BDU:2025-15000

Опубликовано: 04 июл. 2025

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость компонента fs/ntfs3/file.c ядра операционной системы Linux связана c взаимной блокировкой потоков выполнения. Эксплуатация уязвимости позволяет нарушителю вызвать отказ в обслуживании

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Наименование ПО

Ubuntu

Debian GNU/Linux

Astra Linux Special Edition

Linux

Версия ПО

20.04 LTS (Ubuntu)

12 (Debian GNU/Linux)

22.04 LTS (Ubuntu)

24.04 LTS (Ubuntu)

1.8 (Astra Linux Special Edition)

6.10.3 (Linux)

25.04 (Ubuntu)

13 (Debian GNU/Linux)

до 6.17 rc1 (Linux)

от 6.16 до 6.16.1 (Linux)

от 5.15.165 до 5.15.190 (Linux)

от 6.1.103 до 6.1.148 (Linux)

от 6.10.3 до 6.12.42 (Linux)

от 6.13 до 6.15.10 (Linux)

от 6.6.44 до 6.6.102 (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Canonical Ltd. Ubuntu 22.04 LTS

Canonical Ltd. Ubuntu 24.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Сообщество свободного программного обеспечения Linux 6.10.3

Canonical Ltd. Ubuntu 25.04

Сообщество свободного программного обеспечения Debian GNU/Linux 13

Сообщество свободного программного обеспечения Linux до 6.17 rc1

Сообщество свободного программного обеспечения Linux от 6.16 до 6.16.1

Сообщество свободного программного обеспечения Linux от 5.15.165 до 5.15.190

Сообщество свободного программного обеспечения Linux от 6.1.103 до 6.1.148

Сообщество свободного программного обеспечения Linux от 6.10.3 до 6.12.42

Сообщество свободного программного обеспечения Linux от 6.13 до 6.15.10

Сообщество свободного программного обеспечения Linux от 6.6.44 до 6.6.102

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://lore.kernel.org/linux-cve-announce/2025090731-CVE-2025-39734-efa5@gregkh/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-39734

Для Ubuntu:

https://ubuntu.com/security/CVE-2025-39734

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.152-1.astra1+ci9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18

- обновить пакет linux-6.12 до 6.12.47-1.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18

- обновить пакет linux-6.6 до 6.12.47-1.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-39734
CVE

EPSS

Процентиль: 10%

0.00036

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2025-39734

ubuntu

4 месяца назад

In the Linux kernel, the following vulnerability has been resolved: Revert "fs/ntfs3: Replace inode_trylock with inode_lock" This reverts commit 69505fe98f198ee813898cbcaf6770949636430b. Initially, conditional lock acquisition was removed to fix an xfstest bug that was observed during internal testing. The deadlock reported by syzbot is resolved by reintroducing conditional acquisition. The xfstest bug no longer occurs on kernel version 6.16-rc1 during internal testing. I assume that changes in other modules may have contributed to this.