BDU:2022-00756
Stefan Behnel, АО "НППКТ", ООО «Ред Софт», Canonical Ltd., Red Hat Inc., АО «ИВК», АО «Концерн ВНИИН Astra Linux Special Edition для «Эльбрус», Red Hat Enterprise Linux, Lxml, Fedora, Red Hat Update In
2021-12-12
Уязвимость реализации модуля Class Cleaner библиотеки для обработки разметки XML и HTML Lxml связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки с помощью специально созданных SVG-файлов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Lxml: https://github.com/lxml/lxml/commit/a3eacbc0dcf1de1c822ec29fb7d090a4b1712a9c#diff-59130575b4fb2932c957db2922977d7d89afb0b2085357db1a14615a2fcad776 https://github.com/advisories/GHSA-55x5-fj6c-h6m8 https://github.com/lxml/lxml/blob/lxml-4.6.5/CHANGES.txt
Для Ред ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-biblioteki-lxml-cve-2021-43818/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TUIS2KE3HZ2AAQKXFLTJFZPP2IFHJTC7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/V2XMOM5PFT6U5AAXY6EFNT5JZCKKHK2V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WZGNET2A4WGLSUXLBFYKNC5PXHQMI3I7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZQ4SPKJX3RRJK4UWA6FXCRHD2TVRQI44/
Для Debian: https://www.debian.org/security/2022/dsa-5043 https://lists.debian.org/debian-lts-announce/2021/12/msg00037.html
Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-43818
Для Ubuntu: https://ubuntu.com/security/notices/USN-5225-1
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОСОН Основа: Обновление программного обеспечения lxml до версии 4.3.2-1+deb10u4
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет lxml до 3.7.1-1+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения lxml до версии 3.7.1-1+deb9u5
Для ПК «ALD Pro»: обновление программного обеспечения, применение оперативного обновления ПК «ALD Pro» 2.4.2, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)