ГлавнаяБаза уязвимостей БДУ → BDU:2023-03877
7.8высокая

BDU:2023-03877 (CVE-2019-20005)

Уязвимость функции ezxml_decode библиотеки для синтаксического анализа XML-документов ezXML, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-07-20
Описание

Уязвимость функции ezxml_decode библиотеки для синтаксического анализа XML-документов ezXML связана с чтением за допустимыми границами буфера данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного XML файла

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)PnetCDF (до 4.9.0)NetCDF (до 4.9.0)Scilab (до 6.1.1 включительно)mapcache (до 1.6.1-3 включительно)EzXML (от 0.8.3 до 0.8.6 включительно)mapcache (до 1.10.0-2 включительно)mapcache (до 1.14.0-1 включительно)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Для ezXML:
https://sourceforge.net/p/ezxml/bugs/14/

Для PnetCDF:
использование рекомендаций производителя: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=989361

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-20005

Для NetCDF:
использование рекомендаций производителя: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=989360

Для Scilab:
использование рекомендаций производителя: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=989364

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=989360https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=989361https://ezxml.sourceforge.net/https://nvd.nist.gov/vuln/detail/CVE-2019-20005https://security-tracker.debian.org/tracker/CVE-2019-20005https://sourceforge.net/p/ezxml/bugs/14/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MDhttps://bugs.debian.org/cgi-bin/bugreport.cgi?bug=989364
Проверьте безопасность своего сайта и почты → Полная проверка домена