Уязвимость реализации модуля Class Cleaner библиотеки для обработки разметки XML и HTML Lxml связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки с помощью специально созданных SVG-файлов
Использование рекомендаций:
Для Lxml:
https://github.com/lxml/lxml/commit/a3eacbc0dcf1de1c822ec29fb7d090a4b1712a9c#diff-59130575b4fb2932c957db2922977d7d89afb0b2085357db1a14615a2fcad776
https://github.com/advisories/GHSA-55x5-fj6c-h6m8
https://github.com/lxml/lxml/blob/lxml-4.6.5/CHANGES.txt
Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-biblioteki-lxml-cve-2021-43818/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TUIS2KE3HZ2AAQKXFLTJFZPP2IFHJTC7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/V2XMOM5PFT6U5AAXY6EFNT5JZCKKHK2V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WZGNET2A4WGLSUXLBFYKNC5PXHQMI3I7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZQ4SPKJX3RRJK4UWA6FXCRHD2TVRQI44/
Для Debian:
https://www.debian.org/security/2022/dsa-5043
https://lists.debian.org/debian-lts-announce/2021/12/msg00037.html
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-43818
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5225-1
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОСОН Основа:
Обновление программного обеспечения lxml до версии 4.3.2-1+deb10u4
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет lxml до 3.7.1-1+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения lxml до версии 3.7.1-1+deb9u5
Для ПК «ALD Pro»:
обновление программного обеспечения, применение оперативного обновления ПК «ALD Pro» 2.4.2, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)
| Балл | 8.5 — высокая опасность |