ГлавнаяБаза уязвимостей БДУ → BDU:2019-02732
5.8средняя

BDU:2019-02732 (CVE-2018-19787)

Уязвимость компонента lxml/html/clean.py модуля lxml.html.clean библиотеки для обработки разметки XML и HTML Lxml, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
Опубликовано: 2019-07-30
Описание

Уязвимость компонента lxml/html/clean.py модуля lxml.html.clean библиотеки для обработки разметки XML и HTML Lxml связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Solaris (11.4)Ubuntu (12.04 ESM)Astra Linux Common Edition (2.12 «Орёл»)Lxml (до 4.2.5)Debian GNU/Linux (8)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:


Для Lxml:
https://github.com/lxml/lxml/commit/6be1d081b49c97cfd7b3fbd934a193b668629109



Для Ubuntu:

https://usn.ubuntu.com/3841-2/

https://usn.ubuntu.com/3841-1/



Для Debian GNU/Linux:

https://lists.debian.org/debian-lts-announce/2018/12/msg00001.html



Для Oracle Solaris:

https://www.oracle.com/technetwork/topics/security/bulletinjul2019-5600410.html


Для Astra Linux:

Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения lxml до версии 3.7.1-1+deb9u5

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
https://github.com/lxml/lxml/commit/6be1d081b49c97cfd7b3fbd934a193b668629109https://lists.debian.org/debian-lts-announce/2018/12/msg00001.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2018-19787https://security-tracker.debian.org/tracker/CVE-2018-19787https://usn.ubuntu.com/3841-1/https://usn.ubuntu.com/3841-2/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://www.oracle.com/technetwork/topics/security/bulletinjul2019-5600410.html
Проверьте безопасность своего сайта и почты → Полная проверка домена