BDU:2025-11858

Опубликовано: 27 мар. 2025

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость расширения X Rendering реализации сервера X Window System X.Org Server и реализации протокола Wayland для X.Org XWayland связана с чтением за допустимыми границами буфера данных. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»

АО «ИВК»

Сообщество свободного программного обеспечения

X.Org Foundation

АО "НППКТ"

ООО «НЦПР»

Наименование ПО

Astra Linux Special Edition

АЛЬТ СП 10

XWayland

X.Org Server

ОСОН ОСнова Оnyx

МСВСфера

Версия ПО

4.7 (Astra Linux Special Edition)

- (АЛЬТ СП 10)

1.8 (Astra Linux Special Edition)

до 24.1.7 (XWayland)

до 21.1.17 (X.Org Server)

до 2.14 (ОСОН ОСнова Оnyx)

9.5 (МСВСфера)

3.8 (Astra Linux Special Edition)

до 3.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Сетевое средство

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО «ИВК» АЛЬТ СП 10 -

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

АО "НППКТ" ОСОН ОСнова Оnyx до 2.14

ООО «НЦПР» МСВСфера 9.5

ООО «РусБИТех-Астра» Astra Linux Special Edition 3.8

АО "НППКТ" ОСОН ОСнова Оnyx до 3.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для X.Org Server:

https://lists.x.org/archives/xorg-announce/2025-June/003609.html

Для XWayland:

https://lists.x.org/archives/xorg-announce/2025-June/003610.html

Для ОС Astra Linux:

- обновить пакет xwayland до 2:23.2.6-1ubuntu0.4.astra.se2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

- обновить пакет xorg-server до 2:21.1.7-1ubuntu4.astra.se48 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Обновление программного обеспечения xorg-server до версии 2:1.20.11-1+deb11u16.osnova2u1

Для ОС Astra Linux:

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:9303?lang=ru

Для ОС Astra Linux:

обновить пакет xorg-server до 2:21.1.7-1ubuntu4.astra.se64 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОС Astra Linux:

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения xorg-server до версии 2:21.1.7-3+deb12u11.osnova3u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-49175
CVE

EPSS

Процентиль: 24%

0.00082

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2025-49175

CVSS3: 6.1

ubuntu

10 месяцев назад

A flaw was found in the X Rendering extension's handling of animated cursors. If a client provides no cursors, the server assumes at least one is present, leading to an out-of-bounds read and potential crash.

CVE-2025-49175

CVSS3: 6.1

redhat

10 месяцев назад

CVE-2025-49175

CVSS3: 6.1

nvd

10 месяцев назад

CVE-2025-49175

CVSS3: 5.5

msrc

около 1 месяца назад

Xorg-x11-server-xwayland: xorg-x11-server: tigervnc: out-of-bounds read in x rendering extension animated cursors

CVE-2025-49175

CVSS3: 6.1

debian

10 месяцев назад

A flaw was found in the X Rendering extension's handling of animated c ...

EPSS

Процентиль: 24%

0.00082

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2