Описание
Уязвимость функции addBinding() библиотеки Expat связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем передачи специально созданных данных
Вендор
Red Hat Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «РусБИТех-Астра»
Novell Inc.
Oracle Corp.
ООО «Ред Софт»
James Clark
АО «ИВК»
IBM Corp.
АО "НППКТ"
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»
Наименование ПО
Red Hat Enterprise Linux
Debian GNU/Linux
Ubuntu
Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
Oracle Linux
Suse Linux Enterprise Server
Astra Linux Special Edition для «Эльбрус»
OpenSUSE Leap
РЕД ОС
Expat
Suse Linux Enterprise Desktop
Альт 8 СП
IBM Netezza Analytics
IBM Cloud Pak System
IBM QRadar SIEM
ОСОН ОСнова Оnyx
ROSA Virtualization
ОС ОН «Стрелец»
Версия ПО
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
7 (Oracle Linux)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
11 SP4-LTSS (Suse Linux Enterprise Server)
12 SP3-LTSS (Suse Linux Enterprise Server)
14.04 ESM (Ubuntu)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
12 SP3-ESPOS (Suse Linux Enterprise Server)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
15-LTSS (Suse Linux Enterprise Server)
20.04 LTS (Ubuntu)
12 SP4 LTSS (Suse Linux Enterprise Server)
12 SP4-ESPOS (Suse Linux Enterprise Server)
8 (Oracle Linux)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
16.04 ESM (Ubuntu)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
21.10 (Ubuntu)
15 SP2 LTSS (Suse Linux Enterprise Server)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
до 2.4.3 (Expat)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
15 SP2-BCL (Suse Linux Enterprise Server)
до 3.4.0 (IBM Netezza Analytics)
до 2.3.3.5 (IBM Cloud Pak System)
от 7.3 до 7.3.3 Fix Pack 12 (IBM QRadar SIEM)
от 7.4 до 7.4.3 Fix Pack 6 (IBM QRadar SIEM)
от 7.5 до 7.5.0 Update Pack 2 (IBM QRadar SIEM)
4.7 (Astra Linux Special Edition)
до 2.4.3 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое программное средство
ПО виртуализации/ПО виртуального программно-аппаратного средства
Программное средство защиты
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Oracle Corp. Oracle Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Canonical Ltd. Ubuntu 14.04 ESM
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. Suse Linux Enterprise Server 12 SP4 LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Oracle Corp. Oracle Linux 8
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Canonical Ltd. Ubuntu 16.04 ESM
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Canonical Ltd. Ubuntu 21.10
Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.4.3
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Expat:
https://github.com/libexpat/libexpat/pull/539
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-22822
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-22822
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-22822
https://ubuntu.com/security/notices/USN-5288-1
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-22822.html
Для программных продуктов Oracle Corp.:
https://linux.oracle.com/cve/CVE-2022-22822.html
Для IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-expat-vulnerabilities-affect-ibm-netezza-analytics/
https://www.ibm.com/support/pages/node/6612587
https://www.ibm.com/support/pages/node/6614725
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОСОН Основа:
Обновление программного обеспечения expat до версии 2.2.6-2+deb10u3
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет expat до 2.2.0-2+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения expat до версии 2.2.0-2+deb9u5
Для Astra Linux Special Edition 4.7:
- обновить пакет expat до 2.2.6-2+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет firefox до 102.0+build2-0ubuntu0.18.04.1+ci202207111653+astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2777
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 79%
0.01328
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
больше 3 лет назад
addBinding in xmlparse.c in Expat (aka libexpat) before 2.4.3 has an integer overflow.
CVSS3: 9.8
redhat
больше 3 лет назад
addBinding in xmlparse.c in Expat (aka libexpat) before 2.4.3 has an integer overflow.
CVSS3: 9.8
nvd
больше 3 лет назад
addBinding in xmlparse.c in Expat (aka libexpat) before 2.4.3 has an integer overflow.
EPSS
Процентиль: 79%
0.01328
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2