ГлавнаяБаза уязвимостей БДУ → BDU:2022-03033
7.1высокая

BDU:2022-03033 (CVE-2022-29824)

Уязвимость компонентов buf.c и tree.c библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Опубликовано: 2022-05-20
Описание

Уязвимость компонентов buf.c и tree.c библиотеки libxml2 связана с целочисленным переполнением при использовании типов xmlBuf и xmlBuffer. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код с помощью специально созданных XML-файлов

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Ubuntu (14.04 ESM)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ubuntu (20.04 LTS)Fedora (34)Ubuntu (16.04 ESM)Fedora (35)Ubuntu (21.10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Альт 8 СПFedora (36)libxml2 (до 2.9.14)libxslt (до 1.1.35 включительно)Ubuntu (22.04 LTS)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для libxml2:
https://gitlab.gnome.org/GNOME/libxml2/-/tags/v2.9.14
https://gitlab.gnome.org/GNOME/libxml2/-/commit/6c283d83eccd940bcde15634ac8c7f100e3caefd
https://gitlab.gnome.org/GNOME/libxslt/-/tags

Для libxslt :
https://gitlab.gnome.org/GNOME/libxslt/-/tags

Для Debian:
https://lists.debian.org/debian-lts-announce/2022/05/msg00023.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-29824

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5422-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FZOBT5Y6Y2QLDDX2HZGMV7MJMWGXORKK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P3NVZVWFRBXBI3AKZZWUWY6INQQPQVSF/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P5363EDV5VHZ5C77ODA43RYDCPMA7ARM/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Для ОСОН Основа:
Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-7+deb10u4

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libxml2 до 2.9.4+dfsg1-2.2+deb9u7+ci202211281307+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-2.2+deb9u7

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2356

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2022-29824https://gitlab.gnome.org/GNOME/libxml2/-/commit/2554a2408e09f13652049e5ffb0d26196b02ebabhttps://gitlab.gnome.org/GNOME/libxml2/-/commit/6c283d83eccd940bcde15634ac8c7f100e3caefdhttps://gitlab.gnome.org/GNOME/libxml2/-/tags/v2.9.14https://gitlab.gnome.org/GNOME/libxslt/-/tagsPhttps://lists.debian.org/debian-lts-announce/2022/05/msg00023.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FZOBT5Y6Y2QLDDX2HZGMV7MJMWGXORKK/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P3NVZVWFRBXBI3AKZZWUWY6INQQPQVSF/
Проверьте безопасность своего сайта и почты → Полная проверка домена