BDU:2026-02672

Опубликовано: 10 сент. 2025

Источник: fstec

CVSS3: 8

CVSS2: 7.7

EPSS Низкий

Описание

Уязвимость функции virtio_uml_probe() в модуле arch/um/drivers/virtio_uml.c 1 ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Наименование ПО

Ubuntu

Debian GNU/Linux

Astra Linux Special Edition

Linux

Версия ПО

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

1.7 (Astra Linux Special Edition)

22.04 LTS (Ubuntu)

24.04 LTS (Ubuntu)

1.8 (Astra Linux Special Edition)

13 (Debian GNU/Linux)

от 6.13 до 6.16.8 включительно (Linux)

от 6.2 до 6.6.107 включительно (Linux)

от 6.7 до 6.12.48 включительно (Linux)

3.8 (Astra Linux Special Edition)

от 5.5 до 5.10.244 включительно (Linux)

от 5.11 до 5.15.193 включительно (Linux)

от 5.16 до 6.1.153 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

Canonical Ltd. Ubuntu 22.04 LTS

Canonical Ltd. Ubuntu 24.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Сообщество свободного программного обеспечения Debian GNU/Linux 13

Сообщество свободного программного обеспечения Linux от 6.13 до 6.16.8 включительно

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.107 включительно

Сообщество свободного программного обеспечения Linux от 6.7 до 6.12.48 включительно

ООО «РусБИТех-Астра» Astra Linux Special Edition 3.8

Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.244 включительно

Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.193 включительно

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.153 включительно

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/14c231959a16ca41bfdcaede72483362a8c645d7

https://git.kernel.org/stable/c/5e94e44c9cb30d7a383d8ac227f24a8c9326b770

https://git.kernel.org/stable/c/aaf900a83508c8cd5cdf765e7749f9076196ec7f

https://git.kernel.org/stable/c/4f364023ddcfe83f7073b973a9cb98584b7f2a46

https://git.kernel.org/stable/c/00e98b5a69034b251bb36dc6e7123d7648e218e4

https://git.kernel.org/stable/c/c2ff91255e0157b356cff115d8dc3eeb5162edf2

https://git.kernel.org/linus/7ebf70cf181651fe3f2e44e95e7e5073d594c9c0

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.245

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.194

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.154

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.108

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.12.49

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.16.9

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-39951

Для Ubuntu:

https://ubuntu.com/security/CVE-2025-39951

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.158-1.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

- обновить пакет linux-6.12 до 6.12.60-1.astra1+ci20 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Для ОС Astra Linux:

- обновить пакет linux-5.10 до 5.10.248-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2026-0302SE17MD

- обновить пакет linux-6.1 до 6.1.161-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2026-0302SE17MD

- обновить пакет linux-5.15 до 5.15.0-170.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2026-0302SE17MD

Для ОС Astra Linux:

обновить пакет linux-6.1 до 6.1.158-1.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-39951
CVE

EPSS

Процентиль: 3%

0.00015

Низкий

8 High

CVSS3

7.7 High

CVSS2

Связанные уязвимости

CVE-2025-39951

CVSS3: 7.8

ubuntu

6 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: um: virtio_uml: Fix use-after-free after put_device in probe When register_virtio_device() fails in virtio_uml_probe(), the code sets vu_dev->registered = 1 even though the device was not successfully registered. This can lead to use-after-free or other issues.

CVE-2025-39951

redhat

6 месяцев назад

CVE-2025-39951

CVSS3: 7.8

nvd

6 месяцев назад

CVE-2025-39951

msrc

6 месяцев назад

um: virtio_uml: Fix use-after-free after put_device in probe

CVE-2025-39951

CVSS3: 7.8

debian

6 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: u ...

EPSS

Процентиль: 3%

0.00015

Низкий

8 High

CVSS3

7.7 High

CVSS2