Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-06242

Опубликовано: 09 дек. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции soup_message_headers_get_content_disposition() библиотеки libsoup графического интерфейса GNOME связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированного POST-запроса

Вендор

Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Novell Inc.
АО «НТЦ ИТ РОСА»
ООО «РусБИТех-Астра»
GNOME Foundation
АО «СберТех»

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
Debian GNU/Linux
РЕД ОС
SUSE Linux Enterprise Server for SAP Applications
ROSA Virtualization
РОСА ХРОМ
SUSE Liberty Linux
Suse Linux Enterprise Server
Suse Linux Enterprise Desktop
OpenSUSE Leap
Astra Linux Special Edition
ROSA Virtualization 3.0
libsoup
Platform V SberLinux OS Server

Версия ПО

7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
8 (Red Hat Enterprise Linux)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
2.1 (ROSA Virtualization)
12.4 (РОСА ХРОМ)
9 (SUSE Liberty Linux)
8 (SUSE Liberty Linux)
15 SP4-LTSS (Suse Linux Enterprise Server)
15 SP6 (Suse Linux Enterprise Desktop)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
24.04 LTS (Ubuntu)
15.6 (OpenSUSE Leap)
1.8 (Astra Linux Special Edition)
24.10 (Ubuntu)
15 SP5-LTSS (Suse Linux Enterprise Server)
3.0 (ROSA Virtualization 3.0)
15 SP7 (Suse Linux Enterprise Desktop)
15 SP7 (Suse Linux Enterprise Server)
15 SP7 (SUSE Linux Enterprise Server for SAP Applications)
до 3.6.2 (libsoup)
25.04 (Ubuntu)
9.1 (Platform V SberLinux OS Server)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
Novell Inc. SUSE Liberty Linux 9
Novell Inc. SUSE Liberty Linux 8
Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS
Novell Inc. Suse Linux Enterprise Desktop 15 SP6
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Canonical Ltd. Ubuntu 24.04 LTS
Novell Inc. OpenSUSE Leap 15.6
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Canonical Ltd. Ubuntu 24.10
Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
Novell Inc. Suse Linux Enterprise Desktop 15 SP7
Novell Inc. Suse Linux Enterprise Server 15 SP7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7
Canonical Ltd. Ubuntu 25.04
АО «СберТех» Platform V SberLinux OS Server 9.1

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование «белого» списка IP-адресов для ограничения возможности эксплуатации уязвимости;
- использование средств межсетевого экранирования для фильтрации сетевого трафика;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
Для libsoup:
https://gitlab.gnome.org/GNOME/libsoup/-/issues/435
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2025-32913
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-32913
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-32913.html
Для Ubuntu:
https://ubuntu.com/security/CVE-2025-32913
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libsoup/?sphrase_id=957421
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2948
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2947
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2891
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2881
Для ОС Astra Linux:
- обновить пакет libsoup3 до 3.2.2-2.astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
- обновить пакет libsoup2.4 до 2.74.3-1+deb12u1.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 28%
0.001
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-32913

CVSS3: 7.5
ubuntu
5 месяцев назад

A flaw was found in libsoup, where the soup_message_headers_get_content_disposition() function is vulnerable to a NULL pointer dereference. This flaw allows a malicious HTTP peer to crash a libsoup client or server that uses this function.

redhat логотип

CVE-2025-32913

CVSS3: 7.5
redhat
5 месяцев назад

A flaw was found in libsoup, where the soup_message_headers_get_content_disposition() function is vulnerable to a NULL pointer dereference. This flaw allows a malicious HTTP peer to crash a libsoup client or server that uses this function.

nvd логотип

CVE-2025-32913

CVSS3: 7.5
nvd
5 месяцев назад

A flaw was found in libsoup, where the soup_message_headers_get_content_disposition() function is vulnerable to a NULL pointer dereference. This flaw allows a malicious HTTP peer to crash a libsoup client or server that uses this function.

msrc логотип

CVE-2025-32913

CVSS3: 7.5
msrc
5 месяцев назад

Описание отсутствует

debian логотип

CVE-2025-32913

CVSS3: 7.5
debian
5 месяцев назад

A flaw was found in libsoup, where the soup_message_headers_get_conten ...

EPSS

Процентиль: 28%
0.001
Низкий

7.5 High

CVSS3

7.8 High

CVSS2