BDU:2019-00518
АО "НППКТ", ООО «Ред Софт», Canonical Ltd., АО «Концерн ВНИИНС», Сообщество свободного программного Astra Linux Special Edition для «Эльбрус», Astra Linux Common Edition, libxml2, SIMATIC S7-1500 CPU
2018-06-18
Уязвимость функции xpath.c:xmlXPathCompOpEval() библиотеки libxml2 связана с разыменованием нулевого указателя. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Обновление ядра Linux до версии выше 4.17.3:
Для libxml2: Обновление программного обеспечения до 2.9.1+dfsg1-5+deb8u7 или более поздней версии
Для Ubuntu: https://usn.ubuntu.com/3739-1/ https://usn.ubuntu.com/3739-2/
Для РЕД ОС: Обновление операционной системы до версии 7.2
Компенсирующие меры для SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP:
Следовать рекомендациям производителя:
https://www.siemens.com/cert/operational-guidelines-industrial-security
Использование приложений только из надежных источников
Для Debian: https://security-tracker.debian.org/tracker/CVE-2018-14404
Для Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОСОН Основа: Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-7+deb10u2
Для ОС ОН «Стрелец»: Обновление программного обеспечения libxml2 до версии 2.9.4+dfsg1-2.2+deb9u7