ГлавнаяБаза уязвимостей БДУ → BDU:2022-06700
8.5высокая

BDU:2022-06700 (CVE-2022-40304)

Уязвимость функции очистки объекта XML библиотеки анализа XML-документов libxml2, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-11-11
Описание

Уязвимость функции очистки объекта XML библиотеки анализа XML-документов libxml2 связана с двойным освобождением памяти при обработке объектов структуры dict, значение первого байта которых равно нулю. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)JBoss Core ServicesAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Альт 8 СПFedora (36)Red Hat Enterprise Linux (9)Fedora (37)Astra Linux Special Edition (4.7)libxml2 (от 2.0.0 до 2.10.3)MacOS (до 13.0.1)iOS (до 16.1.1)iPadOS (до 16.1.1)ОСОН ОСнова Оnyx (до 2.6)ROSA Virtualization (2.1)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Использование рекомендаций:
Для libxml2:
https://gitlab.gnome.org/GNOME/libxml2/-/commit/1b41ec4e9433b05bb0376be4725804c54ef1d80b

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-40304

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-40304

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-a6812b0224
https://bodhi.fedoraproject.org/updates/FEDORA-2022-aeafd24818

Для программных продуктов Apple Inc.:
https://support.apple.com/en-us/HT213504
https://support.apple.com/en-us/HT213505



Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-7+deb10u5

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libxml2 до 2.9.4+dfsg1-2.2+deb9u7+ci202211281307+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2356

Для ОС Astra Linux Special Edition 1.7:
обновить пакет libxml2 до 2.9.4+dfsg1-7+deb10u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2022-40304https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libxml2-cve-id-cve-2022-40304-cve-id-cve-2022-40303/https://gitlab.gnome.org/GNOME/libxml2/-/commit/1b41ec4e9433b05bb0376be4725804c54ef1d80bhttps://security-tracker.debian.org/tracker/CVE-2022-40304https://bodhi.fedoraproject.org/updates/FEDORA-2022-a6812b0224https://bodhi.fedoraproject.org/updates/FEDORA-2022-aeafd24818https://support.apple.com/en-us/HT213504https://support.apple.com/en-us/HT213505
Проверьте безопасность своего сайта и почты → Полная проверка домена