Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03866

Опубликовано: 31 мар. 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции lzma_stream_decoder_mt() библиотеки liblzma пакета для сжатия данных XZ Utils связана с преждевременным высвобождением ресурсов в результате разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
XZ Utils
ОСОН ОСнова Оnyx

Версия ПО

1.8 (Astra Linux Special Edition)
от 5.3.3alpha до 5.4 (XZ Utils)
до 5.6 (XZ Utils)
до 5.8.1 (XZ Utils)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,7)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному средству;
- сегментирование сети для ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- использование средств резервного копирования для обеспечения возможности восстановления системы после сбоя;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций:
https://github.com/tukaani-project/xz/security/advisories/GHSA-6cc8-p5mm-29w2
Обновление программного обеспечения xz-utils до версии 5.4.1-1
Для ОС Astra Linux:
обновить пакет xz-utils до 5.8.1-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 40%
0.0018
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-31115

ubuntu
7 месяцев назад

XZ Utils provide a general-purpose data-compression library plus command-line tools. In XZ Utils 5.3.3alpha to 5.8.0, the multithreaded .xz decoder in liblzma has a bug where invalid input can at least result in a crash. The effects include heap use after free and writing to an address based on the null pointer plus an offset. Applications and libraries that use the lzma_stream_decoder_mt function are affected. The bug has been fixed in XZ Utils 5.8.1, and the fix has been committed to the v5.4, v5.6, v5.8, and master branches in the xz Git repository. No new release packages will be made from the old stable branches, but a standalone patch is available that applies to all affected releases.

redhat логотип

CVE-2025-31115

CVSS3: 7.5
redhat
7 месяцев назад

XZ Utils provide a general-purpose data-compression library plus command-line tools. In XZ Utils 5.3.3alpha to 5.8.0, the multithreaded .xz decoder in liblzma has a bug where invalid input can at least result in a crash. The effects include heap use after free and writing to an address based on the null pointer plus an offset. Applications and libraries that use the lzma_stream_decoder_mt function are affected. The bug has been fixed in XZ Utils 5.8.1, and the fix has been committed to the v5.4, v5.6, v5.8, and master branches in the xz Git repository. No new release packages will be made from the old stable branches, but a standalone patch is available that applies to all affected releases.

nvd логотип

CVE-2025-31115

nvd
7 месяцев назад

XZ Utils provide a general-purpose data-compression library plus command-line tools. In XZ Utils 5.3.3alpha to 5.8.0, the multithreaded .xz decoder in liblzma has a bug where invalid input can at least result in a crash. The effects include heap use after free and writing to an address based on the null pointer plus an offset. Applications and libraries that use the lzma_stream_decoder_mt function are affected. The bug has been fixed in XZ Utils 5.8.1, and the fix has been committed to the v5.4, v5.6, v5.8, and master branches in the xz Git repository. No new release packages will be made from the old stable branches, but a standalone patch is available that applies to all affected releases.

msrc логотип

CVE-2025-31115

msrc
7 месяцев назад

XZ has a heap-use-after-free bug in threaded .xz decoder

debian логотип

CVE-2025-31115

debian
7 месяцев назад

XZ Utils provide a general-purpose data-compression library plus comma ...

EPSS

Процентиль: 40%
0.0018
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Уязвимость BDU:2025-03866