[TLP:CLEAR] Expat opravuje 3 zraniteľnosti
Expat, XML parser používaný vo veľkom množstve distribúcií (Debian, Ubuntu, Arch, Gentoo, CentOS atď. [7]) a softvéru (Firefox, Chromium, LibreOffice, Thunderbird, Unbound atď. [8]) verziou 2.6.3 opravuje 3 zraniteľnosti [1][3][5]. Z operačných systémov zatiaľ zraniteľnosti opravil Slackware [9], Gentoo vydal opravu pre najčastejšie používané architektúry [10] a Debian zatiaľ vydal opravu iba pre nestabilné a testovacie vydanie [11].
Neautentizovanému vzdialenému útočníkovi je použitím špeciálne vytvoreného vstupu umožnené spôsobiť DoS útok alebo neoprávnené vykonávanie kódu [1][2].
Zraniteľnosť sa nachádza v produkte Expat vo verziách <2.6.3.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-45490 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 29. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je použitím špeciálne vytvoreného vstupu umožnené spôsobiť DoS útok alebo neoprávnené vykonávanie kódu [3][4][5][6].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-45491 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-45492 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-190: Integer Overflow or Wraparound at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 29. 8. 2024.
Odkazy
- [1] https://nvd.nist.gov/vuln/detail/CVE-2024-45490
- [2] https://github.com/libexpat/libexpat/issues/887
- [3] https://nvd.nist.gov/vuln/detail/CVE-2024-45491
- [4] https://github.com/libexpat/libexpat/issues/888
- [5] https://nvd.nist.gov/vuln/detail/CVE-2024-45492
- [6] https://github.com/libexpat/libexpat/issues/889
- [7] https://libexpat.github.io/doc/packages/
- [8] https://libexpat.github.io/doc/users/
- [9] http://www.slackware.com/security/viewer.php?l=slackware-security&y=2024&m=slackware-security.351556
- [10] https://packages.gentoo.org/packages/dev-libs/expat
- [11] https://security-tracker.debian.org/tracker/source-package/expat