Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-07008

Опубликовано: 04 мар. 2025
Источник: fstec
CVSS3: 5.3
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость компонента ASE File Handler кроссплатформенной библиотеки импорта 3D-моделей Assimp (Open Asset Import Library) связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Red Hat Inc.
Alexander Gessler, Thomas Schulze, Kim Kulling

Наименование ПО

openSUSE Tumbleweed
Debian GNU/Linux
РЕД ОС
Red Hat Enterprise Linux
Open Asset Import Library (Assimp)

Версия ПО

- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
5.4.3 (Open Asset Import Library (Assimp))

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)
Средний уровень опасности (оценка CVSS 4.0 составляет 4,8)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Open Asset Import Library (Assimp):
https://github.com/assimp/assimp/issues/6024
https://github.com/assimp/assimp/issues/6024#issue-2877382033
https://github.com/assimp/assimp/pull/6051
https://github.com/tellypresence/assimp/commit/e8a6286542924e628e02749c4f5ac4f91fdae71b
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-3159
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-3159
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-3159.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 8%
0.00034
Низкий

5.3 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-3159

CVSS3: 5.3
ubuntu
4 месяца назад

A vulnerability, which was classified as critical, was found in Open Asset Import Library Assimp 5.4.3. This affects the function Assimp::ASE::Parser::ParseLV4MeshBonesVertices of the file code/AssetLib/ASE/ASEParser.cpp of the component ASE File Handler. The manipulation leads to heap-based buffer overflow. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. The identifier of the patch is e8a6286542924e628e02749c4f5ac4f91fdae71b. It is recommended to apply a patch to fix this issue.

redhat логотип

CVE-2025-3159

CVSS3: 5.3
redhat
4 месяца назад

A vulnerability, which was classified as critical, was found in Open Asset Import Library Assimp 5.4.3. This affects the function Assimp::ASE::Parser::ParseLV4MeshBonesVertices of the file code/AssetLib/ASE/ASEParser.cpp of the component ASE File Handler. The manipulation leads to heap-based buffer overflow. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. The identifier of the patch is e8a6286542924e628e02749c4f5ac4f91fdae71b. It is recommended to apply a patch to fix this issue.

nvd логотип

CVE-2025-3159

CVSS3: 5.3
nvd
4 месяца назад

A vulnerability, which was classified as critical, was found in Open Asset Import Library Assimp 5.4.3. This affects the function Assimp::ASE::Parser::ParseLV4MeshBonesVertices of the file code/AssetLib/ASE/ASEParser.cpp of the component ASE File Handler. The manipulation leads to heap-based buffer overflow. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. The identifier of the patch is e8a6286542924e628e02749c4f5ac4f91fdae71b. It is recommended to apply a patch to fix this issue.

debian логотип

CVE-2025-3159

CVSS3: 5.3
debian
4 месяца назад

A vulnerability, which was classified as critical, was found in Open A ...

github логотип

GHSA-8qp4-7g6w-2wp3

CVSS3: 5.3
github
4 месяца назад

A vulnerability, which was classified as critical, was found in Open Asset Import Library Assimp 5.4.3. This affects the function Assimp::ASE::Parser::ParseLV4MeshBonesVertices of the file code/AssetLib/ASE/ASEParser.cpp of the component ASE File Handler. The manipulation leads to heap-based buffer overflow. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. The identifier of the patch is e8a6286542924e628e02749c4f5ac4f91fdae71b. It is recommended to apply a patch to fix this issue.

EPSS

Процентиль: 8%
0.00034
Низкий

5.3 Medium

CVSS3

4.3 Medium

CVSS2