ГлавнаяБаза уязвимостей БДУ → BDU:2025-04290
4.6средняя

BDU:2025-04290 (CVE-2021-25786)

Уязвимость утилиты командной строки для преобразования PDF документов QPDF, связанная с использованием памяти после её освобождения, позволяющая нарушителю выполнять произвольный код
Опубликовано: 2025-04-14
Описание

Уязвимость утилиты командной строки для преобразования PDF документов QPDF связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю выполнять произвольный код путем обработки параметра Pl_ASCII85Decoder::write

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Server (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Red Hat Enterprise Linux (9)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)ОСОН ОСнова Оnyx (до 2.9)QPDF (10.0.4)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для QPDF:
https://github.com/qpdf/qpdf/issues/492

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-25786

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-25786

Для Ubuntu:
https://ubuntu.com/security/CVE-2021-25786

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-25786.html

Обновление программного обеспечения qpdf до версии 8.4.0-2+deb10u1.osnova3

Оценка CVSS
Балл4.6 — средняя опасность
Источники и патчи
https://github.com/qpdf/qpdf/issues/492https://redos.red-soft.ru/support/secure/https://access.redhat.com/security/cve/cve-2021-25786https://security-tracker.debian.org/tracker/CVE-2021-25786https://ubuntu.com/security/CVE-2021-25786https://www.suse.com/security/cve/CVE-2021-25786.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
Проверьте безопасность своего сайта и почты → Полная проверка домена