ГлавнаяБаза уязвимостей БДУ → BDU:2024-07004
10критическая

BDU:2024-07004 (CVE-2024-45490)

Уязвимость библиотеки для анализа XML-файлов libexpat, связанная с неправильным ограничением ссылки на внешнюю сущность XML, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-09-13
Описание

Уязвимость библиотеки для анализа XML-файлов libexpat связана с неправильным ограничением ссылки на внешнюю сущность XML. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)АЛЬТ СП 10Astra Linux Special Edition (1.8)libexpat (до 2.6.3)ROSA Virtualization 3.0 (3.0)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Для libexpat: https://github.com/libexpat/libexpat/pull/890

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-45490

Для ОС Astra Linux:
обновить пакет expat до 2.2.6-2+deb10u7+ci202409111722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-1108SE17MD

Для ОС Astra Linux:
обновить пакет expat до 2.5.0-1+ci202409111722+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Astra Linux:
обновить пакет expat до 2.2.6-2+deb10u7+ci202409111722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2928

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2797

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2840

Для ОС Аврора: https://cve.omp.ru/bb27514

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2928

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/libexpat/libexpat/pull/890https://redos.red-soft.ru/support/secure/https://security-tracker.debian.org/tracker/CVE-2024-45490https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-1108SE17MDhttps://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47https://abf.rosa.ru/advisories/ROSA-SA-2025-2928https://abf.rosa.ru/advisories/ROSA-SA-2025-2797
Проверьте безопасность своего сайта и почты → Полная проверка домена