ГлавнаяБаза уязвимостей БДУ → BDU:2025-03138
7.8высокая

BDU:2025-03138 (CVE-2025-27113)

Уязвимость функции xmlPatMatch() в файле pattern.c библиотеки libxml2, связанная с разыменованием нулевого указателя, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-03-24
Описание

Уязвимость функции xmlPatMatch() в файле pattern.c библиотеки libxml2 связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
JBoss Core ServicesРЕД ОС (7.3)Альт 8 СПAstra Linux Common Edition (1.6 «Смоленск»)РОСА ХРОМ (12.4)АЛЬТ СП 10Astra Linux Special Edition (1.8)УСШ (PBC-01R) (2.0.1)libxml2 (до 2.12.10)libxml2 (от 2.13.0 до 2.13.6)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.14)Astra Linux Special Edition (3.8)ОСОН ОСнова Оnyx (до 3.1)Axiom AxiomJDK (до 8u452)Axiom AxiomJDK (до 11.0.27)Axiom AxiomJDK (до 17.0.15)Axiom AxiomJDK (до 21.0.7)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций производителя:
https://gitlab.gnome.org/GNOME/libxml2/-/issues/861

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/DLA-4064-1
https://security-tracker.debian.org/tracker/CVE-2025-27113

Для Ubuntu:
https://ubuntu.com/security/CVE-2025-27113

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-27113

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- использование антивирусного программного обеспечения для предотвращения попыток эксплуатации уязвимости;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2919

Для ОС Astra Linux:
обновить пакет libxml2 до 2.9.14+dfsg-1.3~deb12u1.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»:
https://abf.rosa.ru/advisories/ROSA-SA-2025-2962

Обновление программного обеспечения libxml2 до версии 2.9.10+dfsg-6.7+deb11u8.osnova2u1

Для ОС Astra Linux:
обновить пакет libxml2 до 2.9.4+dfsg1-2.2+deb9u14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Для ОС Astra Linux:
обновить пакет libxml2 до 2.9.14+dfsg-1.3~deb12u1.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОС Astra Linux:
обновить пакет libxml2 до 2.9.14+dfsg-1.3~deb12u1.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения libxml2 до версии 2.9.14+dfsg-1.3~deb12u4

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://gitlab.gnome.org/GNOME/libxml2/-/issues/861https://vulners.com/cve/CVE-2025-27113https://security.netapp.com/advisory/ntap-20250306-0004/https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://abf.rosa.ru/advisories/ROSA-SA-2025-2919https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена