Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-12797

Опубликовано: 28 авг. 2025
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость языка программирования Go связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
The Go Project
АО «СберТех»
ООО «Открытая мобильная платформа»

Наименование ПО

РЕД ОС
Go
Platform V SberLinux OS Server
Аврора Центр

Версия ПО

7.3 (РЕД ОС)
до 0.5.13 включительно (Go)
9.2.0-fstec (Platform V SberLinux OS Server)
до 5.4.3 (Аврора Центр)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «СберТех» Platform V SberLinux OS Server 9.2.0-fstec

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/ulikunitz/xz/commit/88ddf1d0d98d688db65de034f48960b2760d2ae2
https://github.com/ulikunitz/xz/security/advisories/GHSA-jc7w-c686-c4v9
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Аврора:
Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше.
В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00065
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20251124-04

CVSS3: 5.3
redos
4 месяца назад

Уязвимость golang-github-ulikunitz-xz

ubuntu логотип

CVE-2025-58058

CVSS3: 5.3
ubuntu
7 месяцев назад

xz is a pure golang package for reading and writing xz-compressed files. Prior to version 0.5.14, it is possible to put data in front of an LZMA-encoded byte stream without detecting the situation while reading the header. This can lead to increased memory consumption because the current implementation allocates the full decoding buffer directly after reading the header. The LZMA header doesn't include a magic number or has a checksum to detect such an issue according to the specification. Note that the code recognizes the issue later while reading the stream, but at this time the memory allocation has already been done. This issue has been patched in version 0.5.14.

redhat логотип

CVE-2025-58058

CVSS3: 5.3
redhat
7 месяцев назад

xz is a pure golang package for reading and writing xz-compressed files. Prior to version 0.5.14, it is possible to put data in front of an LZMA-encoded byte stream without detecting the situation while reading the header. This can lead to increased memory consumption because the current implementation allocates the full decoding buffer directly after reading the header. The LZMA header doesn't include a magic number or has a checksum to detect such an issue according to the specification. Note that the code recognizes the issue later while reading the stream, but at this time the memory allocation has already been done. This issue has been patched in version 0.5.14.

nvd логотип

CVE-2025-58058

CVSS3: 5.3
nvd
7 месяцев назад

xz is a pure golang package for reading and writing xz-compressed files. Prior to version 0.5.14, it is possible to put data in front of an LZMA-encoded byte stream without detecting the situation while reading the header. This can lead to increased memory consumption because the current implementation allocates the full decoding buffer directly after reading the header. The LZMA header doesn't include a magic number or has a checksum to detect such an issue according to the specification. Note that the code recognizes the issue later while reading the stream, but at this time the memory allocation has already been done. This issue has been patched in version 0.5.14.

msrc логотип

CVE-2025-58058

CVSS3: 5.3
msrc
7 месяцев назад

github.com/ulikunitz/xz leaks memory when decoding a corrupted multiple LZMA archives

EPSS

Процентиль: 20%
0.00065
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2