BDU:2025-07022

Опубликовано: 27 мар. 2025

Источник: fstec

CVSS3: 6.1

CVSS2: 5.2

EPSS Низкий

Описание

Уязвимость функции RRChangeProviderProperty() сервера X Window System Xorg-server связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.

АО «НТЦ ИТ РОСА»

АО «ИВК»

ООО «РусБИТех-Астра»

X.Org Foundation

Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux

РОСА ХРОМ

АЛЬТ СП 10

Astra Linux Special Edition

Xorg-server

XWayland

Версия ПО

6 (Red Hat Enterprise Linux)

7 (Red Hat Enterprise Linux)

8 (Red Hat Enterprise Linux)

9 (Red Hat Enterprise Linux)

12.4 (РОСА ХРОМ)

- (АЛЬТ СП 10)

1.8 (Astra Linux Special Edition)

10 (Red Hat Enterprise Linux)

до 21.1.17 (Xorg-server)

до 24.1.7 (XWayland)

Тип ПО

Операционная система

Сетевое средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6

Red Hat Inc. Red Hat Enterprise Linux 7

Red Hat Inc. Red Hat Enterprise Linux 8

Red Hat Inc. Red Hat Enterprise Linux 9

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО «ИВК» АЛЬТ СП 10 -

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Red Hat Inc. Red Hat Enterprise Linux 10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,2)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для xorg-server:

https://gitlab.freedesktop.org/xorg/xserver/-/commit/0235121c

https://gitlab.freedesktop.org/xorg/xserver/-/commit/3c3a4b76

https://gitlab.freedesktop.org/xorg/xserver/-/commit/97f79ca01b6182e0ee987748fcdcbe276c84e0c9

Для xwayland:

https://lists.x.org/archives/xorg-announce/2025-June/003610.html

https://gitlab.freedesktop.org/xorg/xserver/-/commit/2c5e87e3dfecbd60bcad5b74cad2cdcf0a992b57

Для продуктов Red Hat Inc.:

Компенсирующие меры:

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2951

Для ОС Astra Linux:

- обновить пакет xwayland до 2:23.2.6-1ubuntu0.4.astra.se2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

- обновить пакет xorg-server до 2:21.1.7-1ubuntu4.astra.se48 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2951

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-49180
CVE

EPSS

Процентиль: 6%

0.00027

Низкий

6.1 Medium

CVSS3

5.2 Medium

CVSS2

Связанные уязвимости

CVE-2025-49180

CVSS3: 7.8

ubuntu

5 месяцев назад

A flaw was found in the RandR extension, where the RRChangeProviderProperty function does not properly validate input. This issue leads to an integer overflow when computing the total size to allocate.

CVE-2025-49180

CVSS3: 7.8

redhat

5 месяцев назад

CVE-2025-49180

CVSS3: 7.8

nvd

5 месяцев назад

CVE-2025-49180

CVSS3: 6.1

msrc

3 месяца назад

Xorg-x11-server-xwayland: xorg-x11-server: tigervnc: integer overflow in x resize, rotate and reflect (randr) extension

CVE-2025-49180

CVSS3: 7.8

debian

5 месяцев назад

A flaw was found in the RandR extension, where the RRChangeProviderPro ...

EPSS

Процентиль: 6%

0.00027

Низкий

6.1 Medium

CVSS3

5.2 Medium

CVSS2