BDU:2025-12910
Павлов Игорь, ООО «РусБИТех-Астра», ООО «Ред Софт» 7-Zip, Astra Linux Special Edition, РЕД ОС
2025-10-07
Уязвимость файлового архиватора 7-Zip связана с неверным определением символических ссылок перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код при условии открытия пользователем специально сформированного ZIP-архива
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование антивирусного программного обеспечения для проверки содержимого архивов, полученных из недоверенных источников; - использование изолированной программной среды для распаковки архивов, полученных из недоверенных источников; - ограничение возможности запуска исполняемых файлов программного обеспечения от имени привилегированных пользователей.
Использование рекомендаций: https://github.com/ip7z/7zip/releases/tag/25.01
Для ОС Astra Linux: обновить пакет p7zip до 16.02+transitional.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-7zip-cve-2025-11001/?sphrase_id=1345273
Для ОС Astra Linux: - обновить пакет p7zip до 16.02+transitional.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17 - обновить пакет 7zip до 25.01+dfsg-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17