Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-05008

Опубликовано: 10 апр. 2025
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции ReadParams реализации протокола FastCGI библиотеки fcgi2 (fcgi) связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки запросов, содержащих специально сформированные значения параметров nameLen или valueLen

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
Astra Linux Special Edition
fcgi2

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
1.8 (Astra Linux Special Edition)
до 2.4.5 (fcgi2)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF) для фильтрации сетевого трафика;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- ограничение доступа к устройству из внешних сетей (Интернет).
Использование рекомендаций:
https://github.com/FastCGI-Archives/fcgi2/releases/tag/2.4.5
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет libfcgi до 2.4.2-2.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для ОС Astra Linux:
обновить пакет libfcgi до 2.4.0-10.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux:
обновить пакет libfcgi до 2.4.0-10.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 21%
0.00067
Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20250515-09

CVSS3: 10
redos
6 месяцев назад

Уязвимость fcgi

ubuntu логотип

CVE-2025-23016

CVSS3: 9.3
ubuntu
10 месяцев назад

FastCGI fcgi2 (aka fcgi) 2.x through 2.4.4 has an integer overflow (and resultant heap-based buffer overflow) via crafted nameLen or valueLen values in data to the IPC socket. This occurs in ReadParams in fcgiapp.c.

nvd логотип

CVE-2025-23016

CVSS3: 9.3
nvd
10 месяцев назад

FastCGI fcgi2 (aka fcgi) 2.x through 2.4.4 has an integer overflow (and resultant heap-based buffer overflow) via crafted nameLen or valueLen values in data to the IPC socket. This occurs in ReadParams in fcgiapp.c.

msrc логотип

CVE-2025-23016

CVSS3: 9.3
msrc
7 месяцев назад

Описание отсутствует

debian логотип

CVE-2025-23016

CVSS3: 9.3
debian
10 месяцев назад

FastCGI fcgi2 (aka fcgi) 2.x through 2.4.4 has an integer overflow (an ...

EPSS

Процентиль: 21%
0.00067
Низкий

10 Critical

CVSS3

10 Critical

CVSS2