В Банке данных угроз (BDU) безопасности информации появилась новая запись под номером BDU:2025-16072, которая привлекла внимание специалистов по кибербезопасности. Данная запись касается критической уязвимости в популярной библиотеке PoDoFo, используемой для обработки PDF-файлов. Что особенно важно, эта уязвимость затрагивает отечественную операционную систему Astra Linux Special Edition, что подчеркивает необходимость срочного обновления программного обеспечения.
Детали уязвимости
Уязвимость, получившая идентификатор CVE-2018-8002, была обнаружена еще в феврале 2018 года, однако ее актуальность сохраняется. Она связана с ошибкой в функции "PdfParserObject::ParseFileComplete()" компонента "PdfParserObject.cpp". Технически проблема классифицируется как выполнение цикла с недоступным условием выхода, или бесконечный цикл (CWE-835). Эксплуатация этой уязвимости позволяет удаленному злоумышленнику спровоцировать отказ в обслуживании (Denial of Service, DoS) или, что более серьезно, получить несанкционированный доступ к защищаемой информации. Для атаки достаточно заставить целевую систему обработать специально сформированный вредоносный (malicious) PDF-документ.
Подверженными влиянию этой уязвимости признаны все версии библиотеки PoDoFo до 0.9.8 включительно. Поскольку PoDoFo является компонентом многих приложений, эта проблема имеет широкий охват. В частности, в перечень уязвимого программного обеспечения официально внесена операционная система Astra Linux Special Edition версии 1.7 от компании «РусБИТех-Астра», которая включена в единый реестр российских программ. Следовательно, системы под управлением этой ОС, использующие старые версии пакета "libpodofo", находятся в зоне риска.
Уровень опасности уязвимости оценивается как критический. Базовая оценка по шкале CVSS 2.0 достигает максимального значения 10.0, а по более современной CVSS 3.1 составляет 8.8, что соответствует высокому уровню опасности. Эти высокие баллы обусловлены тем, что для эксплуатации уязвимости не требуются никакие специальные привилегии или взаимодействие с пользователем, а возможные последствия включают полный компрометацию конфиденциальности, целостности и доступности системы.
Согласно данным BDU, способ эксплуатации основан на исчерпании ресурсов системы. Злоумышленник, отправив специально созданный файл, может вызвать бесконечный цикл в процессе его парсинга библиотекой PoDoFo. В результате это приводит к полному потреблению процессорного времени и, как следствие, к отказу в обслуживании приложения или всей системы. Более того, при определенных условиях такая ошибка может быть использована для выполнения произвольного кода, что позволяет получить контроль над системой.
Тревожным фактором является наличие эксплойта в открытом доступе. Информация о proof-of-concept (PoC) коде, демонстрирующем эксплуатацию CVE-2018-8002, доступна в публичных базах данных, например, на ресурсе Exploit-DB. Это значительно снижает порог входа для потенциальных атакующих и повышает актуальность угрозы, несмотря на возраст уязвимости. Следовательно, злоумышленники могут легко автоматизировать атаки на незащищенные системы.
К счастью, уязвимость уже устранена разработчиками. Меры по исправлению были опубликованы несколько лет назад. Производитель библиотеки PoDoFo выпустил патч, который можно найти в репозитории проекта на GitHub. Для пользователей Astra Linux Special Edition 1.7 вышло специальное обновление безопасности. Компания «РусБИТех-Астра» рекомендует обновить пакет "libpodofo" до версии 0.9.6+dfsg-5.astra1 или более поздней. Инструкции по обновлению содержатся в бюллетене безопасности на официальном портале разработчика.
Таким образом, текущий статус уязвимости подтвержден производителем и обозначен как устраненный. Однако ключевая задача для администраторов и пользователей - убедиться в том, что исправление применено на всех конечных точках. Регулярное обновление программного обеспечения остается наиболее эффективным способом защиты. В частности, для корпоративных сред, где используется Astra Linux, критически важно следить за выпуском и своевременной установкой патчей от вендора.
Подводя итог, история с CVE-2018-8002 служит важным напоминанием о необходимости постоянного мониторинга зависимостей в программном стеке, даже для косвенных компонентов, таких как библиотеки для разбора файлов. Уязвимости в подобных широко используемых инструментах создают риски для целых экосистем программного обеспечения, включая национальные IT-решения. Своевременное применение исправлений позволяет нейтрализовать угрозу и обеспечить непрерывность и безопасность бизнес-процессов.
Ссылки
- https://bdu.fstec.ru/vul/2025-16072
- https://www.cve.org/CVERecord?id=CVE-2018-8002
- https://bugzilla.redhat.com/show_bug.cgi?id=1548930
- https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17
- https://github.com/podofo/podofo/commit/14689c5b8a60d3450f154e66c92632947b73f619
- https://www.exploit-db.com/exploits/44946/
