Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-11084

Опубликовано: 07 апр. 2025
Источник: fstec
CVSS3: 5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость библиотеки Libarchive операционной системы Windows связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Canonical Ltd.
АО «СберТех»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Red Hat OpenShift Container Platform
Ubuntu
Platform V SberLinux OS Server
libarchive

Версия ПО

8 (Red Hat Enterprise Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
4 (Red Hat OpenShift Container Platform)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
24.04 LTS (Ubuntu)
1.8 (Astra Linux Special Edition)
25.04 (Ubuntu)
10 (Red Hat Enterprise Linux)
9.1 (Platform V SberLinux OS Server)
до 3.8.0 (libarchive)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Canonical Ltd. Ubuntu 24.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Canonical Ltd. Ubuntu 25.04
Red Hat Inc. Red Hat Enterprise Linux 10
АО «СберТех» Platform V SberLinux OS Server 9.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/libarchive/libarchive/pull/2588
https://github.com/libarchive/libarchive/releases/tag/v3.8.0
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-5917
Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-5917
Для программных продуктов Ubuntu:
https://ubuntu.com/security/CVE-2025-5917
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.
Для ОС Astra Linux:
обновить пакет libarchive до 3.8.1-0astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для ОС Astra Linux:
обновить пакет libarchive до 3.8.1-0astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет libarchive до 3.8.1-0astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00026
Низкий

5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250929-05

CVSS3: 9.8
redos
около 1 месяца назад

Множественные уязвимости libarchive

ubuntu логотип

CVE-2025-5917

CVSS3: 2.8
ubuntu
5 месяцев назад

A vulnerability has been identified in the libarchive library. This flaw involves an 'off-by-one' miscalculation when handling prefixes and suffixes for file names. This can lead to a 1-byte write overflow. While seemingly small, such an overflow can corrupt adjacent memory, leading to unpredictable program behavior, crashes, or in specific circumstances, could be leveraged as a building block for more sophisticated exploitation.

redhat логотип

CVE-2025-5917

CVSS3: 2.8
redhat
6 месяцев назад

A vulnerability has been identified in the libarchive library. This flaw involves an 'off-by-one' miscalculation when handling prefixes and suffixes for file names. This can lead to a 1-byte write overflow. While seemingly small, such an overflow can corrupt adjacent memory, leading to unpredictable program behavior, crashes, or in specific circumstances, could be leveraged as a building block for more sophisticated exploitation.

nvd логотип

CVE-2025-5917

CVSS3: 2.8
nvd
5 месяцев назад

A vulnerability has been identified in the libarchive library. This flaw involves an 'off-by-one' miscalculation when handling prefixes and suffixes for file names. This can lead to a 1-byte write overflow. While seemingly small, such an overflow can corrupt adjacent memory, leading to unpredictable program behavior, crashes, or in specific circumstances, could be leveraged as a building block for more sophisticated exploitation.

msrc логотип

CVE-2025-5917

CVSS3: 2.8
msrc
2 месяца назад

Libarchive: off by one error in build_ustar_entry_name() at archive_write_set_format_pax.c

EPSS

Процентиль: 6%
0.00026
Низкий

5 Medium

CVSS3

4.6 Medium

CVSS2