BDU:2026-02699

Опубликовано: 19 сент. 2025

Источник: fstec

CVSS3: 7

CVSS2: 6

EPSS Низкий

Описание

Уязвимость функции peak_usb_update_ts_now() модуля drivers/net/can/usb/peak_usb/pcan_usb_core.c драйвера сетевых устройств CAN ядра операционной системы Linux связана с чтением за границами буфера. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Red Hat Inc.

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Наименование ПО

Red Hat Enterprise Linux

Ubuntu

Debian GNU/Linux

Astra Linux Special Edition

Linux

Версия ПО

7 (Red Hat Enterprise Linux)

16.04 LTS (Ubuntu)

18.04 LTS (Ubuntu)

8 (Red Hat Enterprise Linux)

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

24.04 LTS (Ubuntu)

1.8 (Astra Linux Special Edition)

10 (Red Hat Enterprise Linux)

13 (Debian GNU/Linux)

25.10 (Ubuntu)

3.8 (Astra Linux Special Edition)

от 5.5 до 5.10.244 включительно (Linux)

от 5.11 до 5.15.193 включительно (Linux)

от 6.13 до 6.16.9 включительно (Linux)

от 5.16 до 6.1.154 включительно (Linux)

от 6.2 до 6.6.108 включительно (Linux)

от 6.7 до 6.12.49 включительно (Linux)

от 3.4 до 5.4.299 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Canonical Ltd. Ubuntu 16.04 LTS

Canonical Ltd. Ubuntu 18.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 8

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Canonical Ltd. Ubuntu 24.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Red Hat Inc. Red Hat Enterprise Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 13

Canonical Ltd. Ubuntu 25.10

ООО «РусБИТех-Астра» Astra Linux Special Edition 3.8

Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.244 включительно

Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.193 включительно

Сообщество свободного программного обеспечения Linux от 6.13 до 6.16.9 включительно

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.154 включительно

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.108 включительно

Сообщество свободного программного обеспечения Linux от 6.7 до 6.12.49 включительно

Сообщество свободного программного обеспечения Linux от 3.4 до 5.4.299 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/572c656802781cc57f4a3231eefa83547e75ed78

https://git.kernel.org/stable/c/61b1dd4c614935169d12bdecc26906e37b508618

https://git.kernel.org/stable/c/48822a59ecc47d353400d38b1941d3ae7591ffff

https://git.kernel.org/stable/c/176c81cbf9c4e348610a421aad800087c0401f60

https://git.kernel.org/stable/c/17edec1830e48c0becd61642d0e40bc753243b16

https://git.kernel.org/stable/c/eb79ed970670344380e77d62f8188e8015648d94

https://git.kernel.org/stable/c/394c58017e5f41043584c345106cae16a4613710

https://git.kernel.org/linus/c443be70aaee42c2d1d251e0329e0a69dd96ae54

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2025-40020

Для программных продуктов Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-40020

Для программных продуктов Ubuntu:

https://ubuntu.com/security/CVE-2025-40020

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.158-1.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

- обновить пакет linux-6.12 до 6.12.60-1.astra1+ci20 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Для ОС Astra Linux:

обновить пакет linux-6.1 до 6.1.158-1.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38

Компенсирующие меры:

- минимизация пользовательских привилегий;

- отключение/удаление неиспользуемых учётных записей пользователей;

- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 13%

0.00044

Низкий

7 High

CVSS3

6 Medium

CVSS2

Связанные уязвимости

CVE-2025-40020

ubuntu

5 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: can: peak_usb: fix shift-out-of-bounds issue Explicitly uses a 64-bit constant when the number of bits used for its shifting is 32 (which is the case for PC CAN FD interfaces supported by this driver). [mkl: update subject, apply manually]

CVE-2025-40020

CVSS3: 5.5

redhat

5 месяцев назад

CVE-2025-40020

nvd

5 месяцев назад

CVE-2025-40020

CVSS3: 7.1

msrc

5 месяцев назад

can: peak_usb: fix shift-out-of-bounds issue

CVE-2025-40020

debian

5 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: c ...

EPSS

Процентиль: 13%

0.00044

Низкий

7 High

CVSS3

6 Medium

CVSS2