BDU:2025-09992
АО "НППКТ", Novell Inc., ООО «Ред Софт», Canonical Ltd., Red Hat Inc., ООО «НЦПР», Сообщество свобод SUSE Manager Retail Branch Server, Red Hat Enterprise Linux, SUSE Linux Micro, Debian GNU/Linux, SUS
2025-06-03
Уязвимость модуля tarfile интерпретатора языка программирования Python (CPython) связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Python: https://github.com/python/cpython/pull/135037 https://github.com/python/cpython/issues/135034 https://mail.python.org/archives/list/security-announce@python.org/thread/MAXIJJCUUMCL7ATZNDVEGGHUMQMUUKLG/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2025-4138
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2025-4138
Для Ubuntu: https://ubuntu.com/security/CVE-2025-4138
Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2023-9d033517d4 https://bodhi.fedoraproject.org/updates/FEDORA-2024-82a696ca59 https://bodhi.fedoraproject.org/updates/FEDORA-2025-3436f3d2b4 https://bodhi.fedoraproject.org/updates/FEDORA-2025-41dc96c19a
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2025-4138.html
Обновление программного обеспечения python3.9 до версии 3.9.23-1.osnova2u1
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:10136?lang=ru