ГлавнаяБаза уязвимостей БДУ → BDU:2023-05427
4.6средняя

BDU:2023-05427 (CVE-2023-38633)

Уязвимость механизма объединения XML-документов XInclude библиотеки отрисовки векторной графики librsvg, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2023-09-11
Описание

Уязвимость механизма объединения XML-документов XInclude библиотеки отрисовки векторной графики librsvg связана с неверным ограничением имени пути к каталогу с ограниченным доступом при обработке элемента xi:include. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Альт 8 СПUbuntu (22.04 LTS)Red Hat Enterprise Linux (9)Fedora (37)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (9.0 Extended Update Support)Fedora (38)Ubuntu (23.04)РОСА ХРОМ (12.4)librsvg (от 2.56.0 до 2.56.3)librsvg (от 2.55.0 до 2.55.3)librsvg (от 2.54.0 до 2.54.6)librsvg (от 2.52.0 до 2.52.10)librsvg (от 2.50.0 до 2.50.8)librsvg (от 2.48.0 до 2.48.11)librsvg (до 2.46.6)АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для librsvg:
https://gitlab.gnome.org/GNOME/librsvg/-/issues/996
https://gitlab.gnome.org/GNOME/librsvg/-/releases
https://gitlab.gnome.org/GNOME/librsvg/-/releases/2.56.3
https://gitlab.gnome.org/GNOME/librsvg/-/merge_requests/861

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-38633

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-38633

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/422NTIHIEBRASIG2DWXYBH4ADYMHY626/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/R5BCXT5GW6RCL45ZUHUZR4CJG2BAFDVC/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6266-1

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2276

Для ОС Astra Linux Special Edition 1.7:
обновить пакет librsvg до 2.50.3+dfsg-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения librsvg до версии 2.50.3+dfsg-1+deb11u1

Для Astra Linux Special Edition 4.7:
обновить пакет librsvg до 2.50.3+dfsg-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Оценка CVSS
Балл4.6 — средняя опасность
Источники и патчи
https://security-tracker.debian.org/tracker/CVE-2023-38633https://access.redhat.com/security/cve/cve-2023-38633http://seclists.org/fulldisclosure/2023/Jul/43http://www.openwall.com/lists/oss-security/2023/07/27/1http://www.openwall.com/lists/oss-security/2023/09/06/10https://bugzilla.suse.com/show_bug.cgi?id=1213502https://gitlab.gnome.org/GNOME/librsvg/-/issues/996https://gitlab.gnome.org/GNOME/librsvg/-/releases/2.56.3
Проверьте безопасность своего сайта и почты → Полная проверка домена