BDU:2026-02695

Опубликовано: 15 окт. 2025

Источник: fstec

CVSS3: 4.7

CVSS2: 3.8

EPSS Низкий

Описание

Уязвимость функции get_alias_quirk() модуля sound/usb/card.c поддержки звуковых устройств USB ядра операционной системы Linux связана с разыменованием указателя NULL. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Red Hat Inc.

Наименование ПО

Ubuntu

Debian GNU/Linux

Astra Linux Special Edition

Red Hat Enterprise Linux

Linux

Версия ПО

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

1.7 (Astra Linux Special Edition)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

от 5.15.75 до 5.16 (Linux)

24.04 LTS (Ubuntu)

1.8 (Astra Linux Special Edition)

5.19.17 (Linux)

10 (Red Hat Enterprise Linux)

13 (Debian GNU/Linux)

от 6.7 до 6.12.54 включительно (Linux)

от 6.13 до 6.17.4 включительно (Linux)

3.8 (Astra Linux Special Edition)

от 6.0.3 до 6.6.113 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Сообщество свободного программного обеспечения Linux от 5.15.75 до 5.16

Canonical Ltd. Ubuntu 24.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Сообщество свободного программного обеспечения Linux 5.19.17

Red Hat Inc. Red Hat Enterprise Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 13

Сообщество свободного программного обеспечения Linux от 6.7 до 6.12.54 включительно

Сообщество свободного программного обеспечения Linux от 6.13 до 6.17.4 включительно

ООО «РусБИТех-Астра» Astra Linux Special Edition 3.8

Сообщество свободного программного обеспечения Linux от 6.0.3 до 6.6.113 включительно

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,8)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,7)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/736159f7b296d7a95f7208eb4799639b1f8b16a0

https://git.kernel.org/stable/c/8d19a7ab28c7b9c207db5c5282afa8cc8595bcdb

https://git.kernel.org/stable/c/576312eb436326b44b7010f4d9ae2b698df075ea

https://git.kernel.org/stable/c/bba7208765d26e5e36b87f21dacc2780b064f41f

https://git.kernel.org/stable/c/8503ac1a62075a085402e42a386b5c627c821a51

https://git.kernel.org/linus/28412b489b088fb88dff488305fd4e56bd47f6e4

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2025-40085

Для программных продуктов Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-40085

Для программных продуктов Ubuntu:

https://ubuntu.com/security/CVE-2025-40085

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.158-1.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

- обновить пакет linux-6.12 до 6.12.60-1.astra1+ci20 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Для ОС Astra Linux:

- обновить пакет linux-5.10 до 5.10.142-1.astra6+ci24 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2026-0302SE17MD

- обновить пакет linux-5.15 до 5.15.0-170.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2026-0302SE17MD

- обновить пакет linux-6.1 до 6.1.161-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2026-0302SE17MD

Для ОС Astra Linux:

обновить пакет linux-6.1 до 6.1.158-1.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38

Компенсирующие меры:

- минимизация пользовательских привилегий;

- отключение/удаление неиспользуемых учётных записей пользователей;

- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 21%

0.00068

Низкий

4.7 Medium

CVSS3

3.8 Low

CVSS2

Связанные уязвимости

CVE-2025-40085

ubuntu

5 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: ALSA: usb-audio: Fix NULL pointer deference in try_to_register_card In try_to_register_card(), the return value of usb_ifnum_to_if() is passed directly to usb_interface_claimed() without a NULL check, which will lead to a NULL pointer dereference when creating an invalid USB audio device. Fix this by adding a check to ensure the interface pointer is valid before passing it to usb_interface_claimed().

CVE-2025-40085

CVSS3: 4.7

redhat

5 месяцев назад

CVE-2025-40085

nvd

5 месяцев назад

CVE-2025-40085

CVSS3: 5.8

msrc

5 месяцев назад

ALSA: usb-audio: Fix NULL pointer deference in try_to_register_card

CVE-2025-40085

debian

5 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: A ...

EPSS

Процентиль: 21%

0.00068

Низкий

4.7 Medium

CVSS3

3.8 Low

CVSS2