BDU:2022-02823
IBM Corp., АО "НППКТ", Novell Inc., ООО «Ред Софт», James Clark, Canonical Ltd., Red Hat Inc., АО «И Red Hat Enterprise Linux, Debian GNU/Linux, Oracle Linux, ОС ОН «Стрелец», OpenSUSE Leap, ОСОН ОСнов
2022-01-10
Уязвимость функции addBinding() библиотеки Expat связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем передачи специально созданных данных
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для Expat: https://github.com/libexpat/libexpat/pull/539
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-22822
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-22822
Для Ubuntu: https://ubuntu.com/security/CVE-2022-22822 https://ubuntu.com/security/notices/USN-5288-1
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-22822.html
Для программных продуктов Oracle Corp.: https://linux.oracle.com/cve/CVE-2022-22822.html
Для IBM Corp.: https://www.ibm.com/blogs/psirt/security-bulletin-expat-vulnerabilities-affect-ibm-netezza-analytics/ https://www.ibm.com/support/pages/node/6612587 https://www.ibm.com/support/pages/node/6614725
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОСОН Основа: Обновление программного обеспечения expat до версии 2.2.6-2+deb10u3
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет expat до 2.2.0-2+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения expat до версии 2.2.0-2+deb9u5
Для Astra Linux Special Edition 4.7: - обновить пакет expat до 2.2.6-2+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47 - обновить пакет firefox до 102.0+build2-0ubuntu0.18.04.1+ci202207111653+astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47 - обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2777
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2840
Для ОС Аврора: https://cve.omp.ru/bb27514