ГлавнаяБаза уязвимостей БДУ → BDU:2022-00756
8.5высокая

BDU:2022-00756 (CVE-2021-43818)

Уязвимость реализации модуля Class Cleaner библиотеки для обработки разметки XML и HTML Lxml, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
Опубликовано: 2022-02-16
Описание

Уязвимость реализации модуля Class Cleaner библиотеки для обработки разметки XML и HTML Lxml связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки с помощью специально созданных SVG-файлов

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Ubuntu (14.04 ESM)Red Hat Satellite (6.0)Debian GNU/Linux (10)Red Hat Software CollectionsAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ubuntu (20.04 LTS)Ansible Tower (3)Ubuntu (21.04)Fedora (34)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Fedora (35)Ubuntu (21.10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Ansible Automation Platform (1.2)Lxml (до 4.6.5)Red Hat Update Infrastructure for Cloud Providers (3)Ansible Automation Platform (2.0)Альт 8 СПAstra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.2)ОС ОН «Стрелец» (до 16.01.2023)ПК "ALD Pro" (до 2.4.2)
Способ устранения

Использование рекомендаций:
Для Lxml:
https://github.com/lxml/lxml/commit/a3eacbc0dcf1de1c822ec29fb7d090a4b1712a9c#diff-59130575b4fb2932c957db2922977d7d89afb0b2085357db1a14615a2fcad776
https://github.com/advisories/GHSA-55x5-fj6c-h6m8
https://github.com/lxml/lxml/blob/lxml-4.6.5/CHANGES.txt

Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-biblioteki-lxml-cve-2021-43818/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TUIS2KE3HZ2AAQKXFLTJFZPP2IFHJTC7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/V2XMOM5PFT6U5AAXY6EFNT5JZCKKHK2V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WZGNET2A4WGLSUXLBFYKNC5PXHQMI3I7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZQ4SPKJX3RRJK4UWA6FXCRHD2TVRQI44/

Для Debian:
https://www.debian.org/security/2022/dsa-5043
https://lists.debian.org/debian-lts-announce/2021/12/msg00037.html

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-43818

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5225-1

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОСОН Основа:
Обновление программного обеспечения lxml до версии 4.3.2-1+deb10u4

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет lxml до 3.7.1-1+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения lxml до версии 3.7.1-1+deb9u5

Для ПК «ALD Pro»:
обновление программного обеспечения, применение оперативного обновления ПК «ALD Pro» 2.4.2, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://github.com/lxml/lxml/commit/12fa9669007180a7bb87d990c375cf91ca5b664ahttps://github.com/lxml/lxml/commit/a3eacbc0dcf1de1c822ec29fb7d090a4b1712a9c#diff-59130575b4fb2932c957db2922977d7d89afb0b2085357db1a14615a2fcad776https://github.com/lxml/lxml/commit/f2330237440df7e8f39c3ad1b1aa8852be3b27c0https://github.com/lxml/lxml/security/advisories/GHSA-55x5-fj6c-h6m8https://lists.debian.org/debian-lts-announce/2021/12/msg00037.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TUIS2KE3HZ2AAQKXFLTJFZPP2IFHJTC7/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/V2XMOM5PFT6U5AAXY6EFNT5JZCKKHK2V/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WZGNET2A4WGLSUXLBFYKNC5PXHQMI3I7/
Проверьте безопасность своего сайта и почты → Полная проверка домена