ГлавнаяБаза уязвимостей БДУ → BDU:2025-03980
6.4критическая

BDU:2025-03980 (CVE-2021-4048)

Уязвимость функций CLARRV(), DLARRV(), SLARRV() и ZLARRV() библиотеки для численных вычислений линейной алгебры LAPACK, библиотеки линейной алгебры OpenBLAS, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Опубликовано: 2025-04-09
Описание

Уязвимость функций CLARRV(), DLARRV(), SLARRV() и ZLARRV() библиотеки для численных вычислений линейной алгебры LAPACK, библиотеки линейной алгебры OpenBLAS связана с чтением за допустимыми границами буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПАЛЬТ СП 10LAPACK (до 3.10.1)OpenBLAS (до 0.3.18)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для LAPACK:
https://github.com/Reference-LAPACK/lapack/commit/38f3eeee3108b18158409ca2a100e6fe03754781

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-4048

Для OpenBLAS:
https://github.com/OpenMathLib/OpenBLAS/commit/ddb0ff5353637bb5f5ad060c9620e334c143e3d7

Для ОС Astra Linux:
обновить пакет lapack до 3.8.0-2+ci202409031445+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет lapack до 3.8.0-2+ci202409031445+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл6.4 — критическая опасность
Источники и патчи
https://github.com/JuliaLang/julia/issues/42415https://github.com/OpenMathLib/OpenBLAS/commit/ddb0ff5353637bb5f5ad060c9620e334c143e3d7https://github.com/Reference-LAPACK/lapack/commit/38f3eeee3108b18158409ca2a100e6fe03754781https://github.com/Reference-LAPACK/lapack/pull/625https://github.com/xianyi/OpenBLAS/commit/2be5ee3cca97a597f2ee2118808a2d5eacea050chttps://github.com/xianyi/OpenBLAS/commit/337b65133df174796794871b3988cd03426e6d41https://github.com/xianyi/OpenBLAS/commit/ddb0ff5353637bb5f5ad060c9620e334c143e3d7https://github.com/xianyi/OpenBLAS/commit/fe497efa0510466fd93578aaf9da1ad8ed4edbe7
Проверьте безопасность своего сайта и почты → Полная проверка домена