Описание
Уязвимость библиотеки для анализа XML-файлов libexpat связана с неправильным ограничением ссылки на внешнюю сущность XML. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»
ООО «Открытая мобильная платформа»
Наименование ПО
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
ROSA Virtualization
РОСА ХРОМ
libexpat
ROSA Virtualization 3.0
ОС Аврора
Версия ПО
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
2.1 (ROSA Virtualization)
12.4 (РОСА ХРОМ)
1.8 (Astra Linux Special Edition)
до 2.6.3 (libexpat)
3.0 (ROSA Virtualization 3.0)
до 5.1.4 включительно (ОС Аврора)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
ООО «Открытая мобильная платформа» ОС Аврора до 5.1.4 включительно
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Для libexpat: https://github.com/libexpat/libexpat/pull/890
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-45490
Для ОС Astra Linux:
обновить пакет expat до 2.2.6-2+deb10u7+ci202409111722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-1108SE17MD
Для ОС Astra Linux:
обновить пакет expat до 2.5.0-1+ci202409111722+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для ОС Astra Linux:
обновить пакет expat до 2.2.6-2+deb10u7+ci202409111722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2928
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2797
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2840
Для ОС Аврора: https://cve.omp.ru/bb27514
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2928
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 45%
0.00226
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
около 1 года назад
An issue was discovered in libexpat before 2.6.3. xmlparse.c does not reject a negative length for XML_ParseBuffer.
CVSS3: 7.5
redhat
около 1 года назад
An issue was discovered in libexpat before 2.6.3. xmlparse.c does not reject a negative length for XML_ParseBuffer.
CVSS3: 7.5
nvd
около 1 года назад
An issue was discovered in libexpat before 2.6.3. xmlparse.c does not reject a negative length for XML_ParseBuffer.
CVSS3: 7.5
debian
около 1 года назад
An issue was discovered in libexpat before 2.6.3. xmlparse.c does not ...
EPSS
Процентиль: 45%
0.00226
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2