BDU:2025-07644

Опубликовано: 14 мая 2025

Источник: fstec

CVSS3: 5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость функции ssh_kdf() библиотеки libssh связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.

Novell Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

Canonical Ltd.

АО «ИВК»

Fedora Project

Наименование ПО

Red Hat Enterprise Linux

Suse Linux Enterprise Server

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Module for Basesystem

Debian GNU/Linux

РЕД ОС

SUSE Linux Enterprise High Performance Computing

SUSE Linux Enterprise Micro

Red Hat OpenShift Container Platform

Ubuntu

SUSE Manager Retail Branch Server

SUSE Manager Proxy

SUSE Manager Server

АЛЬТ СП 10

OpenSUSE Leap

Fedora

libssh

Fedora EPEL

SUSE Linux Micro

Версия ПО

8 (Red Hat Enterprise Linux)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP3 (SUSE Linux Enterprise Module for Basesystem)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

15 SP3 (SUSE Linux Enterprise High Performance Computing)

15 SP3 (Suse Linux Enterprise Server)

5.1 (SUSE Linux Enterprise Micro)

15 SP4 (Suse Linux Enterprise Server)

4 (Red Hat OpenShift Container Platform)

5.2 (SUSE Linux Enterprise Micro)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

4.3 (SUSE Manager Retail Branch Server)

4.3 (SUSE Manager Proxy)

4.3 (SUSE Manager Server)

15 SP4 (SUSE Linux Enterprise High Performance Computing)

15 SP4 (SUSE Linux Enterprise Module for Basesystem)

5.3 (SUSE Linux Enterprise Micro)

15 SP3-LTSS (Suse Linux Enterprise Server)

15 SP3-ESPOS (SUSE Linux Enterprise High Performance Computing)

15 SP3-LTSS (SUSE Linux Enterprise High Performance Computing)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Basesystem)

5.4 (SUSE Linux Enterprise Micro)

- (АЛЬТ СП 10)

5.5 (SUSE Linux Enterprise Micro)

15 SP4-LTSS (SUSE Linux Enterprise High Performance Computing)

15 SP4-LTSS (Suse Linux Enterprise Server)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15 SP6 (SUSE Linux Enterprise High Performance Computing)

15 SP6 (SUSE Linux Enterprise Module for Basesystem)

24.04 LTS (Ubuntu)

15.6 (OpenSUSE Leap)

12 SP5-LTSS (Suse Linux Enterprise Server)

12 SP5 LTSS Extended Security (Suse Linux Enterprise Server)

15 SP5-LTSS (Suse Linux Enterprise Server)

15 SP5-LTSS (SUSE Linux Enterprise High Performance Computing)

15 SP5-ESPOS (SUSE Linux Enterprise High Performance Computing)

42 (Fedora)

15 SP7 (SUSE Linux Enterprise High Performance Computing)

15 SP7 (Suse Linux Enterprise Server)

15 SP7 (SUSE Linux Enterprise Server for SAP Applications)

25.04 (Ubuntu)

10 (Red Hat Enterprise Linux)

до 0.11.2 (libssh)

LTS 4.3 (SUSE Manager Proxy)

LTS 4.3 (SUSE Manager Retail Branch Server)

LTS 4.3 (SUSE Manager Server)

13 (Debian GNU/Linux)

epel9 (Fedora EPEL)

6.0 (SUSE Linux Micro)

6.1 (SUSE Linux Micro)

epel8 (Fedora EPEL)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое средство

Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. Suse Linux Enterprise Server 15 SP4

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP5

АО «ИВК» АЛЬТ СП 10 -

Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP6

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Canonical Ltd. Ubuntu 24.04 LTS

Novell Inc. OpenSUSE Leap 15.6

Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP5 LTSS Extended Security

Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS

Fedora Project Fedora 42

Novell Inc. Suse Linux Enterprise Server 15 SP7

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7

Canonical Ltd. Ubuntu 25.04

Red Hat Inc. Red Hat Enterprise Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 13

Novell Inc. SUSE Linux Micro 6.0

Novell Inc. SUSE Linux Micro 6.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций производителя:

Для libssh:

https://www.libssh.org/security/advisories/CVE-2025-5372.txt

https://git.libssh.org/projects/libssh.git/commit/?id=a9d8a3d44829cf9182b252bc951f35fb0d573972

Для ОС АЛЬТ СП 10:

установка обновления из публичного репозитория программного средства:

https://altsp.su/obnovleniya-bezopasnosti/

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-5372

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2025-5372

Для Ubuntu:

https://ubuntu.com/security/CVE-2025-5372

Для Fedora:

https://bodhi.fedoraproject.org/updates/FEDORA-2025-18e8506d3a

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2025-5372.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-5372
CVE

EPSS

Процентиль: 18%

0.00056

Низкий

5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ROS-20250924-09

CVSS3: 6.5

redos

23 дня назад

Множественные уязвимости libssh

CVE-2025-5372

CVSS3: 5

ubuntu

3 месяца назад

A flaw was found in libssh versions built with OpenSSL versions older than 3.0, specifically in the ssh_kdf() function responsible for key derivation. Due to inconsistent interpretation of return values where OpenSSL uses 0 to indicate failure and libssh uses 0 for success—the function may mistakenly return a success status even when key derivation fails. This results in uninitialized cryptographic key buffers being used in subsequent communication, potentially compromising SSH sessions' confidentiality, integrity, and availability.

CVE-2025-5372

CVSS3: 5

redhat

4 месяца назад

CVE-2025-5372

CVSS3: 5

nvd

3 месяца назад

CVE-2025-5372

CVSS3: 5

msrc

3 месяца назад

Описание отсутствует

EPSS

Процентиль: 18%

0.00056

Низкий

5 Medium

CVSS3

4.6 Medium

CVSS2