В Банке данных угроз (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярную криптографическую библиотеку Crypto++ и, как следствие, множество дистрибутивов Linux от компании SUSE. Уязвимости присвоен идентификатор BDU:2026-00297, а также CVE-2024-28285. Её эксплуатация позволяет удалённому злоумышленнику выполнить произвольный код на целевой системе, что представляет собой серьёзную угрозу безопасности.
Детали уязвимости
Суть проблемы заключается в сочетании двух ошибок: неправильной авторизации (Improper Authorization) и утечки информации в сообщениях об ошибках (Information Exposure Through an Error Message). Фактически, нарушитель может, минуя проверки прав доступа, инициировать специально сформированный запрос, который приводит к утечке критических данных через механизмы обработки ошибок. Впоследствии эта информация может быть использована для выполнения произвольного вредоносного кода.
Уровень опасности уязвимости оценивается как критический. Например, базовая оценка по методологии CVSS 3.1 достигает 9,8 баллов из 10 возможных. Такая высокая оценка обусловлена тем, что для эксплуатации не требуются ни привилегии, ни действия со стороны пользователя, а последствия включают полный компрометацию конфиденциальности, целостности и доступности системы.
Под угрозой находится широкий перечень операционных систем и прикладного программного обеспечения от SUSE. В список уязвимых продуктов входят, в частности, OpenSUSE Leap версий 15.4 и 15.6, различные редакции SUSE Linux Enterprise Server (начиная с Service Pack 4 до SP7), включая специализированные сборки для SAP-приложений и высокопроизводительных вычислений (HPC). Кроме того, уязвимость затрагивает SUSE Manager Server, Proxy и Retail Branch Server версии 4.3. Прямым источником проблемы является библиотека Crypto++ версии 8.9, однако её использование в составе перечисленных дистрибутивов делает их потенциальными мишенями.
Производитель, компания SUSE, уже подтвердил наличие уязвимости и выпустил необходимые обновления безопасности. Основным способом устранения риска является немедленное применение патчей. Администраторам систем настоятельно рекомендуется обратиться к официальному бюллетеню SUSE (SUSE-SU-2025:1816-1) и установить предоставленные обновления для всех затронутых продуктов. Разработчикам, использующим библиотеку Crypto++ независимо, следует обратиться к исправленному исходному коду.
На текущий момент информация о наличии активных эксплойтов уточняется. Однако критический характер уязвимости и наличие технических деталей в открытых источниках создают предпосылки для возможной скоростной разработки средств эксплуатации. Следовательно, окно для безопасного обновления может быть ограниченным.
Эта ситуация вновь подчеркивает важность своевременного управления обновлениями, особенно для базовых криптографических библиотек. Криптография является фундаментом безопасности многих приложений, и уязвимости в таких компонентах имеют особенно широкий радиус воздействия. Системным администраторам в средах Enterprise Linux необходимо уделить приоритетное внимание проверке и обновлению перечисленных продуктов SUSE, чтобы предотвратить потенциальные атаки, направленные на захват контроля над системами.
Ссылки
- https://bdu.fstec.ru/vul/2026-00297
- https://www.cve.org/CVERecord?id=CVE-2024-28285
- https://gist.github.com/liang-junkai/3e91f58070812ea76c1b8c126c3e28c7
- https://www.suse.com/support/update/announcement/2025/suse-su-202501816-1/
