ГлавнаяБаза уязвимостей БДУ → BDU:2025-03806
7.1высокая

BDU:2025-03806 (CVE-2025-0306)

Уязвимость интерпретатора Ruby, связанная с использованием скрытых временных каналов для передачи данных, позволяющая нарушителю реализовать атаку Marvin
Опубликовано: 2025-04-07
Описание

Уязвимость интерпретатора Ruby связана с использованием скрытых временных каналов для передачи данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку Marvin

Затрагиваемое ПО и версии
Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise Server for SAP Applications (11 SP3)Suse Linux Enterprise Server (11 SP4)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)Suse Linux Enterprise Server (12-LTSS)SUSE Linux Enterprise Server for SAP Applications (11 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP1-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Suse Linux Enterprise Server (11 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Desktop (12 SP2)Suse Linux Enterprise Server (12 SP2)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Desktop (12 SP1)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Ruby:
обновление программного средства до актуальной версии

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2025-0306

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-0306.html

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-0306

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-ruby-cve-2025-0306/https://access.redhat.com/security/cve/CVE-2025-0306https://bugzilla.redhat.com/show_bug.cgi?id=2336100https://www.suse.com/security/cve/CVE-2025-0306.htmlhttps://security-tracker.debian.org/tracker/CVE-2025-0306
Проверьте безопасность своего сайта и почты → Полная проверка домена