Куда я попал?
BDU:2025-04706
CVSS: 10
16.04.2025
Уязвимость реализации протокола SSH из набора библиотек Erlang/OTP, связанная с отсутствием проверки подлинности для критически важной функции, позволяющая нарушителю выполнить произвольный код
Уязвимость реализации протокола SSH из набора библиотек Erlang/OTP связана с отсутствием проверки подлинности для критически важной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных SSH-пакетов
| Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
| Дата выявления: | 16.04.2025 |
| Класс уязвимости: | Уязвимость кода |
| Наличие эксплойта: | Существует в открытом доступе |
| Способ эксплуатации: | Нарушение аутентификации |
| Способ устранения: | Нет данных |
| Меры по устранению: | Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - ограничение возможности использование протокола SSH; - использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному обеспечению; - использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению; - использование виртуальных частных сетей для организации удаленного доступа (VPN). Использование рекомендаций: https://github.com/erlang/otp/commit/0fcd9c56524b28615e8ece65fc0c3f66ef6e4c12 https://github.com/erlang/otp/commit/6eef04130afc8b0ccb63c9a0d8650209cf54892f https://github.com/erlang/otp/commit/b1924d37fd83c070055beb115d5d6a6a9490b891 Для Cisco Sytstem Inc.: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-erlang-otp-ssh-xyZZy Для Schneider Electric: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-133-05&;p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-133-05.pdf Для ОС Astra Linux: обновить пакет erlang до 1:22.2.7+dfsg-1+deb10u2.astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0507SE17MD Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Astra Linux: обновить пакет erlang до 1:25.2.3+dfsg-1+deb12u1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0519SE18MD |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
| Идентификатор | Описание |
|---|---|
| CWE-306 | CWE-306: Missing Authentication for Critical Function |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2025-32433 | Erlang/OTP SSH Vulnerable to Pre-Authentication RCE |
CVSS
Система общей оценки уязвимостей
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 10 | CRITICAL | 2.0 | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Идентификаторы других систем описаний уязвимостей
CVE-2025-32433
| Вендор: |
|
| Тип ПО: |
|
| Наименование ПО: |
|
| Версия ПО: |
|
| ОС и аппаратные платформы: |
|
| Ссылки на источники: |
|
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.