Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06827

Опубликовано: 13 окт. 2023
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции xmlUnlinkNode (tree.c) библиотеки libxml2 связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»
Сообщество свободного программного обеспечения
АО "РАСУ"
АО "НППКТ"

Наименование ПО

РЕД ОС
Astra Linux Special Edition
РОСА ХРОМ
libxml2
УСШ (PBC-01R)
ROSA Virtualization 3.0
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
12.4 (РОСА ХРОМ)
до 2.11.5 включительно (libxml2)
2.0.1 (УСШ (PBC-01R))
3.0 (ROSA Virtualization 3.0)
до 2.14 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
АО "НППКТ" ОСОН ОСнова Оnyx до 2.14

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для libxml2:
https://gitlab.gnome.org/GNOME/libxml2/-/issues/344
https://gitlab.gnome.org/GNOME/libxml2/-/issues/583
Для ОС Astra Linux:
обновить пакет libxml2 до 2.9.4+dfsg1-7+deb10u6+ci202406211629+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет libxml2 до 2.9.4+dfsg1-7+deb10u6+ci202406211629+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2467
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»:
https://abf.rosa.ru/advisories/ROSA-SA-2025-2962
Обновление программного обеспечения libxml2 до версии 2.9.10+dfsg-6.7+deb11u8.osnova2u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 23%
0.00076
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-45322

CVSS3: 6.5
ubuntu
около 2 лет назад

libxml2 through 2.11.5 has a use-after-free that can only occur after a certain memory allocation fails. This occurs in xmlUnlinkNode in tree.c. NOTE: the vendor's position is "I don't think these issues are critical enough to warrant a CVE ID ... because an attacker typically can't control when memory allocations fail."

redhat логотип

CVE-2023-45322

CVSS3: 5.9
redhat
больше 2 лет назад

libxml2 through 2.11.5 has a use-after-free that can only occur after a certain memory allocation fails. This occurs in xmlUnlinkNode in tree.c. NOTE: the vendor's position is "I don't think these issues are critical enough to warrant a CVE ID ... because an attacker typically can't control when memory allocations fail."

nvd логотип

CVE-2023-45322

CVSS3: 6.5
nvd
около 2 лет назад

libxml2 through 2.11.5 has a use-after-free that can only occur after a certain memory allocation fails. This occurs in xmlUnlinkNode in tree.c. NOTE: the vendor's position is "I don't think these issues are critical enough to warrant a CVE ID ... because an attacker typically can't control when memory allocations fail."

msrc логотип

CVE-2023-45322

CVSS3: 6.5
msrc
10 месяцев назад

Описание отсутствует

debian логотип

CVE-2023-45322

CVSS3: 6.5
debian
около 2 лет назад

libxml2 through 2.11.5 has a use-after-free that can only occur after ...

EPSS

Процентиль: 23%
0.00076
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2