ГлавнаяБаза уязвимостей БДУ → BDU:2022-01052
9.3высокая

BDU:2022-01052 (CVE-2021-46143)

Уязвимость функции doProlog (xmlparse.c) библиотеки Expat, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2022-03-04
Описание

Уязвимость функции doProlog файла xmlparse.c библиотеки Expat связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)OpenSUSE Leap (15.3)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Expat (до 2.4.3)Альт 8 СПIBM Cloud Pak System (до 2.3.3.5)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.3)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Использование рекомендаций:
Для библиотеки Expat:
Обновление программного обеспечения до версии 2.4.3 и выше

Для программных продуктов Novell Inc:
https://www.suse.com/security/cve/CVE-2021-46143.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-46143

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-46143

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6612587

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения expat до версии 2.2.6-2+deb10u3

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет expat до 2.2.0-2+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения expat до версии 2.2.0-2+deb9u5



Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2777

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2840

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2022/01/17/3https://github.com/libexpat/libexpat/issues/532https://github.com/libexpat/libexpat/pull/538https://security.netapp.com/advisory/ntap-20220121-0006/https://www.tenable.com/security/tns-2022-05https://security-tracker.debian.org/tracker/CVE-2021-46143https://access.redhat.com/security/cve/cve-2021-46143https://www.suse.com/security/cve/CVE-2021-46143.html
Проверьте безопасность своего сайта и почты → Полная проверка домена