7.8высокая
BDU:2025-03389 (CVE-2025-24970)
Уязвимость сетевого программного средства Netty, связанная с неправильной проверкой входных данных, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-03-27
Описание
Уязвимость сетевого программного средства Netty связана с недостаточной проверкой введенных пользователем данных в SslHandler при использовании собственного SSLEngine. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Затрагиваемое ПО и версии
openSUSE TumbleweedRed Hat AMQ Broker (7)Debian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)OpenShift ServerlessLogging subsystem for Red Hat OpenShiftSUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP4-LTSS)Red Hat build of Apache Camel for QuarkusSuse Linux Enterprise Desktop (15 SP6)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)SUSE Linux Enterprise Module for Package Hub (15 SP6)OpenSUSE Leap (15.6)SUSE Linux Enterprise Module for Development Tools (15 SP6)Cryostat (3)Red Hat build of Apache Camel for Spring Boot (4)Suse Linux Enterprise Server (15 SP5-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP5-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP5-ESPOS)netty (от 4.1.97.Final до 4.1.118.Final включительно)Red Hat build of Quarkus (3.15.3.SP1)
Способ устранения
Использование рекомендаций:
https://github.com/netty/netty/commit/87f40725155b2f89adfde68c7732f97c153676c4
https://github.com/netty/netty/security/advisories/GHSA-4g8c-wm8x-jfhw
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-24970
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-24970
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-24970.html
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи