В Банк данных угроз безопасности информации (BDU) была внесена запись о новой опасной уязвимости, получившей идентификаторы BDU:2026-07214 и CVE-2026-23941. Она затрагивает базовый набор библиотек OTP (Open Telecom Platform) языка программирования Erlang - платформу, которая лежит в основе множества телекоммуникационных и распределённых систем. Как выяснили специалисты, проблема кроется в некорректной обработке входящих HTTP-запросов. Из-за этого злоумышленник, действующий удалённо, может подменить легитимный запрос и внедрить в систему свои данные. Такая атака в профессиональной среде носит название "контрабанда HTTP-запросов" (тип ошибки CWE-444 - непоследовательная интерпретация HTTP-запросов).
Детали уязвимости
Уязвимость получила очень высокие оценки по международной шкале CVSS. Так, версия 2.0 оценила её в 9,7 балла из 10 (высокий уровень), а более современная версия 3.1 - в 9,4 балла, что соответствует уже критическому уровню опасности. Это значит, что для эксплуатации уязвимости не требуется никаких предварительных прав доступа или взаимодействия с пользователем - достаточно простого сетевого запроса. Успешная атака может привести к полной компрометации конфиденциальности и целостности данных, а также частично нарушить доступность системы.
Под удар попали сразу несколько операционных систем. Прежде всего это Debian GNU/Linux версии 13, один из самых популярных дистрибутивов Linux в мире. Кроме того, в зоне риска оказалась отечественная операционная система РЕД ОС версии 8.0, внесённая в единый реестр российских программ. Обе эти ОС используют компоненты Erlang OTP до версии 26.2.5.18 включительно. Именно в более ранних версиях библиотек и присутствует дефект, позволяющий провести атаку с подменой HTTP-запросов.
Как именно работает данная уязвимость? Если говорить просто, то из-за недостатка в логике разбора HTTP-сообщений сервер может неправильно интерпретировать границы между запросами. Вредоносный отправитель способен вставить в один запрос скрытые данные, которые сервер воспримет как начало нового запроса. В результате атакующий может получить доступ к функциональности, предназначенной только для авторизованных пользователей, или выполнить несанкционированные действия на стороне сервера. Подобный сценарий особенно опасен для систем, обрабатывающих большое количество клиентских подключений, например, для телекоммуникационных платформ, чат-серверов или баз данных.
Стоит отметить, что производитель языка Erlang, компания Ericsson-LG Enterprise Co., Ltd., уже подтвердила наличие уязвимости и выпустила необходимые исправления. В официальном репозитории OTP опубликованы три коммита, закрывающие проблему. Разработчики рекомендуют всем пользователям обновить Erlang до версии 26.2.5.18 или новее. Для тех, кто использует Debian 13, исправление также доступно через систему безопасности Debian (трекер CVE-2026-23941). Для пользователей РЕД ОС 8.0 патч опубликован на официальном портале вендора. Важно подчеркнуть, что способ устранения - только обновление программного обеспечения. Иных мер временной защиты не предусмотрено, поэтому затягивать с установкой патчей не стоит.
Несмотря на то, что на момент публикации данные о существовании готового эксплойта ещё уточняются, специалисты по кибербезопасности уже включили эту уязвимость в свои списки отслеживания. Учитывая высокие баллы CVSS и широкую распространённость Erlang в серверной инфраструктуре, можно ожидать, что в ближайшее время появятся рабочие инструменты для атаки. Системным администраторам и инженерам безопасности следует в приоритетном порядке проверить версии Erlang OTP на своих серверах и выполнить обновление.
Для специалистов, поддерживающих российские операционные системы, это ещё одно напоминание: отечественные дистрибутивы не застрахованы от проблем, общих для всего мира открытого кода. РЕД ОС, основанная на пакетной базе Debian, оперативно получила исправление, но только в том случае, если администратор своевременно установит обновление. Игнорирование подобных угроз может привести к серьёзным последствиям - от утечки конфиденциальных данных до полной остановки критически важных сервисов.
Таким образом, уязвимость BDU:2026-07214 представляет собой классический пример ошибки, связанной с непоследовательной интерпретацией протокола. Она опасна своей простотой эксплуатации и высоким потенциалом ущерба. Единственный надёжный способ защиты - своевременная установка обновлений от производителя. Журналистам и аналитикам стоит следить за новыми данными о возможных атаках, чтобы оперативно предупреждать сообщество о развитии ситуации.
Ссылки
- https://bdu.fstec.ru/vul/2026-07214
- https://www.cve.org/CVERecord?id=CVE-2026-23941
- https://cna.erlef.org/cves/CVE-2026-23941.html
- https://github.com/erlang/otp/commit/a4b46336fd25aa100ac602eb9a627aaead7eda18
- https://github.com/erlang/otp/commit/a761d391d8d08316cbd7d4a86733ba932b73c45b
- https://github.com/erlang/otp/commit/e775a332f623851385ab6ddb866d9b150612ddf6
- https://github.com/erlang/otp/security/advisories/GHSA-w4jc-9wpv-pqh7
- https://nvd.nist.gov/vuln/detail/CVE-2026-23941
- https://osv.dev/vulnerability/EEF-CVE-2026-23941
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-23941
- https://www.erlang.org/doc/system/versions.html#order-of-versions
- https://security-tracker.debian.org/tracker/CVE-2026-23941
