ГлавнаяБаза уязвимостей БДУ → BDU:2023-09121
7.8высокая

BDU:2023-09121 (CVE-2023-37369)

Уязвимость функции fastScanName() класса QXmlStreamReader кроссплатформенного фреймворка для разработки программного обеспечения Qt, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-12-26
Описание

Уязвимость функции fastScanName() класса QXmlStreamReader кроссплатформенного фреймворка для разработки программного обеспечения Qt связана с выходом операции за границы буфера в памяти при обработке XML-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)OpenSUSE Leap (15.5)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Fedora (37)Astra Linux Special Edition (4.7)Fedora (38)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Real Time (15 SP5)Qt (от 6.0.0 до 6.2.9)РОСА ХРОМ (12.4)Qt (до 5.15.15)Qt (от 6.3.0 до 6.5.2)Desktop Applications Module (15-SP5)Basesystem Module (15-SP5)ОСОН ОСнова Оnyx (до 2.9)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Использование рекомендаций:
Для Qt:
https://codereview.qt-project.org/c/qt/qtbase/+/455027
https://www.qt.io/blog/security-advisory-qxmlstreamreader
https://codereview.qt-project.org/c/qt/qtbase/+/488206
https://bugreports.qt.io/browse/QTBUG-114829

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-37369

Для программных продуктов Novell Inc.:
https://www.suse.com/support/update/announcement/2023/suse-su-20234951-1/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/08/msg00028.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/O3JR3N3IF5MUSETGYE46OZFOGGPY3VZT/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SZK7EDD4ILPPSQAYO54FANUC4NFYLTHU/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения qt4-x11 до версии 4:4.8.7+dfsg.repack-18+deb10u2.osnova1

Для ОС Astra Linux:
- обновить пакет qt4-x11 до 4:4.8.7+dfsg-20astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет qtbase-opensource-src до 5.15.2+dfsg-0astra53 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет qt4-x11 до 4:4.8.7+dfsg-11astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет qtbase-opensource-src до 5.11.0-0astra75 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет qt4-x11 до 4:4.8.7+dfsg-20astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет qtbase-opensource-src до 5.15.2+dfsg-0astra53 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-qt5/?sphrase_id=644294

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2677

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2023-37369https://codereview.qt-project.org/c/qt/qtbase/+/455027https://www.qt.io/blog/security-advisory-qxmlstreamreaderhttps://codereview.qt-project.org/c/qt/qtbase/+/488206https://bugzilla.redhat.com/show_bug.cgi?id=2232173https://lists.debian.org/debian-lts-announce/2023/08/msg00028.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/O3JR3N3IF5MUSETGYE46OZFOGGPY3VZT/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SZK7EDD4ILPPSQAYO54FANUC4NFYLTHU/
Проверьте безопасность своего сайта и почты → Полная проверка домена