ГлавнаяБаза уязвимостей БДУ → BDU:2022-06701
8.5высокая

BDU:2022-06701 (CVE-2022-40303)

Уязвимость функции xmlParseNameComplex() библиотеки анализа XML-документов libxml2, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2022-11-11
Описание

Уязвимость функции xmlParseNameComplex() библиотеки анализа XML-документов libxml2 связана с целочисленным переполнением при обработке содержимого с параметром XML_PARSE_HUGE. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)JBoss Core ServicesAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Альт 8 СПFedora (36)Red Hat Enterprise Linux (9)Fedora (37)Astra Linux Special Edition (4.7)MacOS (до 13.0.1)iOS (до 16.1.1)iPadOS (до 16.1.1)libxml2 (от 2.9 до 2.10.3)ОСОН ОСнова Оnyx (до 2.6)ROSA Virtualization (2.1)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Использование рекомендаций:
Для libxml2:
https://gitlab.gnome.org/GNOME/libxml2/-/commit/c846986356fc149915a74972bf198abc266bc2c0
https://gitlab.gnome.org/GNOME/libxml2/-/issues/381

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-40303

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-40303

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-a6812b0224
https://bodhi.fedoraproject.org/updates/FEDORA-2022-aeafd24818

Для программных продуктов Apple Inc.:
https://support.apple.com/en-us/HT213504
https://support.apple.com/en-us/HT213505



Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-7+deb10u5

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libxml2 до 2.9.4+dfsg1-2.2+deb9u7+ci202211281307+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2356

Для ОС Astra Linux Special Edition 1.7:
обновить пакет libxml2 до 2.9.4+dfsg1-7+deb10u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://security-tracker.debian.org/tracker/CVE-2022-40303https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libxml2-cve-id-cve-2022-40304-cve-id-cve-2022-40303/https://gitlab.gnome.org/GNOME/libxml2/-/commit/c846986356fc149915a74972bf198abc266bc2c0https://access.redhat.com/security/cve/cve-2022-40303https://bodhi.fedoraproject.org/updates/FEDORA-2022-a6812b0224https://bodhi.fedoraproject.org/updates/FEDORA-2022-aeafd24818https://support.apple.com/en-us/HT213504https://support.apple.com/en-us/HT213505
Проверьте безопасность своего сайта и почты → Полная проверка домена