Описание
Уязвимость функции xmlXIncludeAddNode() файла xinclude.c библиотеки libxml2 связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю скомпрометировать уязвимую систему
Вендор
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Сообщество свободного программного обеспечения
АО "НППКТ"
ООО «НЦПР»
Наименование ПО
РЕД ОС
Astra Linux Special Edition
Альт 8 СП
Astra Linux Common Edition
АЛЬТ СП 10
libxml2
ОСОН ОСнова Оnyx
МСВСфера
Версия ПО
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
1.6 «Смоленск» (Astra Linux Common Edition)
- (АЛЬТ СП 10)
1.8 (Astra Linux Special Edition)
до 2.11.0 (libxml2)
до 2.14 (ОСОН ОСнова Оnyx)
9.5 (МСВСфера)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»
АО «ИВК» АЛЬТ СП 10 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.14
ООО «НЦПР» МСВСфера 9.5
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
https://gitlab.gnome.org/GNOME/libxml2/-/commit/5a19e21605398cef6a8b1452477a8705cb41562b
https://github.com/php/php-src/issues/17467
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет libxml2 до 2.9.14+dfsg-1.3~deb12u1.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Обновление программного обеспечения libxml2 до версии 2.9.10+dfsg-6.7+deb11u8.osnova2u1
Для МСВСфера:
https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:1350?lang=ru
Для ОС Astra Linux:
обновить пакет libxml2 до 2.9.4+dfsg1-7+deb10u12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17
Для ОС Astra Linux:
обновить пакет libxml2 до 2.9.4+dfsg1-7+deb10u12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47
Для ОС Astra Linux:
обновить пакет libxml2 до 2.9.4+dfsg1-2.2+deb9u14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 7%
0.00028
Низкий
8.1 High
CVSS3
6.2 Medium
CVSS2
Связанные уязвимости
CVSS3: 8.1
ubuntu
около 1 года назад
xmlXIncludeAddNode in xinclude.c in libxml2 before 2.11.0 has a use-after-free.
CVSS3: 5.9
redhat
около 1 года назад
xmlXIncludeAddNode in xinclude.c in libxml2 before 2.11.0 has a use-after-free.
CVSS3: 8.1
nvd
около 1 года назад
xmlXIncludeAddNode in xinclude.c in libxml2 before 2.11.0 has a use-after-free.
CVSS3: 8.1
msrc
около 1 года назад
xmlXIncludeAddNode in xinclude.c in libxml2 before 2.11.0 has a use-after-free.
EPSS
Процентиль: 7%
0.00028
Низкий
8.1 High
CVSS3
6.2 Medium
CVSS2