22.05.2025

Уязвимость BDU:2025-12349

Идентификатор: BDU:2025-12349.

Наименование уязвимости: Уязвимость компонента net/sched/sch_hfsc.c ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость компонента net/sched/sch_hfsc.c ядра операционной системы Linux связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Уязвимое ПО: Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8 | Операционная система Linux до 5.4.294 | Операционная система Linux от 5.5 до 5.10.238 | Операционная система Linux от 6.15.0 до 6.15.1 | Операционная система Linux от 5.11 до 5.15.185 | Операционная система Linux от 5.16 до 6.1.141 | Операционная система Linux от 6.2 до 6.6.93 | Операционная система Linux от 6.13.0 до 6.14.10 | Операционная система Linux от 6.7 до 6.12.32 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.14 |

Возможные меры по устранению:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Linux:
https://lore.kernel.org/linux-cve-announce/2025060650-CVE-2025-38001-f921@gregkh/

Для ОС Astra Linux:
— обновить пакет linux-6.1 до 6.1.141-1.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
— обновить пакет linux-6.12 до 6.12.34-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Обновление программного обеспечения linux до версии 6.6.108-0.osnova2u1

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-38001.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://git.kernel.org/linus/ac9fe7dd8e730a103ae4481147395cc73492d786
https://git.kernel.org/stable/c/295f7c579b07b5b7cf2dffe485f71cc2f27647cb
https://git.kernel.org/stable/c/2c928b3a0b04a431ffcd6c8b7d88a267124a3a28
https://git.kernel.org/stable/c/2f2190ce4ca972051cac6a8d7937448f8cb9673c
https://git.kernel.org/stable/c/39ed887b1dd2d6b720f87e86692ac3006cc111c8
https://git.kernel.org/stable/c/4e38eaaabfb7fffbb371a51150203e19eee5d70e
https://git.kernel.org/stable/c/6672e6c00810056acaac019fe26cdc26fee8a66c
https://git.kernel.org/stable/c/a0ec22fa20b252edbe070a9de8501eef63c17ef5
https://git.kernel.org/stable/c/ac9fe7dd8e730a103ae4481147395cc73492d786
https://git.kernel.org/stable/c/e5bee633cc276410337d54b99f77fbc1ad8801e5
https://github.com/0xdevil/CVE-2025-38001
https://github.com/0xdevil/security-research/tree/CVE-2025-38001/pocs/linux/kernelctf/CVE-2025-38001_lts_cos_mitigation
https://lore.kernel.org/linux-cve-announce/2025060650-CVE-2025-38001-f921@gregkh/
https://nvd.nist.gov/vuln/detail/CVE-2025-38001
https://security-tracker.debian.org/tracker/CVE-2025-38001
https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.14/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Автор: ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.

Комментарии: