Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06701

Опубликовано: 22 июн. 2022
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость функции xmlParseNameComplex() библиотеки анализа XML-документов libxml2 связана с целочисленным переполнением при обработке содержимого с параметром XML_PARSE_HUGE. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ФССП России
АО «ИВК»
Fedora Project
Apple Inc.
АО "НППКТ"
АО «НТЦ ИТ РОСА»

Наименование ПО

Astra Linux Special Edition
Red Hat Enterprise Linux
Debian GNU/Linux
JBoss Core Services
Astra Linux Special Edition для «Эльбрус»
РЕД ОС
ОС ТД АИС ФССП России
Альт 8 СП
Fedora
Mac OS
iOS
iPadOS
libxml2
ОСОН ОСнова Оnyx
ROSA Virtualization

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
- (JBoss Core Services)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
- (Альт 8 СП)
36 (Fedora)
9 (Red Hat Enterprise Linux)
37 (Fedora)
4.7 (Astra Linux Special Edition)
Ventura до 13.0.1 (Mac OS)
до 16.1.1 (iOS)
до 16.1.1 (iPadOS)
от 2.9 до 2.10.3 (libxml2)
до 2.6 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 36
Red Hat Inc. Red Hat Enterprise Linux 9
Fedora Project Fedora 37
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Apple Inc. Mac OS Ventura до 13.0.1
Apple Inc. iOS до 16.1.1
Apple Inc. iPadOS до 16.1.1
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для libxml2:
https://gitlab.gnome.org/GNOME/libxml2/-/commit/c846986356fc149915a74972bf198abc266bc2c0
https://gitlab.gnome.org/GNOME/libxml2/-/issues/381
Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-40303
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-40303
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-a6812b0224
https://bodhi.fedoraproject.org/updates/FEDORA-2022-aeafd24818
Для программных продуктов Apple Inc.:
https://support.apple.com/en-us/HT213504
https://support.apple.com/en-us/HT213505
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-7+deb10u5
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libxml2 до 2.9.4+dfsg1-2.2+deb9u7+ci202211281307+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2356
Для ОС Astra Linux Special Edition 1.7:
обновить пакет libxml2 до 2.9.4+dfsg1-7+deb10u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 35%
0.00137
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-40303

CVSS3: 7.5
ubuntu
больше 2 лет назад

An issue was discovered in libxml2 before 2.10.3. When parsing a multi-gigabyte XML document with the XML_PARSE_HUGE parser option enabled, several integer counters can overflow. This results in an attempt to access an array at a negative 2GB offset, typically leading to a segmentation fault.

redhat логотип

CVE-2022-40303

CVSS3: 7.5
redhat
больше 2 лет назад

An issue was discovered in libxml2 before 2.10.3. When parsing a multi-gigabyte XML document with the XML_PARSE_HUGE parser option enabled, several integer counters can overflow. This results in an attempt to access an array at a negative 2GB offset, typically leading to a segmentation fault.

nvd логотип

CVE-2022-40303

CVSS3: 7.5
nvd
больше 2 лет назад

An issue was discovered in libxml2 before 2.10.3. When parsing a multi-gigabyte XML document with the XML_PARSE_HUGE parser option enabled, several integer counters can overflow. This results in an attempt to access an array at a negative 2GB offset, typically leading to a segmentation fault.

msrc логотип

CVE-2022-40303

CVSS3: 7.5
msrc
больше 2 лет назад

Описание отсутствует

debian логотип

CVE-2022-40303

CVSS3: 7.5
debian
больше 2 лет назад

An issue was discovered in libxml2 before 2.10.3. When parsing a multi ...

EPSS

Процентиль: 35%
0.00137
Низкий

8.2 High

CVSS3

8.5 High

CVSS2