BDU:2025-09814

Опубликовано: 04 июл. 2025

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость функции to_atmarpd() ядра операционной системы Linux связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

Linux

Версия ПО

7 (Red Hat Enterprise Linux)

8 (Red Hat Enterprise Linux)

12 (Debian GNU/Linux)

9 (Red Hat Enterprise Linux)

до 6.16 rc6 (Linux)

от 5.10.0 до 5.10.240 (Linux)

от 6.15.0 до 6.15.7 (Linux)

от 6.1.0 до 6.1.146 (Linux)

от 2.6.12 до 5.4.296 (Linux)

от 6.12.0 до 6.12.39 (Linux)

от 6.6.0 до 6.6.99 (Linux)

от 5.15.0 до 5.15.189 (Linux)

13 (Debian GNU/Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Red Hat Inc. Red Hat Enterprise Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Red Hat Inc. Red Hat Enterprise Linux 9

Сообщество свободного программного обеспечения Linux до 6.16 rc6

Сообщество свободного программного обеспечения Linux от 5.10.0 до 5.10.240

Сообщество свободного программного обеспечения Linux от 6.15.0 до 6.15.7

Сообщество свободного программного обеспечения Linux от 6.1.0 до 6.1.146

Сообщество свободного программного обеспечения Linux от 2.6.12 до 5.4.296

Сообщество свободного программного обеспечения Linux от 6.12.0 до 6.12.39

Сообщество свободного программного обеспечения Linux от 6.6.0 до 6.6.99

Сообщество свободного программного обеспечения Linux от 5.15.0 до 5.15.189

Сообщество свободного программного обеспечения Debian GNU/Linux 13

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://lore.kernel.org/linux-cve-announce/2025072507-CVE-2025-38460-40fb@gregkh/

https://git.kernel.org/stable/c/06935c50cfa3ac57cce80bba67b6d38ec1406e92

https://git.kernel.org/stable/c/3251ce3979f41bd228f77a7615f9dd616d06a110

https://git.kernel.org/stable/c/36caab990b69ef4eec1d81c52a19f080b7daa059

https://git.kernel.org/stable/c/706cc36477139c1616a9b2b96610a8bb520b7119

https://git.kernel.org/stable/c/70eac9ba7ce25d99c1d99bbf4ddb058940f631f9

https://git.kernel.org/stable/c/a4c5785feb979cd996a99cfaad8bf353b2e79301

https://git.kernel.org/stable/c/ee4d9e4ddf3f9c4ee2ec0a3aad6196ee36d30e57

https://git.kernel.org/stable/c/f58e4270c73e7f086322978d585ea67c8076ce49

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2025-38460

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-38460

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-38460
CVE

EPSS

Процентиль: 7%

0.00032

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2025-38460

ubuntu

около 1 месяца назад

In the Linux kernel, the following vulnerability has been resolved: atm: clip: Fix potential null-ptr-deref in to_atmarpd(). atmarpd is protected by RTNL since commit f3a0592b37b8 ("[ATM]: clip causes unregister hang"). However, it is not enough because to_atmarpd() is called without RTNL, especially clip_neigh_solicit() / neigh_ops->solicit() is unsleepable. Also, there is no RTNL dependency around atmarpd. Let's use a private mutex and RCU to protect access to atmarpd in to_atmarpd().