Критическая уязвимость в библиотеке Libjxl угрожает РЕД ОС, Ubuntu и Debian - эксплойт уже опубликован

vulnerability

В Банк данных угроз безопасности информации (BDU) была внесена запись о критической уязвимости, получившей идентификатор BDU:2026-09514 (CVE-2026-1837). Проблема обнаружена в библиотеке Libjxl, которая отвечает за обработку изображений в формате JPEG XL. Уязвимость затрагивает сразу несколько популярных операционных систем, включая российскую РЕД ОС от компании "Ред Софт", а также Debian GNU/Linux и Ubuntu от Canonical. Ситуация осложняется тем, что код для атаки уже существует в открытом доступе.

Детали уязвимости

Суть проблемы заключается в ошибке, связанной с выходом операции за границы буфера в памяти. Простыми словами, библиотека позволяет записывать данные за пределы отведённого участка памяти. Это может привести к двум сценариям: либо злоумышленник, действуя удалённо, вызовет отказ в обслуживании (система просто зависнет или перестанет отвечать), либо, что ещё опаснее, сможет выполнить произвольный код на целевой машине. Последствия второго варианта включают полный контроль над системой: чтение и изменение любых данных, установку вредоносного ПО.

Согласно классификации CWE, уязвимость связана сразу с тремя типами ошибок: неограниченное распределение ресурсов (CWE-770), запись за границами буфера (CWE-787) и доступ к буферу с неправильным значением длины (CWE-805). Это указывает на то, что проблема глубокая и затрагивает несколько аспектов работы с памятью. По шкале CVSS 3.1 базовая оценка составила 9,8 балла из 10, что соответствует критическому уровню опасности. Версия CVSS 4.0 даёт несколько меньшую оценку - 8,7 (высокий уровень), но это не снижает серьёзности ситуации.

Под ударом оказались операционные системы, использующие библиотеку Libjxl в версиях от 0.9.0 до 0.11.1 включительно. В списке уязвимых продуктов значатся: РЕД ОС версий 7.3 и 8.0 (обе записи есть в едином реестре российских программ), Debian GNU/Linux 13 и Ubuntu 25.10. Важно отметить, что для РЕД ОС это означает, что уязвимость затронула не только саму библиотеку, но и официальный образ операционной системы, поставляемый вендором. Компания "Ред Софт" уже подтвердила наличие проблемы.

Способы эксплуатации, указанные в бюллетене, включают два основных вектора: исчерпание ресурсов и манипулирование структурами данных. Первый вариант позволяет атакующему вызвать отказ в обслуживании, загрузив систему до предела. Второй - более опасен: злоумышленник может передать библиотеке специально сформированный файл изображения, при обработке которого произойдёт запись в недопустимую область памяти. Поскольку уязвимость подтверждена производителем и существует в открытом доступе, можно предположить, что в ближайшее время количество целенаправленных атак с её использованием возрастёт.

Разработчики библиотеки Libjxl уже выпустили исправление в версии 0.11.2. Все пользователи, чьи системы используют уязвимую версию, должны немедленно обновиться. Для владельцев РЕД ОС компания "Ред Софт" рекомендует следить за обновлениями на своём портале поддержки. Аналогичные страницы с информацией об устранении уязвимости доступны для Ubuntu и Debian. Тем, кто по каким-то причинам не может установить обновление прямо сейчас, ФСТЭК России рекомендует придерживаться "Рекомендаций по безопасной настройке операционных систем Linux", утверждённых в декабре 2022 года. Однако этот документ даёт лишь общие принципы защиты, а не конкретные заплатки для Libjxl.

Для специалистов по информационной безопасности ситуация выглядит тревожно, но не безнадёжно. Во-первых, уязвимость затрагивает только те системы, где библиотека Libjxl используется для обработки пользовательских данных. Если в вашей инфраструктуре эта библиотека вообще не установлена или применяется только для внутренних задач с доверенными файлами, уровень риска ниже. Во-вторых, производители ОС уже выпустили обновления пакетов, поэтому процесс устранения сводится к штатной процедуре обновления. Тем не менее, промедление опасно: наличие публичного эксплойта означает, что даже неопытные злоумышленники могут быстро интегрировать его в свои атаки.

Вывод для читателей прост: если вы используете РЕД ОС, Ubuntu (версии 25.10) или Debian 13, проверьте, какая версия Libjxl установлена в вашей системе. Сделать это можно командой "dpkg -l | grep libjxl". Если номер версии попадает в диапазон от 0.9.0 до 0.11.1, немедленно выполните обновление. Игнорирование этой угрозы может привести к серьёзным последствиям: от временной недоступности сервисов до полной компрометации инфраструктуры.

Ссылки

Комментарии: 0