BDU:2025-11076
Free Software Foundation, Inc., АО "НППКТ", ООО «Ред Софт», Canonical Ltd., Red Hat Inc., АО «ИВК», Red Hat Enterprise Linux, Astra Linux Common Edition, АЛЬТ СП 10, Platform V SberLinux OS Server, As
2025-07-10
Уязвимость функции asn1_delete_structure() библиотеки безопасности транспортного уровня GnuTLS связана с ошибкой повторного освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2025-32988
Для программных продуктов Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2025-32988
Для программных продуктов Ubuntu: https://ubuntu.com/security/CVE-2025-32988
Компенсирующие меры: - минимизация пользовательских привилегий; - отключение/удаление неиспользуемых учётных записей пользователей; - контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Обновление программного обеспечения gnutls28 до версии 3.7.1-5+deb11u8
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-3042
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-3040
Для ОС Astra Linux: обновить пакет gnutls28 до 3.7.9-2+deb12u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18
Для ОС Astra Linux: обновить пакет gnutls28 до 3.5.8-5+deb9u9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16