Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-07020

Опубликовано: 27 мар. 2025
Источник: fstec
CVSS3: 6.6
CVSS2: 5.7
EPSS Низкий

Описание

Уязвимость функции RecordSanityCheckRegisterClients() сервера X Window System Xorg-server связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.
ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»
X.Org Foundation
Сообщество свободного программного обеспечения
АО "НППКТ"
ООО «НЦПР»

Наименование ПО

Red Hat Enterprise Linux
Astra Linux Special Edition
РОСА ХРОМ
Xorg-server
XWayland
ОСОН ОСнова Оnyx
МСВСфера

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
4.7 (Astra Linux Special Edition)
9 (Red Hat Enterprise Linux)
12.4 (РОСА ХРОМ)
1.8 (Astra Linux Special Edition)
10 (Red Hat Enterprise Linux)
до 21.1.17 (Xorg-server)
до 24.1.7 (XWayland)
до 2.14 (ОСОН ОСнова Оnyx)
9.5 (МСВСфера)

Тип ПО

Операционная система
Сетевое средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Red Hat Inc. Red Hat Enterprise Linux 9
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Red Hat Inc. Red Hat Enterprise Linux 10
АО "НППКТ" ОСОН ОСнова Оnyx до 2.14
ООО «НЦПР» МСВСфера 9.5

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,7)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для xorg-server:
https://gitlab.freedesktop.org/xorg/xserver/-/commit/2bde9ca4
https://gitlab.freedesktop.org/xorg/xserver/-/commit/97f79ca01b6182e0ee987748fcdcbe276c84e0c9
Для xwayland:
https://lists.x.org/archives/xorg-announce/2025-June/003610.html
https://gitlab.freedesktop.org/xorg/xserver/-/commit/2c5e87e3dfecbd60bcad5b74cad2cdcf0a992b57
Для продуктов Red Hat Inc.:
Компенсирующие меры:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2951
Для ОС Astra Linux:
- обновить пакет xwayland до 2:23.2.6-1ubuntu0.4.astra.se2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
- обновить пакет xorg-server до 2:21.1.7-1ubuntu4.astra.se48 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2951
Обновление программного обеспечения xorg-server до версии 2:1.20.11-1+deb11u16.osnova2u1
Для ОС Astra Linux:
- обновить пакет xwayland до 2:23.2.6-1ubuntu0.4.astra.se2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет xorg-server до 2:21.1.7-1ubuntu4.astra.se48 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:9303?lang=ru

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 7%
0.00028
Низкий

6.6 Medium

CVSS3

5.7 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-49179

CVSS3: 7.3
ubuntu
6 месяцев назад

A flaw was found in the X Record extension. The RecordSanityCheckRegisterClients function does not check for an integer overflow when computing request length, which allows a client to bypass length checks.

redhat логотип

CVE-2025-49179

CVSS3: 7.3
redhat
6 месяцев назад

A flaw was found in the X Record extension. The RecordSanityCheckRegisterClients function does not check for an integer overflow when computing request length, which allows a client to bypass length checks.

nvd логотип

CVE-2025-49179

CVSS3: 7.3
nvd
6 месяцев назад

A flaw was found in the X Record extension. The RecordSanityCheckRegisterClients function does not check for an integer overflow when computing request length, which allows a client to bypass length checks.

msrc логотип

CVE-2025-49179

CVSS3: 6.6
msrc
7 дней назад

Xorg-x11-server-xwayland: xorg-x11-server: tigervnc: integer overflow in x record extension

debian логотип

CVE-2025-49179

CVSS3: 7.3
debian
6 месяцев назад

A flaw was found in the X Record extension. The RecordSanityCheckRegis ...

EPSS

Процентиль: 7%
0.00028
Низкий

6.6 Medium

CVSS3

5.7 Medium

CVSS2