Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В Expat, библиотеке языка C для выполнения грамматического разбора XML, были
обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2016-9063
Густаво Грико обнаружил переполнение целых чисел, возникающее при выполнении грамматического
разбора XML. Злоумышленник может использовать эту уязвимость для вызова отказа в
обслуживании в приложении, использующем библиотеку Expat.
CVE-2017-9233
Родри Джеймс обнаружил бесконечный цикл в функции entityValueInitProcessor(),
возникающий при выполнении грамматического разбора XML во внешней сущности.
Злоумышленник может использовать эту уязвимости для вызова отказа
в обслуживании в приложении, использующем библиотеку
Expat.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 2.1.0-6+deb8u4.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 2.2.0-2+deb9u1. В стабильном выпуске (stretch) уязвимость
CVE-2016-9063 была
исправлена ещё до выпуска.
В тестируемом выпуске (buster) эти проблемы были исправлены
в версии 2.2.1-1 или более ранних.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 2.2.1-1 или более ранних.
Рекомендуется обновить пакеты expat.
обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2016-9063
Густаво Грико обнаружил переполнение целых чисел, возникающее при выполнении грамматического
разбора XML. Злоумышленник может использовать эту уязвимость для вызова отказа в
обслуживании в приложении, использующем библиотеку Expat.
CVE-2017-9233
Родри Джеймс обнаружил бесконечный цикл в функции entityValueInitProcessor(),
возникающий при выполнении грамматического разбора XML во внешней сущности.
Злоумышленник может использовать эту уязвимости для вызова отказа
в обслуживании в приложении, использующем библиотеку
Expat.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 2.1.0-6+deb8u4.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 2.2.0-2+deb9u1. В стабильном выпуске (stretch) уязвимость
CVE-2016-9063 была
исправлена ещё до выпуска.
В тестируемом выпуске (buster) эти проблемы были исправлены
в версии 2.2.1-1 или более ранних.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 2.2.1-1 или более ранних.
Рекомендуется обновить пакеты expat.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
expat - 2.2.0-2+deb9u1
lib64expat1 - 2.2.0-2+deb9u1
lib64expat1-dev - 2.2.0-2+deb9u1
libexpat1 - 2.2.0-2+deb9u1
libexpat1-dev - 2.2.0-2+deb9u1
Debian GNU/Linux 8:
noarch:
expat - 2.1.0-6+deb8u4
lib64expat1 - 2.1.0-6+deb8u4
lib64expat1-dev - 2.1.0-6+deb8u4
libexpat1 - 2.1.0-6+deb8u4
libexpat1-dev - 2.1.0-6+deb8u4
Debian GNU/Linux 9:
noarch:
expat - 2.2.0-2+deb9u1
lib64expat1 - 2.2.0-2+deb9u1
lib64expat1-dev - 2.2.0-2+deb9u1
libexpat1 - 2.2.0-2+deb9u1
libexpat1-dev - 2.2.0-2+deb9u1
Debian GNU/Linux 8:
noarch:
expat - 2.1.0-6+deb8u4
lib64expat1 - 2.1.0-6+deb8u4
lib64expat1-dev - 2.1.0-6+deb8u4
libexpat1 - 2.1.0-6+deb8u4
libexpat1-dev - 2.1.0-6+deb8u4
Ссылки
http://www.debian.org/security/dsa-3898/
Источник: CVE
Наименование: CVE-2017-9233
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9233
Источник: CVE
Наименование: CVE-2016-9063
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9063
Источник: CVE
Наименование: CVE-2017-9233
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9233
Источник: CVE
Наименование: CVE-2016-9063
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9063