BDU:2024-07004
ООО «Ред Софт», АО «ИВК», Сообщество свободного программного обеспечения, АО «НТЦ ИТ РОСА», ООО «Рус АЛЬТ СП 10, Astra Linux Special Edition, Debian GNU/Linux, libexpat, ОС Аврора, ROSA Virtualization
2024-08-29
Уязвимость библиотеки для анализа XML-файлов libexpat связана с неправильным ограничением ссылки на внешнюю сущность XML. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для libexpat: https://github.com/libexpat/libexpat/pull/890
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-45490
Для ОС Astra Linux: обновить пакет expat до 2.2.6-2+deb10u7+ci202409111722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-1108SE17MD
Для ОС Astra Linux: обновить пакет expat до 2.5.0-1+ci202409111722+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для ОС Astra Linux: обновить пакет expat до 2.2.6-2+deb10u7+ci202409111722+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2928
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2797
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2840
Для ОС Аврора: https://cve.omp.ru/bb27514
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2928
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/