ГлавнаяБаза уязвимостей БДУ → BDU:2025-10932
10критическая

BDU:2025-10932 (CVE-2025-5914)

Уязвимость функции archive_read_format_rar_seek_data() библиотеки Libarchive, позволяющая нарушителю выполнить произвольный код и вызвать отказ в обслуживании
Опубликовано: 2025-09-10
Описание

Уязвимость функции archive_read_format_rar_seek_data() библиотеки Libarchive связана с ошибкой повторного освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8)Ubuntu (20.04 LTS)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПUbuntu (22.04 LTS)Red Hat Enterprise Linux (8.2 Advanced Update Support)Red Hat Enterprise Linux (8.4 Advanced Mission Critical Update Support)АЛЬТ СП 10Ubuntu (24.04 LTS)Red Hat Enterprise Linux (8.6 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.6 Telecommunications Update Service)Red Hat Enterprise Linux (8.6 Advanced Mission Critical Update Support)Red Hat Enterprise Linux (7 Extended Lifecycle Support)Astra Linux Special Edition (1.8)Ubuntu (25.04)Red Hat Enterprise Linux (10)Red Hat Enterprise Linux (8.8 Telecommunications Update Service)Platform V SberLinux OS Server (9.1)Red Hat Enterprise Linux (8.4 Extended Update Support Long-Life Add-On)libarchive (до 3.8.0)МСВСфера (9.5)Platform V SberLinux OS Server (9.1.1-fstec)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций производителя:
https://github.com/libarchive/libarchive/pull/2598
https://github.com/libarchive/libarchive/releases/tag/v3.8.0

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-5914

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-5914

Для программных продуктов Ubuntu:
https://ubuntu.com/security/CVE-2025-5914

Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет libarchive до 3.8.1-0astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для ОС Astra Linux:
обновить пакет libarchive до 3.8.1-0astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет libarchive до 3.8.1-0astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:14130?lang=ru

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/





Для ОСОН ОСнова Оnyx: Обновление программного обеспечения libarchive до версии 3.6.2-1+deb12u3.osnova3u1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/libarchive/libarchive/pull/2598https://github.com/libarchive/libarchive/releases/tag/v3.8.0https://access.redhat.com/security/cve/cve-2025-5914https://security-tracker.debian.org/tracker/CVE-2025-5914https://ubuntu.com/security/CVE-2025-5914https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена