На днях обнаружена опасная уязвимость в библиотеке LibTIFF, получившая идентификатор CVE-2025-9900 в базе данных BDU:2025-13921. Проблема классифицируется как выход за границы буфера в памяти (CWE-119) и может позволить злоумышленнику выполнить произвольный код на атакованной системе. Эксперты присвоили уязвимости критический уровень опасности с базовой оценкой CVSS 2.0 10.0 баллов.
Детали уязвимости
Уязвимость затрагивает широкий спектр операционных систем и прикладного программного обеспечения. В перечень уязвимых продуктов входят Red Hat Enterprise Linux версий 7, 8 и 10, различные редакции SUSE Linux Enterprise, дистрибутивы Debian GNU/Linux 11, 12 и 13, а также российская ОС РЕД ОС 7.3. Кроме того, под угрозой находятся специализированные решения вроде SUSE Manager и SUSE Enterprise Storage.
Особую опасность представляет возможность удаленной эксплуатации уязвимости без необходимости аутентификации. Согласно описанию CVSS 3.0, вектор атаки предполагает взаимодействие с пользователем, но не требует привилегий. Успешная эксплуатация позволяет получить полный контроль над целевой системой с возможностью чтения, модификации и удаления данных.
Библиотека LibTIFF широко используется для обработки изображений в формате TIFF. Следовательно, уязвимость может проявляться при обработке специально сформированных изображений через различные приложения. Злоумышленники могут распространять вредоносные файлы через фишинг-рассылки или размещать их на скомпрометированных веб-сайтах.
Производители оперативно отреагировали на угрозу. В настоящее время уязвимость уже устранена в актуальных версиях программного обеспечения. Разработчики рекомендуют пользователям незамедлительно установить обновления безопасности. Для Red Hat Enterprise Linux патчи доступны через стандартные репозитории, а также на портале компании. Владельцы систем SUSE могут найти исправления в официальных источниках обновлений.
Российские пользователи РЕД ОС должны обратиться к рекомендациям на сайте разработчика. Разработчики Debian опубликовали информацию о исправлениях в своем трекере безопасности. Стоит отметить, что уязвимость затрагивает версии LibTIFF до 4.7.0 включительно.
На текущий момент информация о существовании работающих эксплойтов уточняется. Однако учитывая критический характер уязвимости и относительную простоту эксплуатации, появление публичных эксплойтов в ближайшее время весьма вероятно. Специалисты по кибербезопасности рекомендуют приоритизировать установку обновлений для данной библиотеки.
Типичный сценарий атаки предполагает манипулирование структурами данных в файлах изображений. Злоумышленник может создать специальный TIFF-файл, который при открытии вызовет переполнение буфера. Это позволит выполнить произвольный код в контексте уязвимого приложения. В некоторых случаях возможно достижение устойчивости (persistence) в системе.
Важно подчеркнуть, что для защиты достаточно своевременного обновления пакетов. Администраторам следует проверить наличие актуальных версий libtiff в используемых дистрибутивах. Дополнительные меры предосторожности включают ограничение обработки TIFF-файлов из непроверенных источников и использование систем обнаружения вторжений (IDS).
Уязвимость демонстрирует сохраняющуюся актуальность проблем безопасности, связанных с обработкой медиафайлов. Регулярное обновление программного обеспечения остается ключевым элементом защиты от подобных угроз. Особенное внимание следует уделить системам, обрабатывающим пользовательский контент, таким как веб-серверы и файловые хранилища.
Ссылки
- https://bdu.fstec.ru/vul/2025-13921
- https://www.cve.org/CVERecord?id=CVE-2025-9900
- https://nvd.nist.gov/vuln/detail/CVE-2025-9900
- https://access.redhat.com/security/cve/cve-2025-9900
- https://github.com/SexyShoelessGodofWar/LibTiff-4.7.0-Write-What-Where?tab=readme-ov-file
- https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libtiff-05112025/?sphrase_id=1339101
- https://security-tracker.debian.org/tracker/CVE-2025-9900
- https://www.suse.com/ko-kr/security/cve/CVE-2025-9900.html
- https://lists.debian.org/debian-lts-announce/2025/09/msg00031.html
- https://gitlab.com/libtiff/libtiff/-/issues/704
- https://gitlab.com/libtiff/libtiff/-/merge_requests/732
