ГлавнаяБаза уязвимостей БДУ → BDU:2022-01003
9высокая

BDU:2022-01003 (CVE-2021-45960)

Уязвимость функции storeAtts() библиотеки Expat, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-02-28
Описание

Уязвимость функции storeAtts() библиотеки Expat связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)OnCommand Workflow AutomationAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Expat (до 2.4.3)Nessus (до 8.15.3)Nessus (от 10.0.0 до 10.1.1)NetApp SolidFireHCI Management NodeАльт 8 СПIBM Cloud Pak System (до 2.3.3.5)IBM QRadar SIEM (от 7.3 до 7.3.3 Fix Pack 12)IBM QRadar SIEM (от 7.4 до 7.4.3 Fix Pack 6)IBM QRadar SIEM (от 7.5 до 7.5.0 Update Pack 2)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.3)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Использование рекомендаций:
Для Expat:
https://github.com/libexpat/libexpat/issues/531
https://github.com/libexpat/libexpat/pull/534

Для Debian:
https://www.debian.org/security/2022/dsa-5073

Для продуктов Tenable Inc.:
https://www.tenable.com/security/tns-2022-05

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6612587
https://www.ibm.com/support/pages/node/6614725

Для продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20220121-0004/

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения expat до версии 2.2.6-2+deb10u3

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет expat до 2.2.0-2+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения expat до версии 2.2.0-2+deb9u5



Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2840

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2022/01/17/3https://bugzilla.mozilla.org/show_bug.cgi?id=1217609https://github.com/libexpat/libexpat/issues/531https://github.com/libexpat/libexpat/pull/534https://security.netapp.com/advisory/ntap-20220121-0004/https://www.debian.org/security/2022/dsa-5073https://www.tenable.com/security/tns-2022-05https://nvd.nist.gov/vuln/detail/CVE-2021-45960
Проверьте безопасность своего сайта и почты → Полная проверка домена