BDU:2025-05199

Опубликовано: 07 апр. 2025

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость компонента Python API библиотеки libxml2 связана с некорректной проверкой возвращаемого значения метода или функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»

ООО «РусБИТех-Астра»

АО «ИВК»

АО «НТЦ ИТ РОСА»

Сообщество свободного программного обеспечения

АО «СберТех»

АО "НППКТ"

ООО «НЦПР»

Наименование ПО

РЕД ОС

Astra Linux Special Edition

Альт 8 СП

Astra Linux Common Edition

РОСА ХРОМ

АЛЬТ СП 10

ROSA Virtualization 3.0

libxml2

Platform V SberLinux OS Server

ОСОН ОСнова Оnyx

МСВСфера

Версия ПО

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

- (Альт 8 СП)

1.6 «Смоленск» (Astra Linux Common Edition)

12.4 (РОСА ХРОМ)

- (АЛЬТ СП 10)

1.8 (Astra Linux Special Edition)

3.0 (ROSA Virtualization 3.0)

до 2.13.8 (libxml2)

от 2.14.0 до 2.14.2 (libxml2)

9.1 (Platform V SberLinux OS Server)

до 2.14 (ОСОН ОСнова Оnyx)

9.5 (МСВСфера)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО «ИВК» Альт 8 СП -

ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО «ИВК» АЛЬТ СП 10 -

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

АО «СберТех» Platform V SberLinux OS Server 9.1

АО "НППКТ" ОСОН ОСнова Оnyx до 2.14

ООО «НЦПР» МСВСфера 9.5

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для libxml2:

https://gitlab.gnome.org/GNOME/libxml2/-/issues/889

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2937

Для ОС Astra Linux:

обновить пакет libxml2 до 2.9.14+dfsg-1.3~deb12u1.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»:

https://abf.rosa.ru/advisories/ROSA-SA-2025-2962

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2937

Для ОС Astra Linux:

обновить пакет libxml2 до 2.9.4+dfsg1-7+deb10u9.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Обновление программного обеспечения libxml2 до версии 2.9.10+dfsg-6.7+deb11u8.osnova2u1

Для ОС Astra Linux:

обновить пакет libxml2 до 2.9.4+dfsg1-7+deb10u9.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:13428?lang=ru

Для ОС Astra Linux:

обновить пакет libxml2 до 2.9.4+dfsg1-2.2+deb9u14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 39%

0.00178

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2025-32414

CVSS3: 5.6

ubuntu

10 месяцев назад

In libxml2 before 2.13.8 and 2.14.x before 2.14.2, out-of-bounds memory access can occur in the Python API (Python bindings) because of an incorrect return value. This occurs in xmlPythonFileRead and xmlPythonFileReadRaw because of a difference between bytes and characters.

CVE-2025-32414

CVSS3: 5.6

redhat

10 месяцев назад

CVE-2025-32414

CVSS3: 5.6

nvd

10 месяцев назад

CVE-2025-32414

CVSS3: 7.5

msrc

9 месяцев назад

Описание отсутствует

CVE-2025-32414

CVSS3: 5.6

debian

10 месяцев назад

In libxml2 before 2.13.8 and 2.14.x before 2.14.2, out-of-bounds memor ...

EPSS

Процентиль: 39%

0.00178

Низкий

7.5 High

CVSS3

7.8 High

CVSS2