ГлавнаяБаза уязвимостей БДУ → BDU:2019-00518
5средняя

BDU:2019-00518 (CVE-2018-14404)

Уязвимость функции xpath.c:xmlXPathCompOpEval() библиотеки libxml2, связанная с ошибками разыменования указателя, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2019-02-07
Описание

Уязвимость функции xpath.c:xmlXPathCompOpEval() библиотеки libxml2 связана с разыменованием нулевого указателя. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP (V2.6.0)libxml2 (до 2.9.8 включительно)Ubuntu (12.04 ESM)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Debian GNU/Linux (10)РЕД ОС (7.1 МУРОМ)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)ОС ОН «Стрелец» (1.0)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Обновление ядра Linux до версии выше 4.17.3:

https://www.kernel.org


Для libxml2:
Обновление программного обеспечения до 2.9.1+dfsg1-5+deb8u7 или более поздней версии

Для Ubuntu:
https://usn.ubuntu.com/3739-1/
https://usn.ubuntu.com/3739-2/

Для РЕД ОС:
Обновление операционной системы до версии 7.2


Компенсирующие меры для SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP:

Следовать рекомендациям производителя:

https://www.siemens.com/cert/operational-guidelines-industrial-security

Использование приложений только из надежных источников

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2018-14404

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81


Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОСОН Основа:
Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-7+deb10u2

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-2.2+deb9u7

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=901817https://bugzilla.redhat.com/show_bug.cgi?id=1595985https://cert-portal.siemens.com/productcert/pdf/ssb-439005.pdfhttps://gitlab.gnome.org/GNOME/libxml2/issues/10https://lists.debian.org/debian-lts-announce/2018/09/msg00035.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2018-14404https://security-tracker.debian.org/tracker/CVE-2018-14404https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Проверьте безопасность своего сайта и почты → Полная проверка домена