ГлавнаяБаза уязвимостей БДУ → BDU:2025-09127
6высокая

BDU:2025-09127 (CVE-2025-38413)

Уязвимость функции xsk_pool_get_rx_frame_size() компонента virtio-net ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2025-07-29
Описание

Уязвимость функции xsk_pool_get_rx_frame_size() компонента virtio-net ядра операционной системы Linux связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.8)Red Hat Enterprise Linux (10)Linux (до 6.16 rc5)Linux (от 6.11 до 6.12.37)Linux (от 6.11 до 6.15.6)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://lore.kernel.org/linux-cve-announce/2025072521-CVE-2025-38413-d64f@gregkh/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-38413

Для ОС Astra Linux:
обновить пакет linux-6.12 до 6.12.47-1.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18

Оценка CVSS
Балл6 — высокая опасность
Источники и патчи
https://git.kernel.org/stable/c/5177373c31318c3c6a190383bfd232e6cf565c36https://git.kernel.org/stable/c/6013bb6bc24c2cac3f45b37a15b71b232a5b00ffhttps://git.kernel.org/stable/c/892f6ed9a4a38bb3360fdff091b9241cfa105b61https://lore.kernel.org/linux-cve-announce/2025072521-CVE-2025-38413-d64f@gregkh/https://vuldb.com/fr/?id.317632https://access.redhat.com/security/cve/cve-2025-38413https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена