Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00003

Опубликовано: 06 дек. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции TiXmlDeclaration::Parse() компонента tinyxmlparser.cpp XML-парсера TinyXML связана с использованием оператора assert() при обработке символа 0, расположенного после пробела. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Novell Inc.
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
АО «НТЦ ИТ РОСА»
Lee Thomason
АО "НППКТ"

Наименование ПО

OpenSUSE Leap
openSUSE Tumbleweed
РЕД ОС
Astra Linux Special Edition
Альт 8 СП
SUSE Linux Enterprise Module for Package Hub
РОСА ХРОМ
TinyXML
ОСОН ОСнова Оnyx

Версия ПО

15.5 (OpenSUSE Leap)
- (openSUSE Tumbleweed)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
15.4 (OpenSUSE Leap)
- (Альт 8 СП)
4.7 (Astra Linux Special Edition)
15 SP4 (SUSE Linux Enterprise Module for Package Hub)
12.4 (РОСА ХРОМ)
15 SP5 (SUSE Linux Enterprise Module for Package Hub)
до 2.6.2 включительно (TinyXML)
до 2.10 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.5
Novell Inc. openSUSE Tumbleweed -
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. OpenSUSE Leap 15.4
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
В связи с окончанием жизненного цикла программного продукта TinyXML, производитель рекомендует перейти на TinyXML-2:
https://github.com/leethomason/tinyxml2
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-34194.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS);
- ограничение загрузки файлов из недостоверных источников.
Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения tinyxml до версии 2.6.2-4+deb10u2
Для ОС Astra Linux:
обновить пакет tinyxml до 2.6.2-4+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет tinyxml до 2.6.2-4+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2546
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 69%
0.00631
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240402-05

CVSS3: 7.5
redos
около 1 года назад

Уязвимость tinyxml

ubuntu логотип

CVE-2023-34194

CVSS3: 7.5
ubuntu
больше 1 года назад

StringEqual in TiXmlDeclaration::Parse in tinyxmlparser.cpp in TinyXML through 2.6.2 has a reachable assertion (and application exit) via a crafted XML document with a '\0' located after whitespace.

nvd логотип

CVE-2023-34194

CVSS3: 7.5
nvd
больше 1 года назад

StringEqual in TiXmlDeclaration::Parse in tinyxmlparser.cpp in TinyXML through 2.6.2 has a reachable assertion (and application exit) via a crafted XML document with a '\0' located after whitespace.

debian логотип

CVE-2023-34194

CVSS3: 7.5
debian
больше 1 года назад

StringEqual in TiXmlDeclaration::Parse in tinyxmlparser.cpp in TinyXML ...

suse-cvrf логотип

SUSE-SU-2023:4958-1

suse-cvrf
больше 1 года назад

Security update for tinyxml

EPSS

Процентиль: 69%
0.00631
Низкий

7.5 High

CVSS3

7.8 High

CVSS2