Уязвимость BDU:2019-00235

Идентификатор: BDU:2019-00235.
Наименование уязвимости: Уязвимость компонента xmlParsePEReference библиотеки для работы с XML и HTML файлами libxml2, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании.
Описание уязвимости: Уязвимость компонента xmlParsePEReference (parser.c) библиотеки для анализа XML-файлов libxml2 связана с недостаточным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании и с помощью специально сформированного файла
Уязвимое ПО: Прикладное ПО информационных систем libxml2 до 2.9.4 включительно |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 17.04.2017.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Использование рекомендаций:
https://android.googlesource.com/platform/external/libxml2/+/308396a55280f69ad4112d4f9892f4cbeff042aa
https://bugzilla.redhat.com/show_bug.cgi?id=1462203
https://gitlab.gnome.org/GNOME/libxml2/commit/90ccb58242866b0ba3edbef8fe44214a101c2b3e.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-7375.
Прочая информация: —
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/cve-2017-7375
https://vuldb.com/?id.113580
https://www.rapid7.com/db/vulnerabilities/debian-cve-2017-7375
https://www.suse.com/security/cve/CVE-2017-7375/
https://www.securityfocus.com/bid/98877
https://android.googlesource.com/platform/external/libxml2/+/308396a55280f69ad4112d4f9892f4cbeff042aa
https://bugzilla.redhat.com/show_bug.cgi?id=1462203
https://gitlab.gnome.org/GNOME/libxml2/commit/90ccb58242866b0ba3edbef8fe44214a101c2b3e
https://security.gentoo.org/glsa/201711-01
https://source.android.com/security/bulletin/2017-06-01
https://www.debian.org/security/2017/dsa-3952



