ГлавнаяБаза уязвимостей БДУ → BDU:2024-07376
10критическая

BDU:2024-07376 (CVE-2024-45492)

Уязвимость функции nextScaffoldPart() (xmlparse.c) библиотеки для анализа XML-файлов libexpat, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Опубликовано: 2024-09-23
Описание

Уязвимость функции nextScaffoldPart() (xmlparse.c) библиотеки для анализа XML-файлов libexpat связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Ubuntu (22.04 LTS)Fedora (39)ROSA Virtualization (2.1)АЛЬТ СП 10Ubuntu (24.04 LTS)libexpat (до 2.6.3)ROSA Virtualization 3.0 (3.0)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Использование рекомендаций:

Для llibexpat::
https://github.com/libexpat/libexpat/pull/892
https://github.com/libexpat/libexpat/commit/29ef43a0bab633b41e71dd6d900fff5f6b3ad5e4
https://github.com/libexpat/libexpat/issues/889

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-45492

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-45492

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2024-f652468298

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2797

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2840

Для ОС Аврора: https://cve.omp.ru/bb27514

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/libexpat/libexpat/issues/889https://github.com/libexpat/libexpat/pull/892https://redos.red-soft.ru/support/secure/https://bodhi.fedoraproject.org/updates/FEDORA-2024-f652468298https://security-tracker.debian.org/tracker/CVE-2024-45492https://ubuntu.com/security/CVE-2024-45492https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-expat-cve-2024-45491-cve-2024-45492/https://abf.rosa.ru/advisories/ROSA-SA-2025-2797
Проверьте безопасность своего сайта и почты → Полная проверка домена