Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06700

Опубликовано: 31 авг. 2022
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость функции очистки объекта XML библиотеки анализа XML-документов libxml2 связана с двойным освобождением памяти при обработке объектов структуры dict, значение первого байта которых равно нулю. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ФССП России
АО «ИВК»
Fedora Project
Apple Inc.
АО "НППКТ"
АО «НТЦ ИТ РОСА»

Наименование ПО

Astra Linux Special Edition
Red Hat Enterprise Linux
Debian GNU/Linux
JBoss Core Services
Astra Linux Special Edition для «Эльбрус»
РЕД ОС
ОС ТД АИС ФССП России
Альт 8 СП
Fedora
libxml2
Mac OS
iOS
iPadOS
ОСОН ОСнова Оnyx
ROSA Virtualization

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
- (JBoss Core Services)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
- (Альт 8 СП)
36 (Fedora)
9 (Red Hat Enterprise Linux)
37 (Fedora)
4.7 (Astra Linux Special Edition)
от 2.0.0 до 2.10.3 (libxml2)
Ventura до 13.0.1 (Mac OS)
до 16.1.1 (iOS)
до 16.1.1 (iPadOS)
до 2.6 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 36
Red Hat Inc. Red Hat Enterprise Linux 9
Fedora Project Fedora 37
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Apple Inc. Mac OS Ventura до 13.0.1
Apple Inc. iOS до 16.1.1
Apple Inc. iPadOS до 16.1.1
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для libxml2:
https://gitlab.gnome.org/GNOME/libxml2/-/commit/1b41ec4e9433b05bb0376be4725804c54ef1d80b
Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-40304
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-40304
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-a6812b0224
https://bodhi.fedoraproject.org/updates/FEDORA-2022-aeafd24818
Для программных продуктов Apple Inc.:
https://support.apple.com/en-us/HT213504
https://support.apple.com/en-us/HT213505
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-7+deb10u5
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libxml2 до 2.9.4+dfsg1-2.2+deb9u7+ci202211281307+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2356
Для ОС Astra Linux Special Edition 1.7:
обновить пакет libxml2 до 2.9.4+dfsg1-7+deb10u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 21%
0.00067
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-40304

CVSS3: 7.8
ubuntu
больше 2 лет назад

An issue was discovered in libxml2 before 2.10.3. Certain invalid XML entity definitions can corrupt a hash table key, potentially leading to subsequent logic errors. In one case, a double-free can be provoked.

redhat логотип

CVE-2022-40304

CVSS3: 7.8
redhat
больше 2 лет назад

An issue was discovered in libxml2 before 2.10.3. Certain invalid XML entity definitions can corrupt a hash table key, potentially leading to subsequent logic errors. In one case, a double-free can be provoked.

nvd логотип

CVE-2022-40304

CVSS3: 7.8
nvd
больше 2 лет назад

An issue was discovered in libxml2 before 2.10.3. Certain invalid XML entity definitions can corrupt a hash table key, potentially leading to subsequent logic errors. In one case, a double-free can be provoked.

debian логотип

CVE-2022-40304

CVSS3: 7.8
debian
больше 2 лет назад

An issue was discovered in libxml2 before 2.10.3. Certain invalid XML ...

github логотип

GHSA-g848-pppp-vg6f

CVSS3: 7.8
github
больше 2 лет назад

An issue was discovered in libxml2 before 2.10.3. Certain invalid XML entity definitions can corrupt a hash table key, potentially leading to subsequent logic errors. In one case, a double-free can be provoked.

EPSS

Процентиль: 21%
0.00067
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Уязвимость BDU:2022-06700