BDU:2025-05199

Опубликовано: 07 апр. 2025

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость компонента Python API библиотеки libxml2 связана с некорректной проверкой возвращаемого значения метода или функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»

ООО «РусБИТех-Астра»

АО «ИВК»

АО «НТЦ ИТ РОСА»

Сообщество свободного программного обеспечения

АО «СберТех»

Наименование ПО

РЕД ОС

Astra Linux Special Edition

Альт 8 СП

РОСА ХРОМ

АЛЬТ СП 10

ROSA Virtualization 3.0

libxml2

Platform V SberLinux OS Server

Версия ПО

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

- (Альт 8 СП)

12.4 (РОСА ХРОМ)

- (АЛЬТ СП 10)

1.8 (Astra Linux Special Edition)

3.0 (ROSA Virtualization 3.0)

до 2.13.8 (libxml2)

от 2.14.0 до 2.14.2 (libxml2)

9.1 (Platform V SberLinux OS Server)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

АО «ИВК» Альт 8 СП -

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО «ИВК» АЛЬТ СП 10 -

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

АО «СберТех» Platform V SberLinux OS Server 9.1

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для libxml2:

https://gitlab.gnome.org/GNOME/libxml2/-/issues/889

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2937

Для ОС Astra Linux:

обновить пакет libxml2 до 2.9.14+dfsg-1.3~deb12u1.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»:

https://abf.rosa.ru/advisories/ROSA-SA-2025-2962

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2937

Для ОС Astra Linux:

обновить пакет libxml2 до 2.9.4+dfsg1-7+deb10u9.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 10%

0.00037

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2025-32414

CVSS3: 5.6

ubuntu

7 месяцев назад

In libxml2 before 2.13.8 and 2.14.x before 2.14.2, out-of-bounds memory access can occur in the Python API (Python bindings) because of an incorrect return value. This occurs in xmlPythonFileRead and xmlPythonFileReadRaw because of a difference between bytes and characters.

CVE-2025-32414

CVSS3: 5.6

redhat

7 месяцев назад

CVE-2025-32414

CVSS3: 5.6

nvd

7 месяцев назад

CVE-2025-32414

CVSS3: 7.5

msrc

5 месяцев назад

Описание отсутствует

CVE-2025-32414

CVSS3: 5.6

debian

7 месяцев назад

In libxml2 before 2.13.8 and 2.14.x before 2.14.2, out-of-bounds memor ...

EPSS

Процентиль: 10%

0.00037

Низкий

7.5 High

CVSS3

7.8 High

CVSS2