ГлавнаяБаза уязвимостей БДУ → BDU:2023-05105
7.8высокая

BDU:2023-05105 (CVE-2023-38197)

Уязвимость функции QXmlStreamReader кроссплатформенного фреймворка для разработки программного обеспечения Qt, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-04
Описание

Уязвимость функции QXmlStreamReader кроссплатформенного фреймворка для разработки программного обеспечения Qt связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Fedora (37)Astra Linux Special Edition (4.7)Fedora (38)РОСА ХРОМ (12.4)Qt (до 5.5.15)Kramer VIA (4.0.1.1328)Qt (от 6.0.0 до 6.2.10)Qt (от 6.3.0 до 6.5.3)ОСОН ОСнова Оnyx (до 2.9)ОСОН ОСнова Оnyx (до 2.11)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Компенсирующие меры для Kramer VIA:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для Qt:
https://codereview.qt-project.org/c/qt/qtbase/+/488960

Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/cve-2023-38197

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/08/msg00028.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F5C3NYVJ73ITE6HUOVVHBUAGORVEJRHO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XEGQ6DFTL2BEJMHCD5FJGI6XLWQI7UEA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XFZORZYCMUZZFIOEZICJ7VH2BZIGY3HV/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения qt4-x11 до версии 4:4.8.7+dfsg.repack-18+deb10u2.osnova1

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения qtbase-opensource-src до версии 5.11.3+dfsg1.repack-1+deb10u6.osnova1

Для ОС Astra Linux:
- обновить пакет qt4-x11 до 4:4.8.7+dfsg-20astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет qtbase-opensource-src до 5.15.2+dfsg-0astra53 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет qtbase-opensource-src до 5.11.0-0astra75 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет qt4-x11 до 4:4.8.7+dfsg-20astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет qtbase-opensource-src до 5.15.2+dfsg-0astra53 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-qt5/?sphrase_id=644294

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2677

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.qt.io/blog/security-advisory-qxmlstreamreader-1https://codereview.qt-project.org/c/qt/qtbase/+/488960https://lists.debian.org/debian-lts-announce/2023/08/msg00028.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F5C3NYVJ73ITE6HUOVVHBUAGORVEJRHO/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XEGQ6DFTL2BEJMHCD5FJGI6XLWQI7UEA/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XFZORZYCMUZZFIOEZICJ7VH2BZIGY3HV/https://access.redhat.com/security/cve/cve-2023-38197https://vuldb.com/ru/?id.234000
Проверьте безопасность своего сайта и почты → Полная проверка домена