Описание
Уязвимость библиотеки для анализа XML-файлов libexpat связана с неправильным ограничением ссылки на внешнюю сущность XML. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»
АО «ИВК»
ООО «Открытая мобильная платформа»
Наименование ПО
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
ROSA Virtualization
РОСА ХРОМ
АЛЬТ СП 10
libexpat
ROSA Virtualization 3.0
ОС Аврора
Версия ПО
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
2.1 (ROSA Virtualization)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
1.8 (Astra Linux Special Edition)
до 2.6.3 (libexpat)
3.0 (ROSA Virtualization 3.0)
до 5.1.4 включительно (ОС Аврора)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
ООО «Открытая мобильная платформа» ОС Аврора до 5.1.4 включительно
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Для libexpat: https://github.com/libexpat/libexpat/pull/890
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-45490
Для ОС Astra Linux:
обновить пакет expat до 2.2.6-2+deb10u7+ci202409111722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-1108SE17MD
Для ОС Astra Linux:
обновить пакет expat до 2.5.0-1+ci202409111722+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для ОС Astra Linux:
обновить пакет expat до 2.2.6-2+deb10u7+ci202409111722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2928
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2797
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2840
Для ОС Аврора: https://cve.omp.ru/bb27514
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2928
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 53%
0.00298
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
больше 1 года назад
An issue was discovered in libexpat before 2.6.3. xmlparse.c does not reject a negative length for XML_ParseBuffer.
CVSS3: 7.5
redhat
больше 1 года назад
An issue was discovered in libexpat before 2.6.3. xmlparse.c does not reject a negative length for XML_ParseBuffer.
CVSS3: 7.5
nvd
больше 1 года назад
An issue was discovered in libexpat before 2.6.3. xmlparse.c does not reject a negative length for XML_ParseBuffer.
EPSS
Процентиль: 53%
0.00298
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2