BDU:2025-05682

ООО «Ред Софт», The GNU Project, АО «НТЦ ИТ РОСА», ООО «РусБИТех-Астра», АО «СберТех», ООО «Открытая Platform V SberLinux OS Server, Astra Linux Special Edition, ОС Аврора, РЕД ОС, РОСА ХРОМ, glibc

НЕ ОЦЕНЕНО
Дата обнаружения

2025-05-15

Официальное описание

Уязвимость функции dlopen() системной библиотеки glibc связана с использованием ненадёжного пути поиска исполняемых программ при обработке переменной LD_LIBRARY_PATH. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного двоичного файла setuid.

🛡️
Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры: - ограничение возможности использования пользовательских программ setuid; - минимизация пользовательских привилегий; - отключение/удаление неиспользуемых учетных записей пользователей.

Использование рекомендаций: https://sourceware.org/cgit/glibc/commit/?id=1e18586c5820e329f741d5c710275e165581380e

Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-glibc-cve-2025-4802/?sphrase_id=1129872

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2946

Для ОС Astra Linux: обновить пакет glibc до 2.36-9+deb12u7.astra8+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2946

Для ОС Astra Linux: обновить пакет glibc до 2.28-10+deb10u4.astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux: обновить пакет glibc до 2.28-10+deb10u4.astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для ОС Аврора: https://cve.omp.ru/bb30515

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей