Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-06683

Опубликовано: 21 дек. 2025
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость эмулятора аппаратного обеспечения QEMU связана с выделением неограниченной памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Canonical Ltd.
Fedora Project
Сообщество свободного программного обеспечения

Наименование ПО

Astra Linux Special Edition
Ubuntu
Fedora
Debian GNU/Linux
QEMU

Версия ПО

1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
24.04 LTS (Ubuntu)
42 (Fedora)
13 (Debian GNU/Linux)
43 (Fedora)
25.10 (Ubuntu)
от 10.1.0 до 10.1.4 (QEMU)
от 10.2.0 до 10.2.1 (QEMU)
от 7.1.0 до 10.0.8 (QEMU)

Тип ПО

Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 24.04 LTS
Fedora Project Fedora 42
Сообщество свободного программного обеспечения Debian GNU/Linux 13
Fedora Project Fedora 43
Canonical Ltd. Ubuntu 25.10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для QEMU:
https://github.com/advisories/GHSA-gq25-pccv-6q8j
Для ОС Astra Linux:
обновить пакет qemu до 1:7.2+dfsg-8.astra.se33 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2026-0421SE17
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-14876
Для Ubuntu:
https://ubuntu.com/security/CVE-2025-14876
Для Fedora:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2025-14876
Для ОС Astra Linux:
обновить пакет qemu до 1:7.2+dfsg-8.astra.se33 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2026-0518SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 3%
0.00137
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-14876

CVSS3: 5.5
ubuntu
4 месяца назад

A flaw was found in the virtio-crypto device of QEMU. A malicious guest operating system can exploit a missing length limit in the AKCIPHER path, leading to uncontrolled memory allocation. This can result in a denial of service (DoS) on the host system by causing the QEMU process to terminate unexpectedly.

redhat логотип

CVE-2025-14876

CVSS3: 5.5
redhat
6 месяцев назад

A flaw was found in the virtio-crypto device of QEMU. A malicious guest operating system can exploit a missing length limit in the AKCIPHER path, leading to uncontrolled memory allocation. This can result in a denial of service (DoS) on the host system by causing the QEMU process to terminate unexpectedly.

nvd логотип

CVE-2025-14876

CVSS3: 5.5
nvd
4 месяца назад

A flaw was found in the virtio-crypto device of QEMU. A malicious guest operating system can exploit a missing length limit in the AKCIPHER path, leading to uncontrolled memory allocation. This can result in a denial of service (DoS) on the host system by causing the QEMU process to terminate unexpectedly.

debian логотип

CVE-2025-14876

CVSS3: 5.5
debian
4 месяца назад

A flaw was found in the virtio-crypto device of QEMU. A malicious gues ...

suse-cvrf логотип

SUSE-SU-2026:0889-1

suse-cvrf
3 месяца назад

Security update for qemu

EPSS

Процентиль: 3%
0.00137
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2