В Банке данных угроз безопасности информации (BDU) была зарегистрирована критическая уязвимость, получившая идентификаторы BDU:2026-06690 и CVE-2025-67268. Эта проблема затрагивает GPSd - демон отслеживания приемников спутниковой навигации, который используется в огромном количестве операционных систем семейства Linux. Потенциальные последствия выходят далеко за рамки типичной угрозы отказа в обслуживании.
Детали уязвимости
Уязвимость обнаружена в компоненте drivers/driver_nmea2000.c. Это программный модуль, отвечающий за обработку данных от навигационных приемников, работающих по протоколу NMEA 2000. Суть проблемы кроется в ошибке, известной специалистам как выход операции за границы буфера в памяти. Говоря простым языком, при обработке определенных входящих данных программа может обратиться к участку памяти, который ей не принадлежит. Именно это делает систему нестабильной.
Тип ошибки классифицирован по международному стандарту CWE-122 как переполнение буфера в динамической памяти. Это означает, что проблема возникает не на этапе компиляции, а во время выполнения программы, что существенно усложняет её обнаружение стандартными средствами статического анализа.
Список уязвимых систем впечатляет своим разнообразием и масштабом. Под удар попали практически все популярные дистрибутивы Linux, включая Debian GNU/Linux версий 11 и 13, Ubuntu версий от 22.04 LTS до 26.04 LTS, Red Hat Enterprise Linux версий 9 и 10, а также Fedora версий от 42 до 43. Особое внимание стоит обратить на то, что в перечне присутствует и российская операционная система Astra Linux Special Edition версии 1.7, которая включена в единый реестр российских программ. Сама уязвимость затрагивает GPSd версий до 3.27.1 включительно.
Важно понимать, что GPSd - это не какой-то нишевый инструмент. Он используется в системах управления транспортом, в авиационной навигации, в сельскохозяйственной технике с автопилотированием, в геодезическом оборудовании и даже в некоторых промышленных системах синхронизации времени. Уязвимость в таком звене может вызвать цепную реакцию сбоев.
Специалисты присвоили уязвимости максимальный уровень опасности. Базовая оценка по версии CVSS 2.0 составила 10 баллов, что является абсолютным максимумом. По актуальной шкале CVSS 3.1 рейтинг немного ниже - 9,8 баллов, но это по-прежнему критический показатель. Вектор атаки выглядит пугающе: нарушитель может действовать удаленно, не проходя предварительной аутентификации. Для успешной эксплуатации не требуется взаимодействия с пользователем.
Если углубиться в детали, то проблема кроется в некорректной обработке данных протокола NMEA 2000. Этот протокол используется для обмена информацией между различными навигационными устройствами на судах, а в последнее время - и в наземной технике. Разработчики GPSd при реализации поддержки этого протокола допустили классическую ошибку: они не проверили длину входящих данных перед копированием в выделенный буфер. Этого достаточно, чтобы вызвать переполнение.
Уязвимость была подтверждена производителем, сообщество уже выпустило исправление. Администраторам систем, использующих GPSd, следует действовать незамедлительно. В первую очередь необходимо проверить версию установленного пакета. Если она ниже 3.27.1, требуется срочное обновление. Для дистрибутивов Debian, Ubuntu, Red Hat и Fedora обновления уже доступны через официальные репозитории безопасности. Пользователям Astra Linux нужно воспользоваться рекомендациями производителя, размещенными на вики-странице дистрибутива.
Тем, кто не может выполнить обновление по техническим причинам, эксперты рекомендуют временно ограничить доступ к сервисам GPSd из внешних сетей. Поскольку уязвимость эксплуатируется удаленно, изоляция на сетевом уровне может стать временной мерой защиты.
Эта история - очередное напоминание о том, что уязвимости могут возникать в самых неожиданных местах. GPSd не является тем инструментом, который обычно приходит на ум при обсуждении угроз кибербезопасности. Однако именно такие компоненты, работающие незаметно в фоне, становятся слабым звеном. Особую тревогу вызывает тот факт, что под удар попали операционные системы, используемые в критической информационной инфраструктуре как в России, так и за рубежом.
Ссылки
- https://bdu.fstec.ru/vul/2026-06690
- https://www.cve.org/CVERecord?id=CVE-2025-67268
- https://github.com/Jaenact/gspd_cve/blob/main/CVE-2025-67268/README.md
- https://github.com/ntpsec/gpsd/blob/master/drivers/driver_nmea2000.c
- https://github.com/ntpsec/gpsd/commit/dc966aa74c075d0a6535811d98628625cbfbe3f4
- https://gitlab.com/gpsd/gpsd/-/commit/dc966aa74c075d0a6535811d98628625cbfbe3f4
- https://security-tracker.debian.org/tracker/CVE-2025-67268
- https://wiki.astralinux.ru/astra-linux-se17-bulletin-2026-0421SE17
- https://access.redhat.com/security/cve/cve-2025-67268
- https://security-tracker.debian.org/tracker/CVE-2025-67268
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2025-67268
- https://ubuntu.com/security/CVE-2025-67268
