVWNBKLERU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Y27XO3JMKAOMQZVPS3B4MJGEAHCZF5OM/
Для ОС ТД АИС ФССП России:
http://repo.red-soft.ru/goslinux/7/ic6/os/x86_105
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6614725
https://www.ibm.com/support/pages/node/6611649
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для ОСОН Основа:
Обновление программного обеспечения expat до версии 2.2.6-2+deb10u3
Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет expat до 2.2.0-2+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения expat до версии 2.2.0-2+deb9u5
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2777

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.13043
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20220225-01

redos
больше 3 лет назад

Уязвимость библиотеки парсинга Expat

ubuntu логотип

CVE-2022-25235

CVSS3: 9.8
ubuntu
больше 3 лет назад

xmltok_impl.c in Expat (aka libexpat) before 2.4.5 lacks certain validation of encoding, such as checks for whether a UTF-8 character is valid in a certain context.

redhat логотип

CVE-2022-25235

CVSS3: 9.8
redhat
больше 3 лет назад

xmltok_impl.c in Expat (aka libexpat) before 2.4.5 lacks certain validation of encoding, such as checks for whether a UTF-8 character is valid in a certain context.

nvd логотип

CVE-2022-25235

CVSS3: 9.8
nvd
больше 3 лет назад

xmltok_impl.c in Expat (aka libexpat) before 2.4.5 lacks certain validation of encoding, such as checks for whether a UTF-8 character is valid in a certain context.

msrc логотип

CVE-2022-25235

CVSS3: 9.8
msrc
больше 3 лет назад

Описание отсутствует

EPSS

Процентиль: 94%
0.13043
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2