BDU:2025-09993
АО "НППКТ", Novell Inc., ООО «Ред Софт», Canonical Ltd., Red Hat Inc., ООО «НЦПР», Сообщество свобод SUSE Manager Retail Branch Server, Red Hat Enterprise Linux, SUSE Linux Micro, Debian GNU/Linux, SUS
2025-06-03
Уязвимость модуля tarfile интерпретатора языка программирования Python (CPython) связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Python: https://mail.python.org/archives/list/security-announce@python.org/thread/MAXIJJCUUMCL7ATZNDVEGGHUMQMUUKLG/ https://github.com/python/cpython/issues/135034 https://github.com/python/cpython/pull/135037
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2023-9d033517d4 https://bodhi.fedoraproject.org/updates/FEDORA-2024-82a696ca59 https://bodhi.fedoraproject.org/updates/FEDORA-2025-3436f3d2b4 https://bodhi.fedoraproject.org/updates/FEDORA-2025-41dc96c19a
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2025-4330
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2025-4330
Для Ubuntu: https://ubuntu.com/security/CVE-2025-4330
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2025-4330.html
Обновление программного обеспечения python3.9 до версии 3.9.23-1.osnova2u1
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:10136?lang=ru