Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2025-06114

CVSS: 7.8

15.04.2025

Уязвимость функции soup_header_parse_quality_list() библиотеки libsoup, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции soup_header_parse_quality_list() библиотеки libsoup связана с ошибками освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	15.04.2025
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Исчерпание ресурсов
Способ устранения:	Нет данных
Меры по устранению:	В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года. Использование рекомендаций: Для GNOME Foundation: https://gitlab.gnome.org/GNOME/libsoup/-/commit/c9083869ec2a3037e6df4bd86b45c419ba295f8e Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2025-46420 Для программных продуктов Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2025-46420 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2025-46420.html Для РедоС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Ubuntu: https://ubuntu.com/security/CVE-2025-46420 Компенсирующие меры: - минимизация пользовательских привилегий; - отключение/удаление неиспользуемых учётных записей пользователей; - контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-401	Некорректное освобождение памяти до удаления последней ссылки (утечка памяти)

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.8	HIGH	2.0	AV:N/AC:L/Au:N/C:N/I:N/A:C

Идентификаторы других систем описаний уязвимостей

CVE-2025-46420

Вендор:	Canonical Ltd. Red Hat Inc. Novell Inc. Сообщество свободного программного обеспечения ООО «Ред Софт» GNOME Foundation
Тип ПО:	Операционная система Сетевое программное средство
Наименование ПО:	Ubuntu Red Hat Enterprise Linux openSUSE Tumbleweed Debian GNU/Linux РЕД ОС SUSE Linux Enterprise Server for SAP Applications Suse Linux Enterprise Server SUSE Liberty Linux Suse Linux Enterprise Desktop OpenSUSE Leap libsoup
Версия ПО:	16.04 LTS (Ubuntu) 18.04 LTS (Ubuntu) 8 (Red Hat Enterprise Linux) - (openSUSE Tumbleweed) 20.04 LTS (Ubuntu) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 7.3 (РЕД ОС) 15 SP3 (SUSE Linux Enterprise Server for SAP Applications) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 22.04 LTS (Ubuntu) 9 (Red Hat Enterprise Linux) 8.2 Advanced Update Support (Red Hat Enterprise Linux) 15 SP3-LTSS (Suse Linux Enterprise Server) 15 SP5 (SUSE Linux Enterprise Server for SAP Applications) 8.4 Telecommunications Update Service (Red Hat Enterprise Linux) 8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux) 8.8 Extended Update Support (Red Hat Enterprise Linux) 9.2 Extended Update Support (Red Hat Enterprise Linux) 8 (SUSE Liberty Linux) 15 SP4-LTSS (Suse Linux Enterprise Server) 15 SP6 (Suse Linux Enterprise Desktop) 15 SP6 (Suse Linux Enterprise Server) 15 SP6 (SUSE Linux Enterprise Server for SAP Applications) 24.04 LTS (Ubuntu) 15.6 (OpenSUSE Leap) 9.0 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.6 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.6 Telecommunications Update Service (Red Hat Enterprise Linux) 8.6 Advanced Mission Critical Update Support (Red Hat Enterprise Linux) 12 SP5-LTSS (Suse Linux Enterprise Server) 12 SP5 LTSS Extended Security (Suse Linux Enterprise Server) 24.10 (Ubuntu) 9.4 Extended Update Support (Red Hat Enterprise Linux) 15 SP5-LTSS (Suse Linux Enterprise Server) до 3.6.3 (libsoup) 25.04 (Ubuntu)
ОС и аппаратные платформы:	Ubuntu (16.04 LTS) Ubuntu (18.04 LTS) Red Hat Enterprise Linux (8) openSUSE Tumbleweed (-) Ubuntu (20.04 LTS) Debian GNU/Linux (11) Debian GNU/Linux (12) РЕД ОС (7.3) SUSE Linux Enterprise Server for SAP Applications (15 SP3) SUSE Linux Enterprise Server for SAP Applications (15 SP4) Ubuntu (22.04 LTS) Red Hat Enterprise Linux (9) Red Hat Enterprise Linux (8.2 Advanced Update Support) Suse Linux Enterprise Server (15 SP3-LTSS) SUSE Linux Enterprise Server for SAP Applications (15 SP5) Red Hat Enterprise Linux (8.4 Telecommunications Update Service) Red Hat Enterprise Linux (8.4 Update Services for SAP Solutions) Red Hat Enterprise Linux (8.4 Advanced Mission Critical Update Support) Red Hat Enterprise Linux (8.8 Extended Update Support) Red Hat Enterprise Linux (9.2 Extended Update Support) SUSE Liberty Linux (8) Suse Linux Enterprise Server (15 SP4-LTSS) Suse Linux Enterprise Desktop (15 SP6) Suse Linux Enterprise Server (15 SP6) SUSE Linux Enterprise Server for SAP Applications (15 SP6) Ubuntu (24.04 LTS) OpenSUSE Leap (15.6) Red Hat Enterprise Linux (9.0 Update Services for SAP Solutions) Red Hat Enterprise Linux (8.6 Update Services for SAP Solutions) Red Hat Enterprise Linux (8.6 Telecommunications Update Service) Red Hat Enterprise Linux (8.6 Advanced Mission Critical Update Support) Suse Linux Enterprise Server (12 SP5-LTSS) Suse Linux Enterprise Server (12 SP5 LTSS Extended Security) Ubuntu (24.10) Red Hat Enterprise Linux (9.4 Extended Update Support) Suse Linux Enterprise Server (15 SP5-LTSS) Ubuntu (25.04)
Ссылки на источники:	https://nvd.nist.gov/vuln/detail/CVE-2025-46420 https://access.redhat.com/errata/RHSA-2025:4439 https://access.redhat.com/errata/RHSA-2025:4440 https://access.redhat.com/errata/RHSA-2025:4508 https://access.redhat.com/errata/RHSA-2025:4538 https://access.redhat.com/errata/RHSA-2025:4560 https://access.redhat.com/errata/RHSA-2025:4568 https://access.redhat.com/errata/RHSA-2025:4609 https://access.redhat.com/errata/RHSA-2025:4624 https://access.redhat.com/errata/RHSA-2025:7436 https://access.redhat.com/security/cve/CVE-2025-46420 https://bugzilla.redhat.com/show_bug.cgi?id=2361963 https://access.redhat.com/security/cve/CVE-2025-46420 https://security-tracker.debian.org/tracker/CVE-2025-46420 https://www.suse.com/security/cve/CVE-2025-46420.html http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://ubuntu.com/security/CVE-2025-46420

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2025-06114

BDU:2025-06114

Уязвимость функции soup_header_parse_quality_list() библиотеки libsoup, позволяющая нарушителю вызвать отказ в обслуживании

Идентификатор типа ошибки

CVSS

Идентификаторы других систем описаний уязвимостей