Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-11073

Опубликовано: 14 мая 2025
Источник: fstec
CVSS3: 6.6
CVSS2: 5.7
EPSS Низкий

Описание

Уязвимость функции get_name() файла interface.c пакета утилит Net-tools операционной системы Linux, связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код и вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Canonical Ltd.
ООО «РусБИТех-Астра»
АО «СберТех»
Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
Red Hat OpenShift Container Platform
Astra Linux Special Edition
Platform V SberLinux OS Server
Net-tools

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
20.04 LTS (Ubuntu)
4 (Red Hat OpenShift Container Platform)
22.04 LTS (Ubuntu)
24.04 LTS (Ubuntu)
1.8 (Astra Linux Special Edition)
25.04 (Ubuntu)
9.1 (Platform V SberLinux OS Server)
до 2.10 включительно (Net-tools)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 22.04 LTS
Canonical Ltd. Ubuntu 24.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Canonical Ltd. Ubuntu 25.04
АО «СберТех» Platform V SberLinux OS Server 9.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,7)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,6)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/ecki/net-tools/commit/7a8f42fb20013a1493d8cae1c43436f85e656f2d
https://github.com/ecki/net-tools/security/advisories/GHSA-pfwf-h6m3-63wf
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-46836
Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-46836
Для программных продуктов Ubuntu:
https://ubuntu.com/security/CVE-2025-46836
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.
Для ОС Astra Linux:
обновить пакет net-tools до 2.10-0.1+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 13%
0.00043
Низкий

6.6 Medium

CVSS3

5.7 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-46836

CVSS3: 6.6
ubuntu
6 месяцев назад

net-tools is a collection of programs that form the base set of the NET-3 networking distribution for the Linux operating system. Inn versions up to and including 2.10, the Linux network utilities (like ifconfig) from the net-tools package do not properly validate the structure of /proc files when showing interfaces. `get_name()` in `interface.c` copies interface labels from `/proc/net/dev` into a fixed 16-byte stack buffer without bounds checking, leading to possible arbitrary code execution or crash. The known attack path does not require privilege but also does not provide privilege escalation in this scenario. A patch is available and expected to be part of version 2.20.

redhat логотип

CVE-2025-46836

CVSS3: 6.6
redhat
6 месяцев назад

net-tools is a collection of programs that form the base set of the NET-3 networking distribution for the Linux operating system. Inn versions up to and including 2.10, the Linux network utilities (like ifconfig) from the net-tools package do not properly validate the structure of /proc files when showing interfaces. `get_name()` in `interface.c` copies interface labels from `/proc/net/dev` into a fixed 16-byte stack buffer without bounds checking, leading to possible arbitrary code execution or crash. The known attack path does not require privilege but also does not provide privilege escalation in this scenario. A patch is available and expected to be part of version 2.20.

nvd логотип

CVE-2025-46836

CVSS3: 6.6
nvd
6 месяцев назад

net-tools is a collection of programs that form the base set of the NET-3 networking distribution for the Linux operating system. Inn versions up to and including 2.10, the Linux network utilities (like ifconfig) from the net-tools package do not properly validate the structure of /proc files when showing interfaces. `get_name()` in `interface.c` copies interface labels from `/proc/net/dev` into a fixed 16-byte stack buffer without bounds checking, leading to possible arbitrary code execution or crash. The known attack path does not require privilege but also does not provide privilege escalation in this scenario. A patch is available and expected to be part of version 2.20.

msrc логотип

CVE-2025-46836

CVSS3: 6.6
msrc
4 месяца назад

net-tools Stack-based Buffer Overflow vulnerability

debian логотип

CVE-2025-46836

CVSS3: 6.6
debian
6 месяцев назад

net-tools is a collection of programs that form the base set of the NE ...

EPSS

Процентиль: 13%
0.00043
Низкий

6.6 Medium

CVSS3

5.7 Medium

CVSS2