Описание
Уязвимость HTTP библиотеки для Python Urllib3 связана с выделением неограниченной памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор
Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Fedora Project
ООО «Ред Софт»
Andrey Petrov
Наименование ПО
Red Hat Enterprise Linux
OpenShift Container Platform
Ubuntu
Debian GNU/Linux
Ansible Automation Platform
Red Hat Openshift Data Foundation
Red Hat Satellite
Migration Toolkit for Virtualization
OpenShift Serverless
OpenShift Dev Spaces
Migration Toolkit for Containers
OpenShift Pipelines
Red Hat Advanced Cluster Security
Red Hat Ceph Storage
Logging subsystem for Red Hat OpenShift
Red Hat Developer Hub
multicluster engine for Kubernetes
Astra Linux Special Edition
OpenShift AI
Red Hat Enterprise Linux AI
Red Hat OpenShift Lightspeed
Fedora
Red Hat AI Inference Server
cert-manager Operator for Red Hat OpenShift
Confidential Compute Attestation
Multiarch Tuning Operator
Red Hat Discovery
Fedora EPEL
Assisted Installer for Red Hat OpenShift Container Platform
Red Hat OpenShift GitOps
РЕД ОС
urllib3
RHUI
Builds for Red Hat OpenShift
Network Observability Operator
OpenShift API for Data Protection
Multicluster Global Hub
Red Hat Quay
Red Hat Trusted Artifact Signer
Red Hat Update Infrastructure for Cloud Providers
Mirror registry for Red Hat OpenShift
Red Hat build of Quarkus Native builder
Red Hat Certification Program for Red Hat Enterprise Linux
Red Hat Connectivity Link
Red Hat Edge Manager preview
Red Hat Offline Knowledge Portal
Service Telemetry Framework
Версия ПО
8 (Red Hat Enterprise Linux)
4 (OpenShift Container Platform)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
2.0 (Ansible Automation Platform)
4 (Red Hat Openshift Data Foundation)
6 (Red Hat Satellite)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
8.2 Advanced Update Support (Red Hat Enterprise Linux)
- (Migration Toolkit for Virtualization)
- (OpenShift Serverless)
8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)
- (OpenShift Dev Spaces)
- (Migration Toolkit for Containers)
- (OpenShift Pipelines)
4 (Red Hat Advanced Cluster Security)
6 (Red Hat Ceph Storage)
- (Logging subsystem for Red Hat OpenShift)
- (Red Hat Developer Hub)
- (multicluster engine for Kubernetes)
24.04 LTS (Ubuntu)
7 (Red Hat Ceph Storage)
9.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.6 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.6 Telecommunications Update Service (Red Hat Enterprise Linux)
8.6 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)
7 Extended Lifecycle Support (Red Hat Enterprise Linux)
1.8 (Astra Linux Special Edition)
- (OpenShift AI)
- (Red Hat Enterprise Linux AI)
6.16 for RHEL 9 (Red Hat Satellite)
9.4 Extended Update Support (Red Hat Enterprise Linux)
8 (Red Hat Ceph Storage)
- (Red Hat OpenShift Lightspeed)
42 (Fedora)
10 (Red Hat Enterprise Linux)
8.8 Telecommunications Update Service (Red Hat Enterprise Linux)
8.8 Update Services for SAP Solutions (Red Hat Enterprise Linux)
9.2 Update Services for SAP Solutions (Red Hat Enterprise Linux)
- (Red Hat AI Inference Server)
- (cert-manager Operator for Red Hat OpenShift)
- (Confidential Compute Attestation)
- (Multiarch Tuning Operator)
13 (Debian GNU/Linux)
2 (Red Hat Discovery)
epel9 (Fedora EPEL)
8.4 Extended Update Support Long-Life Add-On (Red Hat Enterprise Linux)
epel10 (Fedora EPEL)
2 (Assisted Installer for Red Hat OpenShift Container Platform)
43 (Fedora)
1.17 (Red Hat OpenShift GitOps)
25.10 (Ubuntu)
9.6 Extended Update Support (Red Hat Enterprise Linux)
8.0 (РЕД ОС)
9 (Red Hat Ceph Storage)
10.0 Extended Update Support (Red Hat Enterprise Linux)
3.8 (Astra Linux Special Edition)
от 1.24 до 2.6.0 (urllib3)
6.17 for RHEL 9 (Red Hat Satellite)
4 for RHEL 8 (RHUI)
1.6.3 (Builds for Red Hat OpenShift)
1.18 (cert-manager Operator for Red Hat OpenShift)
1.11.0 (Network Observability Operator)
1.3 (OpenShift API for Data Protection)
3.2 (Red Hat AI Inference Server)
1.4.4 (Multicluster Global Hub)
1.5.3 (Multicluster Global Hub)
2.25 (OpenShift AI)
3.26 (OpenShift Dev Spaces)
1.18 (Red Hat OpenShift GitOps)
3.1 (Red Hat Quay)
3.12 (Red Hat Quay)
3.9 (Red Hat Quay)
3.13 (Red Hat Quay)
3.14 (Red Hat Quay)
3.15 (Red Hat Quay)
3.16 (Red Hat Quay)
6.18 (Red Hat Satellite)
1.2 (Red Hat Trusted Artifact Signer)
1.3 (Red Hat Trusted Artifact Signer)
5 (Red Hat Update Infrastructure for Cloud Providers)
2 (Mirror registry for Red Hat OpenShift)
- (Red Hat build of Quarkus Native builder)
9 (Red Hat Certification Program for Red Hat Enterprise Linux)
1 (Red Hat Connectivity Link)
- (Red Hat Edge Manager preview)
3 (Red Hat Enterprise Linux AI)
- (Red Hat Offline Knowledge Portal)
1.5 (Service Telemetry Framework)
Тип ПО
Операционная система
Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства
Сетевое средство
ПО программно-аппаратного средства
ПО для разработки ИИ
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support
Canonical Ltd. Ubuntu 24.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9.0 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.6 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.6 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.6 Advanced Mission Critical Update Support
Red Hat Inc. Red Hat Enterprise Linux 7 Extended Lifecycle Support
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Red Hat Inc. Red Hat Enterprise Linux AI -
Red Hat Inc. Red Hat Enterprise Linux 9.4 Extended Update Support
Fedora Project Fedora 42
Red Hat Inc. Red Hat Enterprise Linux 10
Red Hat Inc. Red Hat Enterprise Linux 8.8 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.8 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 9.2 Update Services for SAP Solutions
Сообщество свободного программного обеспечения Debian GNU/Linux 13
Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support Long-Life Add-On
Fedora Project Fedora 43
Canonical Ltd. Ubuntu 25.10
Red Hat Inc. Red Hat Enterprise Linux 9.6 Extended Update Support
ООО «Ред Софт» РЕД ОС 8.0
Red Hat Inc. Red Hat Enterprise Linux 10.0 Extended Update Support
ООО «РусБИТех-Астра» Astra Linux Special Edition 3.8
Red Hat Inc. Red Hat Enterprise Linux AI 3
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)
Возможные меры по устранению уязвимости
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Urllib3:
https://github.com/urllib3/urllib3/security/advisories/GHSA-gm62-xv2j-4w53
Для ОС Astra Linux:
обновить пакет python-urllib3 до 1.26.12-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-66418
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-66418
Для Ubuntu:
https://ubuntu.com/security/CVE-2025-66418
Для Fedora:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2025-66418
Для Ред ОС:
http://repo.red-soft.ru/redos/8.0/x86_64/updates/
Для ОС Astra Linux:
обновить пакет python-urllib3 до 1.26.12-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 8%
0.00029
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
4 месяца назад
urllib3 is a user-friendly HTTP client library for Python. Starting in version 1.24 and prior to 2.6.0, the number of links in the decompression chain was unbounded allowing a malicious server to insert a virtually unlimited number of compression steps leading to high CPU usage and massive memory allocation for the decompressed data. This vulnerability is fixed in 2.6.0.
CVSS3: 7.5
redhat
4 месяца назад
urllib3 is a user-friendly HTTP client library for Python. Starting in version 1.24 and prior to 2.6.0, the number of links in the decompression chain was unbounded allowing a malicious server to insert a virtually unlimited number of compression steps leading to high CPU usage and massive memory allocation for the decompressed data. This vulnerability is fixed in 2.6.0.
CVSS3: 7.5
nvd
4 месяца назад
urllib3 is a user-friendly HTTP client library for Python. Starting in version 1.24 and prior to 2.6.0, the number of links in the decompression chain was unbounded allowing a malicious server to insert a virtually unlimited number of compression steps leading to high CPU usage and massive memory allocation for the decompressed data. This vulnerability is fixed in 2.6.0.
msrc
3 месяца назад
urllib3 allows an unbounded number of links in the decompression chain
EPSS
Процентиль: 8%
0.00029
Низкий
7.5 High
CVSS3
7.8 High
CVSS2