ГлавнаяБаза уязвимостей БДУ → BDU:2022-01702
10критическая

BDU:2022-01702 (CVE-2022-23852)

Уязвимость библиотеки синтаксического анализатора XML libexpat, связанная с целочисленным переполнением, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-04-01
Описание

Уязвимость библиотеки синтаксического анализатора XML libexpat связанная с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью отправки специально созданных данных

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)OpenSUSE Leap (15.3)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Альт 8 СПlibexpat (от 2.0.0 до 2.4.3)IBM Cloud Pak System (до 2.3.3.5)IBM QRadar SIEM (от 7.3 до 7.3.3 Fix Pack 12)IBM QRadar SIEM (от 7.4 до 7.4.3 Fix Pack 6)IBM QRadar SIEM (от 7.5 до 7.5.0 Update Pack 2)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.3)ROSA Virtualization (2.1)АЛЬТ СП 10ОС ОН «Стрелец» (до 16.01.2023)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для libexpat:
https://github.com/libexpat/libexpat/pull/550

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23852.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-23852

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6612587
https://www.ibm.com/support/pages/node/6614725

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОСОН Основа:
Обновление программного обеспечения expat до версии 2.2.6-2+deb10u3
Для Astra Linux Special Edition 1.7 архитектуры x86-64:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет expat до 2.2.0-2+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения expat до версии 2.2.0-2+deb9u5



Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2840

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://nvd.nist.gov/vuln/detail/CVE-2022-23852https://github.com/libexpat/libexpat/pull/550https://www.suse.com/security/cve/CVE-2022-23852.htmlhttps://access.redhat.com/security/cve/CVE-2022-23852https://goslinux.fssp.gov.ru/2726972/https://www.ibm.com/support/pages/node/6612587https://www.ibm.com/support/pages/node/6614725
Проверьте безопасность своего сайта и почты → Полная проверка домена