Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-12594

Опубликовано: 04 сент. 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость сетевого программного средства Netty связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Canonical Ltd.
ООО «Ред Софт»
АО «ИВК»
Apache Software Foundation
Google Inc
Red Hat Inc.

Наименование ПО

Ubuntu
РЕД ОС
АЛЬТ СП 10
netty
Android Studio
Red Hat build of Quarkus
JBoss Enterprise Application Platform
Streams for Apache Kafka

Версия ПО

18.04 LTS (Ubuntu)
20.04 LTS (Ubuntu)
7.3 (РЕД ОС)
22.04 LTS (Ubuntu)
- (АЛЬТ СП 10)
24.04 LTS (Ubuntu)
до 4.1.125 (netty)
от 4.2.0 до 4.2.5 (netty)
25.10 (Ubuntu)
8.0 (РЕД ОС)
2025.2.3.9 (Android Studio)
3.15.7 (Red Hat build of Quarkus)
3.20.3 (Red Hat build of Quarkus)
XP 5.0 Update 4.0 (JBoss Enterprise Application Platform)
2.9.3 (Streams for Apache Kafka)
3.1.0 (Streams for Apache Kafka)
Expansion Pack (JBoss Enterprise Application Platform)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 20.04 LTS
ООО «Ред Софт» РЕД ОС 7.3
Canonical Ltd. Ubuntu 22.04 LTS
АО «ИВК» АЛЬТ СП 10 -
Canonical Ltd. Ubuntu 24.04 LTS
Canonical Ltd. Ubuntu 25.10
ООО «Ред Софт» РЕД ОС 8.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/netty/netty/commit/9d804c54ce962408ae6418255a83a13924f7145d
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-58057
Для Ubuntu:
https://ubuntu.com/security/CVE-2025-58057

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 17%
0.00053
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20251002-02

CVSS3: 7.5
redos
6 месяцев назад

Множественные уязвимости netty

ubuntu логотип

CVE-2025-58057

CVSS3: 7.5
ubuntu
7 месяцев назад

Netty is an asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. In netty-codec-compression versions 4.1.124.Final and below, and netty-codec versions 4.2.4.Final and below, when supplied with specially crafted input, BrotliDecoder and certain other decompression decoders will allocate a large number of reachable byte buffers, which can lead to denial of service. BrotliDecoder.decompress has no limit in how often it calls pull, decompressing data 64K bytes at a time. The buffers are saved in the output list, and remain reachable until OOM is hit. This is fixed in versions 4.1.125.Final of netty-codec and 4.2.5.Final of netty-codec-compression.

redhat логотип

CVE-2025-58057

CVSS3: 7.5
redhat
7 месяцев назад

Netty is an asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. In netty-codec-compression versions 4.1.124.Final and below, and netty-codec versions 4.2.4.Final and below, when supplied with specially crafted input, BrotliDecoder and certain other decompression decoders will allocate a large number of reachable byte buffers, which can lead to denial of service. BrotliDecoder.decompress has no limit in how often it calls pull, decompressing data 64K bytes at a time. The buffers are saved in the output list, and remain reachable until OOM is hit. This is fixed in versions 4.1.125.Final of netty-codec and 4.2.5.Final of netty-codec-compression.

nvd логотип

CVE-2025-58057

CVSS3: 7.5
nvd
7 месяцев назад

Netty is an asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. In netty-codec-compression versions 4.1.124.Final and below, and netty-codec versions 4.2.4.Final and below, when supplied with specially crafted input, BrotliDecoder and certain other decompression decoders will allocate a large number of reachable byte buffers, which can lead to denial of service. BrotliDecoder.decompress has no limit in how often it calls pull, decompressing data 64K bytes at a time. The buffers are saved in the output list, and remain reachable until OOM is hit. This is fixed in versions 4.1.125.Final of netty-codec and 4.2.5.Final of netty-codec-compression.

debian логотип

CVE-2025-58057

CVSS3: 7.5
debian
7 месяцев назад

Netty is an asynchronous event-driven network application framework fo ...

EPSS

Процентиль: 17%
0.00053
Низкий

7.5 High

CVSS3

7.8 High

CVSS2