ГлавнаяБаза уязвимостей БДУ → BDU:2020-03956
9.4критическая

BDU:2020-03956

Уязвимость реализации конфигурации expand_external_ents Perl-модуля для обработки XML-документов в древовидном режиме XML::Twig, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации
Опубликовано: 2020-08-19
Описание

Уязвимость реализации конфигурации expand_external_ents Perl-модуля для обработки XML-документов в древовидном режиме XML::Twig связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации с помощью специально созданного XML-сообщения

Затрагиваемое ПО и версии
OpenSUSE Leap (15.1)OpenSUSE Leap (15.2)XML::Twig (от 3.26 до 3.49 включительно)
Способ устранения

Использование рекомендаций:
https://metacpan.org/changes/release/MIROD/XML-Twig-3.52
https://rt.cpan.org/Public/Bug/Display.html?id=118097

Для OpenSUSE:
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00020.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00033.html

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00020.htmlhttp://lists.opensuse.org/opensuse-security-announce/2020-08/msg00033.htmlhttp://www.openwall.com/lists/oss-security/2016/11/04/2http://www.securityfocus.com/bid/94219
Проверьте безопасность своего сайта и почты → Полная проверка домена