ГлавнаяБаза уязвимостей БДУ → BDU:2025-03944
7.8высокая

BDU:2025-03944 (CVE-2025-3155)

Уязвимость справочной системы Yelp, связанная с включением функций из недостоверной контролируемой области при обработке документов с использованием схемы ghelp, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и выполнить произвольный код
Опубликовано: 2025-04-09
Описание

Уязвимость справочной системы Yelp связана с включением функций из недостоверной контролируемой области при обработке документов с использованием схемы ghelp. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации и выполнить произвольный код

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)РОСА ХРОМ (12.4)Astra Linux Special Edition (1.8)ОСОН ОСнова Оnyx (до 2.12)Yelp (42.1)ОСОН ОСнова Оnyx (до 2.13)ОСОН ОСнова Оnyx (до 2.14)МСВСфера (9.5)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Компенсирующие меры:
Для Yelp:
- использование средств межсетевого экранирования уровня веб-приложений (WAF);
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому устройству;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций:
Для ОСОН Основа:
Обновление программного обеспечения yelp до версии 3.31.90-1osnova2u1

Обновление программного обеспечения yelp до версии 3.31.90-1osnova2u1

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2926

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2925

Для ОС Astra Linux:
обновить пакет yelp до 42.2-1+ubuntu0.24.04.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2926

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2925

Для ОС Astra Linux:
- обновить пакет yelp до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет yelp-xsl до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Обновление программного обеспечения yelp-xsl до версии 3.38.3-1+deb11u1

Для ОС Astra Linux:
- обновить пакет yelp до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет yelp-xsl до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:7430?lang=ru

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
- обновить пакет yelp до 3.22.0-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
- обновить пакет yelp-xsl до 3.20.1-2+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения yelp до версии 42.2-1osnova3u1

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения yelp-xsl до версии 42.1-2+deb12u1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://wiki.gnome.org/Apps/Yelphttp://www.openwall.com/lists/oss-security/2025/04/04/1https://access.redhat.com/security/cve/CVE-2025-3155https://bugzilla.redhat.com/show_bug.cgi?id=2357091https://gist.github.com/parrot409/e970b155358d45b298d7024edd9b17f2https://securityonline.info/poc-released-for-cve-2025-3155-yelp-flaw-can-expose-ssh-keys-on-ubuntu-systems/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/Оперативные_исправления/2025-04-11/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.13/
Проверьте безопасность своего сайта и почты → Полная проверка домена