ГлавнаяБаза уязвимостей БДУ → BDU:2025-03866
7.8высокая

BDU:2025-03866 (CVE-2025-31115)

Уязвимость функции lzma_stream_decoder_mt() библиотеки liblzma пакета для сжатия данных XZ Utils, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-06-09
Описание

Уязвимость функции lzma_stream_decoder_mt() библиотеки liblzma пакета для сжатия данных XZ Utils связана с преждевременным высвобождением ресурсов в результате разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.8)XZ Utils (от 5.3.3alpha до 5.4)XZ Utils (до 5.6)XZ Utils (до 5.8.1)ОСОН ОСнова Оnyx (до 2.13)Astra Linux Special Edition (3.8)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному средству;
- сегментирование сети для ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- использование средств резервного копирования для обеспечения возможности восстановления системы после сбоя;
- ограничение доступа из внешних сетей (Интернет).

Использование рекомендаций:
https://github.com/tukaani-project/xz/security/advisories/GHSA-6cc8-p5mm-29w2

Обновление программного обеспечения xz-utils до версии 5.4.1-1

Для ОС Astra Linux:
обновить пакет xz-utils до 5.8.1-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для ОС Astra Linux:
обновить пакет xz-utils до 5.8.1-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОС Astra Linux:
обновить пакет xz-utils до 5.8.1-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения xz-utils до версии 5.4.1-1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/tukaani-project/xz/security/advisories/GHSA-6cc8-p5mm-29w2http://www.openwall.com/lists/oss-security/2025/04/03/1http://www.openwall.com/lists/oss-security/2025/04/03/2http://www.openwall.com/lists/oss-security/2025/04/03/3https://github.com/tukaani-project/xz/commit/d5a2ffe41bb77b918a8c96084885d4dbe4bf6480https://tukaani.org/xz/xz-cve-2025-31115.patchhttps://tukaani.org/xz/threaded-decoder-early-free.htmlhttps://seclists.org/oss-sec/2025/q2/9
Проверьте безопасность своего сайта и почты → Полная проверка домена