ГлавнаяБаза уязвимостей БДУ → BDU:2025-08472
7.8высокая

BDU:2025-08472 (CVE-2025-30204)

Уязвимость функции parse.ParseUnverified() библиотеки для работы с веб-токенами golang-jwt языка программирования Go, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2025-07-15
Описание

Уязвимость функции parse.ParseUnverified() библиотеки для работы с веб-токенами golang-jwt языка программирования Go связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, раскрыть защищаемую информацию

Затрагиваемое ПО и версии
openSUSE TumbleweedDebian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise Server for SAP Applications (15 SP5)АЛЬТ СП 10SUSE Liberty Linux (9)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Fedora (40)Suse Linux Enterprise Server (15 SP4-LTSS)Fedora (41)Suse Linux Enterprise Desktop (15 SP6)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)SUSE Linux Enterprise Module for Basesystem (15 SP6)OpenSUSE Leap (15.6)SUSE Linux Enterprise Module for Server Applications (15 SP6)SUSE Package Hub (15 SP6)Suse Linux Enterprise Server (15 SP5-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP5-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP5-ESPOS)Fedora (42)Suse Linux Enterprise Desktop (15 SP7)SUSE Linux Enterprise High Performance Computing (15 SP7)Suse Linux Enterprise Server (15 SP7)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций производителя:

Для Go:
https://github.com/golang-jwt/jwt/security/advisories/GHSA-mh63-6h87-95cp
https://github.com/golang-jwt/jwt/commit/0951d184286dece21f73c85673fd308786ffe9c3
https://github.com/golang-jwt/jwt/commit/bf316c48137a1212f8d0af9288cc9ce8e59f1afb

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-consul-cve-2025-22872-cve-2025-22870-cve-2025-30204/?sphrase_id=1075852
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Аврора Центр:
Обновить ППО ""Аврора Центр"" до версии 5.3.0 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-30204

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-30204

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2025-5fce1e4f70
https://bodhi.fedoraproject.org/updates/FEDORA-2025-e4d441a4dd
https://bodhi.fedoraproject.org/updates/FEDORA-2025-6241ca1662

Для Fedora EPEL:
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2025-ab0fae74f1

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-30204.html

Для ПК «ALD Pro»:
обновление программного обеспечения, применение оперативного обновления ПК «ALD Pro» 2.4.2, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2025-30204https://github.com/golang-jwt/jwt/security/advisories/GHSA-mh63-6h87-95cphttps://github.com/golang-jwt/jwt/commit/0951d184286dece21f73c85673fd308786ffe9c3https://github.com/golang-jwt/jwt/commit/bf316c48137a1212f8d0af9288cc9ce8e59f1afbhttps://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-consul-cve-2025-22872-cve-2025-22870-cve-2025-30204/?sphrase_id=1075852https://altsp.su/obnovleniya-bezopasnosti/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://security-tracker.debian.org/tracker/CVE-2025-30204
Проверьте безопасность своего сайта и почты → Полная проверка домена