Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-12566

Опубликовано: 06 окт. 2025
Источник: fstec
CVSS3: 3.6
CVSS2: 2.4
EPSS Низкий

Описание

Уязвимость компонента ProxyCommand средства криптографической защиты OpenSSH связана с внедрением нулевого байта (%00) в строку имени пользователя. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
OpenBSD Project
АО «СберТех»

Наименование ПО

РЕД ОС
Astra Linux Special Edition
OpenSSH
Platform V SberLinux OS Server

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
1.8 (Astra Linux Special Edition)
до 10.1 (OpenSSH)
3.8 (Astra Linux Special Edition)
9.2.0-fstec (Platform V SberLinux OS Server)

Тип ПО

Операционная система
Программное средство защиты

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
ООО «РусБИТех-Астра» Astra Linux Special Edition 3.8
АО «СберТех» Platform V SberLinux OS Server 9.2.0-fstec

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,4)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 3,6)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.openwall.com/lists/oss-security/2025/10/06/1
Для ОС Astra Linux:
обновить пакет openssh до 1:9.6p1-2~deb10u1astra8se13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-git-lfs-cve-2025-26625/?sphrase_id=1370752
Для ОС Astra Linux:
обновить пакет openssh до 1:8.4p1-2~deb10u1astra6se17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17
Для ОС Astra Linux:
обновить пакет openssh до 1:8.4p1-2~deb10u1astra6se17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47
Для ОС Astra Linux:
обновить пакет openssh до 1:9.6p1-2~deb10u1astra8se13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38
Для ОС Astra Linux:
обновить пакет openssh до 1:9.6p1-2~deb10u1astra8se13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 4%
0.00016
Низкий

3.6 Low

CVSS3

2.4 Low

CVSS2

Связанные уязвимости

redos логотип

ROS-20251203-09

CVSS3: 3.6
redos
4 месяца назад

Уязвимость openssh

ubuntu логотип

CVE-2025-61985

CVSS3: 3.6
ubuntu
6 месяцев назад

ssh in OpenSSH before 10.1 allows the '\0' character in an ssh:// URI, potentially leading to code execution when a ProxyCommand is used.

redhat логотип

CVE-2025-61985

CVSS3: 5.3
redhat
6 месяцев назад

ssh in OpenSSH before 10.1 allows the '\0' character in an ssh:// URI, potentially leading to code execution when a ProxyCommand is used.

nvd логотип

CVE-2025-61985

CVSS3: 3.6
nvd
6 месяцев назад

ssh in OpenSSH before 10.1 allows the '\0' character in an ssh:// URI, potentially leading to code execution when a ProxyCommand is used.

msrc логотип

CVE-2025-61985

CVSS3: 3.6
msrc
6 месяцев назад

ssh in OpenSSH before 10.1 allows the '\0' character in an ssh:// URI, potentially leading to code execution when a ProxyCommand is used.

EPSS

Процентиль: 4%
0.00016
Низкий

3.6 Low

CVSS3

2.4 Low

CVSS2