Описание
Уязвимость функции fastScanName() класса QXmlStreamReader кроссплатформенного фреймворка для разработки программного обеспечения Qt связана с выходом операции за границы буфера в памяти при обработке XML-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор
ООО «РусБИТех-Астра»
Novell Inc.
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Fedora Project
The Qt Company
АО «НТЦ ИТ РОСА»
АО "НППКТ"
Наименование ПО
Astra Linux Special Edition
OpenSUSE Leap
Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
Fedora
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Suse Linux Enterprise Desktop
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise Real Time
Qt
РОСА ХРОМ
Desktop Applications Module
Basesystem Module
ОСОН ОСнова Оnyx
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
15.5 (OpenSUSE Leap)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
9 (Red Hat Enterprise Linux)
37 (Fedora)
4.7 (Astra Linux Special Edition)
38 (Fedora)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
15 SP5 (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Real Time)
от 6.0.0 до 6.2.9 (Qt)
12.4 (РОСА ХРОМ)
до 5.15.15 (Qt)
от 6.3.0 до 6.5.2 (Qt)
15-SP5 (Desktop Applications Module)
15-SP5 (Basesystem Module)
до 2.9 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. OpenSUSE Leap 15.5
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Red Hat Inc. Red Hat Enterprise Linux 9
Fedora Project Fedora 37
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Fedora Project Fedora 38
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
Novell Inc. SUSE Linux Enterprise Real Time 15 SP5
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Qt:
https://codereview.qt-project.org/c/qt/qtbase/+/455027
https://www.qt.io/blog/security-advisory-qxmlstreamreader
https://codereview.qt-project.org/c/qt/qtbase/+/488206
https://bugreports.qt.io/browse/QTBUG-114829
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-37369
Для программных продуктов Novell Inc.:
https://www.suse.com/support/update/announcement/2023/suse-su-20234951-1/
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/08/msg00028.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/O3JR3N3IF5MUSETGYE46OZFOGGPY3VZT/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SZK7EDD4ILPPSQAYO54FANUC4NFYLTHU/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения qt4-x11 до версии 4:4.8.7+dfsg.repack-18+deb10u2.osnova1
Для ОС Astra Linux:
- обновить пакет qt4-x11 до 4:4.8.7+dfsg-20astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет qtbase-opensource-src до 5.15.2+dfsg-0astra53 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет qt4-x11 до 4:4.8.7+dfsg-11astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет qtbase-opensource-src до 5.11.0-0astra75 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет qt4-x11 до 4:4.8.7+dfsg-20astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет qtbase-opensource-src до 5.15.2+dfsg-0astra53 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-qt5/?sphrase_id=644294
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2677
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 51%
0.00283
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
почти 2 года назад
In Qt before 5.15.15, 6.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.2, there can be an application crash in QXmlStreamReader via a crafted XML string that triggers a situation in which a prefix is greater than a length.
CVSS3: 7.5
redhat
почти 2 года назад
In Qt before 5.15.15, 6.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.2, there can be an application crash in QXmlStreamReader via a crafted XML string that triggers a situation in which a prefix is greater than a length.
CVSS3: 7.5
nvd
почти 2 года назад
In Qt before 5.15.15, 6.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.2, there can be an application crash in QXmlStreamReader via a crafted XML string that triggers a situation in which a prefix is greater than a length.
CVSS3: 7.5
debian
почти 2 года назад
In Qt before 5.15.15, 6.x before 6.2.9, and 6.3.x through 6.5.x before ...
EPSS
Процентиль: 51%
0.00283
Низкий
7.5 High
CVSS3
7.8 High
CVSS2