BDU:2026-02714

Опубликовано: 28 сент. 2025

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость функции uinput_ff_upload_to_user() модуля drivers/input/misc/uinput.c драйвера устройств ввода ядра операционной системы Linux связана с некорректной инициализацией ресурса. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Наименование ПО

Red Hat Enterprise Linux

Ubuntu

Debian GNU/Linux

Astra Linux Special Edition

Linux

Версия ПО

7 (Red Hat Enterprise Linux)

16.04 LTS (Ubuntu)

18.04 LTS (Ubuntu)

8 (Red Hat Enterprise Linux)

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

24.04 LTS (Ubuntu)

1.8 (Astra Linux Special Edition)

10 (Red Hat Enterprise Linux)

13 (Debian GNU/Linux)

25.10 (Ubuntu)

от 6.13 до 6.17.2 включительно (Linux)

от 5.16 до 6.1.155 включительно (Linux)

от 6.2 до 6.6.111 включительно (Linux)

от 6.7 до 6.12.52 включительно (Linux)

3.8 (Astra Linux Special Edition)

от 2.6.29 до 5.15.194 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Canonical Ltd. Ubuntu 16.04 LTS

Canonical Ltd. Ubuntu 18.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 8

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Canonical Ltd. Ubuntu 24.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Red Hat Inc. Red Hat Enterprise Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 13

Canonical Ltd. Ubuntu 25.10

Сообщество свободного программного обеспечения Linux от 6.13 до 6.17.2 включительно

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.155 включительно

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.111 включительно

Сообщество свободного программного обеспечения Linux от 6.7 до 6.12.52 включительно

ООО «РусБИТех-Астра» Astra Linux Special Edition 3.8

Сообщество свободного программного обеспечения Linux от 2.6.29 до 5.15.194 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/e63aade22a33e77b93c98c9f02db504d897a76b4

https://git.kernel.org/stable/c/933b87c4590b42500299f00ff55f555903056803

https://git.kernel.org/stable/c/fd8a23ecbc602d00e47b27f20b07350867d0ebe5

https://git.kernel.org/stable/c/48c96b7e9e03516936d6deba54b5553097eae817

https://git.kernel.org/stable/c/f5e1f3b85aadce74268c46676772c3e9fa79897e

https://git.kernel.org/linus/d3366a04770eea807f2826cbdb96934dd8c9bf79

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2025-40035

Для программных продуктов Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-40035

Для программных продуктов Ubuntu:

https://ubuntu.com/security/CVE-2025-40035

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.158-1.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

- обновить пакет linux-6.12 до 6.12.60-1.astra1+ci20 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Для ОС Astra Linux:

обновить пакет linux-6.1 до 6.1.158-1.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38

Компенсирующие меры:

- минимизация пользовательских привилегий;

- отключение/удаление неиспользуемых учётных записей пользователей;

- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 21%

0.00068

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2025-40035

ubuntu

5 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: Input: uinput - zero-initialize uinput_ff_upload_compat to avoid info leak Struct ff_effect_compat is embedded twice inside uinput_ff_upload_compat, contains internal padding. In particular, there is a hole after struct ff_replay to satisfy alignment requirements for the following union member. Without clearing the structure, copy_to_user() may leak stack data to userspace. Initialize ff_up_compat to zero before filling valid fields.

CVE-2025-40035

CVSS3: 3.3

redhat

5 месяцев назад

CVE-2025-40035

nvd

5 месяцев назад

CVE-2025-40035

CVSS3: 7.1

msrc

5 месяцев назад

Input: uinput - zero-initialize uinput_ff_upload_compat to avoid info leak

CVE-2025-40035

debian

5 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: I ...

EPSS

Процентиль: 21%

0.00068

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2