ГлавнаяБаза уязвимостей БДУ → BDU:2025-08363
9.4критическая

BDU:2025-08363 (CVE-2025-40908)

Уязвимость функции open() пакета YAML-LibYAML интерпретатора языка программирования Perl языка программирования Go, позволяющая нарушителю получить несанкционированный доступ на изменение произвольных файлов
Опубликовано: 2025-07-11
Описание

Уязвимость функции open() пакета YAML-LibYAML интерпретатора языка программирования Perl языка программирования Go связана с использованием файлов и каталогов, доступных внешним сторонам. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ на изменение произвольных файлов

Затрагиваемое ПО и версии
Suse Linux Enterprise Server (12)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP1-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Desktop (12 SP2)Suse Linux Enterprise Server (12 SP2)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Desktop (12 SP1)Suse Linux Enterprise Server (12 SP1)Suse Linux Enterprise Server (12 SP4 LTSS)Suse Linux Enterprise Server (12 SP4-ESPOS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)OpenSUSE Leap (15.3)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для пакета YAML-LibYAML:
https://github.com/ingydotnet/yaml-libyaml-pm/pull/121
https://github.com/ingydotnet/yaml-libyaml-pm/pull/122

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-40908

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-40908

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-40908.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-libyaml-cve-2025-40908/?sphrase_id=1370767



Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет libyaml-libyaml-perl до 0.86+ds-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения libyaml-libyaml-perl до версии 0.86+ds-1+deb12u1

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://github.com/ingydotnet/yaml-libyaml-pm/issues/120https://github.com/ingydotnet/yaml-libyaml-pm/pull/121https://github.com/ingydotnet/yaml-libyaml-pm/pull/122https://github.com/ingydotnet/yaml-libyaml-pm/commit/3c2239cfc34922d0aeeb6776a6281b4ff0de8a4fhttps://access.redhat.com/security/cve/cve-2025-40908https://security-tracker.debian.org/tracker/CVE-2025-40908https://www.suse.com/security/cve/CVE-2025-40908.htmlhttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена