ГлавнаяБаза уязвимостей БДУ → BDU:2023-03830
7.8высокая

BDU:2023-03830 (CVE-2021-31347)

Уязвимость функции ezxml_parse_str библиотеки для синтаксического анализа XML-документов ezXML, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-07-20
Описание

Уязвимость функции ezxml_parse_str библиотеки для синтаксического анализа XML-документов ezXML связана с внедрением xml (blind xpath injection). Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного XML файла

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)PnetCDF (до 4.9.0)NetCDF (до 4.9.0)Scilab (до 6.1.1 включительно)
Способ устранения

Для PnetCDF:
использование рекомендаций производителя: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=989361

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-31347

Для NetCDF:
использование рекомендаций производителя: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=989360

Для Scilab:
Данные уточняются

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=989360https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=989361https://lists.debian.org/debian-lts-announce/2021/07/msg00005.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2021-31347https://security-tracker.debian.org/tracker/CVE-2021-31347https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47https://sourceforge.net/p/ezxml/bugs/27/
Проверьте безопасность своего сайта и почты → Полная проверка домена