BDU:2025-06438

Опубликовано: 15 дек. 2024

Источник: fstec

CVSS3: 7.8

CVSS2: 5.6

EPSS Низкий

Описание

Уязвимость функций xmlSchemaIDCFillNodeTables, xmlSchemaBubbleIDCNodeTables (xmlschemas.c) библиотеки Libxml2 связана с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путем отправки специально созданного XML-файла

Вендор

Red Hat Inc.

Canonical Ltd.

Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux

Ubuntu

Debian GNU/Linux

Red Hat OpenShift Container Platform

Red Hat JBoss Core Services

libxml2

Версия ПО

7 (Red Hat Enterprise Linux)

8 (Red Hat Enterprise Linux)

14.04 ESM (Ubuntu)

20.04 LTS (Ubuntu)

16.04 ESM (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

4 (Red Hat OpenShift Container Platform)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

18.04 ESM (Ubuntu)

- (Red Hat JBoss Core Services)

24.04 LTS (Ubuntu)

24.10 (Ubuntu)

до 2.13.6 (libxml2)

до 2.12.10 (libxml2)

до 2.14.0 (libxml2)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Микропрограммный код аппаратных компонент компьютера

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Red Hat Inc. Red Hat Enterprise Linux 8

Canonical Ltd. Ubuntu 14.04 ESM

Canonical Ltd. Ubuntu 20.04 LTS

Canonical Ltd. Ubuntu 16.04 ESM

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Canonical Ltd. Ubuntu 18.04 ESM

Canonical Ltd. Ubuntu 24.04 LTS

Canonical Ltd. Ubuntu 24.10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,6)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для libxml2:

https://gitlab.gnome.org/GNOME/libxml2/-/issues/828

Для программных продуктов Red Hat Inc.:

https://www.suse.com/security/cve/CVE-2024-56171.html

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-56171

Для Ubuntu:

https://ubuntu.com/security/CVE-2024-56171

Компенсирующие меры:

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-56171
CVE

EPSS

Процентиль: 0%

0.00007

Низкий

7.8 High

CVSS3

5.6 Medium

CVSS2

Связанные уязвимости

ROS-20250616-04

CVSS3: 7.8

redos

3 дня назад

Уязвимость libxml2

CVE-2024-56171

CVSS3: 7.8

ubuntu

4 месяца назад

libxml2 before 2.12.10 and 2.13.x before 2.13.6 has a use-after-free in xmlSchemaIDCFillNodeTables and xmlSchemaBubbleIDCNodeTables in xmlschemas.c. To exploit this, a crafted XML document must be validated against an XML schema with certain identity constraints, or a crafted XML schema must be used.

CVE-2024-56171

CVSS3: 8.1

redhat

4 месяца назад

CVE-2024-56171

CVSS3: 7.8

nvd

4 месяца назад

CVE-2024-56171

CVSS3: 7.8

msrc

3 месяца назад

Описание отсутствует

EPSS

Процентиль: 0%

0.00007

Низкий

7.8 High

CVSS3

5.6 Medium

CVSS2