ГлавнаяБаза уязвимостей БДУ → BDU:2024-00003
7.8высокая

BDU:2024-00003 (CVE-2023-34194)

Уязвимость функции TiXmlDeclaration::Parse() компонента tinyxmlparser.cpp XML-парсера TinyXML, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-01-02
Описание

Уязвимость функции TiXmlDeclaration::Parse() компонента tinyxmlparser.cpp XML-парсера TinyXML связана с использованием оператора assert() при обработке символа 0, расположенного после пробела. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)openSUSE TumbleweedРЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)Альт 8 СПAstra Linux Special Edition (4.7)SUSE Linux Enterprise Module for Package Hub (15 SP4)Astra Linux Common Edition (1.6 «Смоленск»)РОСА ХРОМ (12.4)SUSE Linux Enterprise Module for Package Hub (15 SP5)TinyXML (до 2.6.2 включительно)ОСОН ОСнова Оnyx (до 2.10)
Способ устранения

Использование рекомендаций:
В связи с окончанием жизненного цикла программного продукта TinyXML, производитель рекомендует перейти на TinyXML-2:
https://github.com/leethomason/tinyxml2

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-34194.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS);
- ограничение загрузки файлов из недостоверных источников.

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения tinyxml до версии 2.6.2-4+deb10u2

Для ОС Astra Linux:
обновить пакет tinyxml до 2.6.2-4+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет tinyxml до 2.6.2-4+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2546

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет tinyxml до 2.6.2-4+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://sourceforge.net/p/tinyxml/git/ci/master/tree/tinyxmlparser.cpphttps://www.forescout.com/resources/sierra21-vulnerabilitieshttps://www.suse.com/security/cve/CVE-2023-34194.htmlhttps://bugzilla.redhat.com/show_bug.cgi?id=2254376http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена