ГлавнаяБаза уязвимостей БДУ → BDU:2022-02823
10критическая

BDU:2022-02823 (CVE-2022-22822)

Уязвимость функции addBinding() библиотеки Expat, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-05-11
Описание

Уязвимость функции addBinding() библиотеки Expat связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем передачи специально созданных данных

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Oracle Linux (7)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Ubuntu (14.04 ESM)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Suse Linux Enterprise Server (12 SP3-ESPOS)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Suse Linux Enterprise Server (15-LTSS)Ubuntu (20.04 LTS)Suse Linux Enterprise Server (12 SP4 LTSS)Suse Linux Enterprise Server (12 SP4-ESPOS)Oracle Linux (8)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)Ubuntu (16.04 ESM)OpenSUSE Leap (15.3)Debian GNU/Linux (11)
Способ устранения

Использование рекомендаций:

Для Expat:
https://github.com/libexpat/libexpat/pull/539

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-22822

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-22822

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-22822
https://ubuntu.com/security/notices/USN-5288-1

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-22822.html

Для программных продуктов Oracle Corp.:
https://linux.oracle.com/cve/CVE-2022-22822.html

Для IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-expat-vulnerabilities-affect-ibm-netezza-analytics/
https://www.ibm.com/support/pages/node/6612587
https://www.ibm.com/support/pages/node/6614725

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОСОН Основа:
Обновление программного обеспечения expat до версии 2.2.6-2+deb10u3

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет expat до 2.2.0-2+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения expat до версии 2.2.0-2+deb9u5



Для Astra Linux Special Edition 4.7:
- обновить пакет expat до 2.2.6-2+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет firefox до 102.0+build2-0ubuntu0.18.04.1+ci202207111653+astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2777

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2840

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.cybersecurity-help.cz/vdb/SB2022032446https://www.openwall.com/lists/oss-security/2022/01/17/3https://vuldb.com/?id.189952https://github.com/libexpat/libexpat/pull/539https://security-tracker.debian.org/tracker/CVE-2022-22822https://access.redhat.com/security/cve/cve-2022-22822https://ubuntu.com/security/CVE-2022-22822https://ubuntu.com/security/notices/USN-5288-1
Проверьте безопасность своего сайта и почты → Полная проверка домена