ГлавнаяБаза уязвимостей БДУ → BDU:2025-03389
7.8высокая

BDU:2025-03389 (CVE-2025-24970)

Уязвимость сетевого программного средства Netty, связанная с неправильной проверкой входных данных, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-03-27
Описание

Уязвимость сетевого программного средства Netty связана с недостаточной проверкой введенных пользователем данных в SslHandler при использовании собственного SSLEngine. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
openSUSE TumbleweedRed Hat AMQ Broker (7)Debian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)OpenShift ServerlessLogging subsystem for Red Hat OpenShiftSUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP4-LTSS)Red Hat build of Apache Camel for QuarkusSuse Linux Enterprise Desktop (15 SP6)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)SUSE Linux Enterprise Module for Package Hub (15 SP6)OpenSUSE Leap (15.6)SUSE Linux Enterprise Module for Development Tools (15 SP6)Cryostat (3)Red Hat build of Apache Camel for Spring Boot (4)Suse Linux Enterprise Server (15 SP5-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP5-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP5-ESPOS)netty (от 4.1.97.Final до 4.1.118.Final включительно)Red Hat build of Quarkus (3.15.3.SP1)
Способ устранения

Использование рекомендаций:
https://github.com/netty/netty/commit/87f40725155b2f89adfde68c7732f97c153676c4
https://github.com/netty/netty/security/advisories/GHSA-4g8c-wm8x-jfhw

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-24970

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-24970

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-24970.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://github.com/netty/netty/commit/87f40725155b2f89adfde68c7732f97c153676c4https://github.com/netty/netty/security/advisories/GHSA-4g8c-wm8x-jfhwhttps://security-tracker.debian.org/tracker/CVE-2025-24970https://access.redhat.com/security/cve/cve-2025-24970https://www.suse.com/security/cve/CVE-2025-24970.htmlhttps://www.vicarius.io/vsociety/posts/cve-2025-24970-netty-vulnerability-detection
Проверьте безопасность своего сайта и почты → Полная проверка домена