Описание
Уязвимость функции xmlPatMatch() в файле pattern.c библиотеки libxml2 связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор
Red Hat Inc.
ООО «Ред Софт»
АО «ИВК»
АО "РАСУ"
Сообщество свободного программного обеспечения
Наименование ПО
JBoss Core Services
РЕД ОС
Альт 8 СП
АЛЬТ СП 10
УСШ (PBC-01R)
libxml2
Версия ПО
- (JBoss Core Services)
7.3 (РЕД ОС)
- (Альт 8 СП)
- (АЛЬТ СП 10)
2.0.1 (УСШ (PBC-01R))
до 2.12.10 (libxml2)
от 2.13.0 до 2.13.6 (libxml2)
Тип ПО
Прикладное ПО информационных систем
Операционная система
ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Linux -
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
АО «ИВК» АЛЬТ СП 10 -
Canonical Ltd. Ubuntu 24.04 LTS
Canonical Ltd. Ubuntu 24.10
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций производителя:
https://gitlab.gnome.org/GNOME/libxml2/-/issues/861
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/DLA-4064-1
https://security-tracker.debian.org/tracker/CVE-2025-27113
Для Ubuntu:
https://ubuntu.com/security/CVE-2025-27113
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-27113
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры:
- использование антивирусного программного обеспечения для предотвращения попыток эксплуатации уязвимости;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 15%
0.0005
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 2.9
ubuntu
4 месяца назад
libxml2 before 2.12.10 and 2.13.x before 2.13.6 has a NULL pointer dereference in xmlPatMatch in pattern.c.
CVSS3: 3.1
redhat
4 месяца назад
libxml2 before 2.12.10 and 2.13.x before 2.13.6 has a NULL pointer dereference in xmlPatMatch in pattern.c.
CVSS3: 2.9
nvd
4 месяца назад
libxml2 before 2.12.10 and 2.13.x before 2.13.6 has a NULL pointer dereference in xmlPatMatch in pattern.c.
EPSS
Процентиль: 15%
0.0005
Низкий
7.5 High
CVSS3
7.8 High
CVSS2