BDU:2025-08363
Novell Inc., ООО «Ред Софт», Red Hat Inc., АО «ИВК», Ingy dot Net, Сообщество свободного программног Red Hat Enterprise Linux, АЛЬТ СП 10, Astra Linux Special Edition, SUSE Linux Enterprise Server for
2025-06-01
Уязвимость функции open() пакета YAML-LibYAML интерпретатора языка программирования Perl языка программирования Go связана с использованием файлов и каталогов, доступных внешним сторонам. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ на изменение произвольных файлов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для пакета YAML-LibYAML:
https://github.com/ingydotnet/yaml-libyaml-pm/pull/121
https://github.com/ingydotnet/yaml-libyaml-pm/pull/122
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2025-40908
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2025-40908
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2025-40908.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-libyaml-cve-2025-40908/?sphrase_id=1370767
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Astra Linux: обновить пакет libyaml-libyaml-perl до 0.86+ds-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18