Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01277

Опубликовано: 24 окт. 2025
Источник: fstec
CVSS3: 6.1
CVSS2: 5.2
EPSS Низкий

Описание

Уязвимость функции essiv_aead_crypt() компонента essiv ядра операционной системы Linux связана с записью за границами буфера. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Canonical Ltd.
Red Hat Inc.
Сообщество свободного программного обеспечения

Наименование ПО

Ubuntu
Red Hat Enterprise Linux
Debian GNU/Linux
Linux

Версия ПО

18.04 LTS (Ubuntu)
8 (Red Hat Enterprise Linux)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
24.04 LTS (Ubuntu)
10 (Red Hat Enterprise Linux)
13 (Debian GNU/Linux)
25.10 (Ubuntu)
до 6.18 rc1 (Linux)
от 5.4.0 до 5.15.195 (Linux)
от 6.1.0 до 6.1.157 (Linux)
от 6.6.0 до 6.6.113 (Linux)
от 6.12.0 до 6.12.54 (Linux)
от 6.17.0 до 6.17.4 (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Canonical Ltd. Ubuntu 24.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 13
Canonical Ltd. Ubuntu 25.10
Сообщество свободного программного обеспечения Linux до 6.18 rc1
Сообщество свободного программного обеспечения Linux от 5.4.0 до 5.15.195
Сообщество свободного программного обеспечения Linux от 6.1.0 до 6.1.157
Сообщество свободного программного обеспечения Linux от 6.6.0 до 6.6.113
Сообщество свободного программного обеспечения Linux от 6.12.0 до 6.12.54
Сообщество свободного программного обеспечения Linux от 6.17.0 до 6.17.4

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,2)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Linux:
https://git.kernel.org/stable/c/248ff2797ff52a8cbf86507f9583437443bf7685
https://git.kernel.org/stable/c/29294dd6f1e7acf527255fb136ffde6602c3a129
https://git.kernel.org/stable/c/6bb73db6948c2de23e407fe1b7ef94bf02b7529f
https://git.kernel.org/stable/c/71f03f8f72d9c70ffba76980e78b38c180e61589
https://git.kernel.org/stable/c/da7afb01ba05577ba3629f7f4824205550644986
https://git.kernel.org/stable/c/dc4c854a5e7453c465fa73b153eba4ef2a240abe
https://git.kernel.org/stable/c/df58651968f82344a0ed2afdafd20ecfc55ff548
https://git.kernel.org/stable/c/f37e7860dc5e94c70b4a3e38a5809181310ea9ac
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-40019
Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-40019
Для программных продуктов Ubuntu:
https://ubuntu.com/security/CVE-2025-40019
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 3%
0.00017
Низкий

6.1 Medium

CVSS3

5.2 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-40019

ubuntu
4 месяца назад

In the Linux kernel, the following vulnerability has been resolved: crypto: essiv - Check ssize for decryption and in-place encryption Move the ssize check to the start in essiv_aead_crypt so that it's also checked for decryption and in-place encryption.

nvd логотип

CVE-2025-40019

nvd
4 месяца назад

In the Linux kernel, the following vulnerability has been resolved: crypto: essiv - Check ssize for decryption and in-place encryption Move the ssize check to the start in essiv_aead_crypt so that it's also checked for decryption and in-place encryption.

msrc логотип

CVE-2025-40019

CVSS3: 5.5
msrc
2 месяца назад

crypto: essiv - Check ssize for decryption and in-place encryption

debian логотип

CVE-2025-40019

debian
4 месяца назад

In the Linux kernel, the following vulnerability has been resolved: c ...

github логотип

GHSA-jrm5-c55w-xm5w

github
4 месяца назад

In the Linux kernel, the following vulnerability has been resolved: crypto: essiv - Check ssize for decryption and in-place encryption Move the ssize check to the start in essiv_aead_crypt so that it's also checked for decryption and in-place encryption.

EPSS

Процентиль: 3%
0.00017
Низкий

6.1 Medium

CVSS3

5.2 Medium

CVSS2