В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая серьёзная уязвимость, получившая идентификатор BDU:2025-15118. Эта уязвимость затрагивает популярную библиотеку сжатия данных lz4-java, которая широко используется в Java-приложениях для эффективной обработки информации. Эксперты оценивают угрозу как высокую, поскольку успешная эксплуатация дефекта может привести к полному отказу в обслуживании приложения и утечке конфиденциальных данных из памяти.
Детали уязвимости
Проблема, технически классифицируемая как чтение за границами буфера (CWE-125), обнаружена в функции "LZ4_decompress_fast()". Если упрощенно, эта функция отвечает за распаковку сжатых данных. Ошибка в её коде позволяет злоумышленнику, передав специально сформированные данные, заставить программу читать информацию из областей оперативной памяти, выходящих за пределы выделенного для обработки буфера. Следовательно, атакующий может получить доступ к фрагментам защищаемой информации, которая случайно оказалась в соседних ячейках памяти, или вызвать критический сбой.
Уязвимость затрагивает все версии библиотеки lz4-java до 1.8.0 включительно. Поскольку эта библиотека является компонентом многих других программных продуктов, потенциальный круг затронутого ПО может быть весьма широк. Разработчики относят её к прикладному программному обеспечению информационных систем, а также отмечают потенциальное влияние на операционные системы и аппаратные платформы, точные данные по которым ещё уточняются.
Оценка по методологии CVSS подчёркивает серьёзность угрозы. Например, базовая оценка CVSS 3.1 достигает критического уровня в 9.1 балла. Ключевые векторы атаки указывают на то, что для эксплуатации не требуются никакие привилегии или действия со стороны пользователя, а сама атака может осуществляться удалённо через сеть. Таким образом, уязвимый сервис, обрабатывающий входящие сжатые данные из ненадёжных источников, например из интернета, оказывается под прямой угрозой.
Производитель, сообщество свободного программного обеспечения, уже подтвердил наличие уязвимости и оперативно выпустил исправление. Проблема была устранена в выпуске версии 1.8.1. Соответственно, основной и самой эффективной мерой защиты является немедленное обновление библиотеки lz4-java до актуальной версии. Ссылки на патч и подробности исправления опубликованы на официальной странице проекта на GitHub.
Впрочем, в текущих геополитических условиях официальные рекомендации БДУ содержат важную оговорку. Они настоятельно советуют устанавливать любые обновления, даже из доверенных источников, только после тщательной оценки всех сопутствующих рисков. Это связано с общим контекстом санкционного давления и потенциальными угрозами цепочке поставок программного обеспечения.
Помимо основного патча, эксперты рекомендуют организациям рассмотреть комплекс компенсирующих мер, особенно если быстрое обновление по каким-либо причинам невозможно. Во-первых, следует максимально ограничить сетевой доступ к сервисам, использующим уязвимую библиотеку, с помощью правил межсетевого экранирования. Идеально полностью исключить их доступ из интернета, оставив только внутренний трафик. Во-вторых, полезно внедрить схему доступа по "белым спискам", разрешающую подключения только с доверенных IP-адресов. В-третьих, рекомендуется задействовать системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы могут быть настроены на выявление аномальных паттернов в данных, которые могут указывать на попытки эксплуатации данной уязвимости, например, через манипулирование структурами сжатых данных.
На момент публикации информации в БДУ наличие работающего эксплойта, то есть готового вредоносного кода для атаки, остаётся не подтверждённым и уточняется. Однако высокая степень опасности уязвимости делает её привлекательной мишенью для исследователей безопасности и потенциальных злоумышленников. Сообщество уже отслеживает данную проблему под идентификатором CVE-2025-12183, что облегчает её мониторинг в различных базах уязвимостей и системах безопасности.
Итогом данной ситуации является чёткий сигнал для всех разработчиков и администраторов, чьи системы зависят от библиотеки lz4-java. Необходимо срочно провести аудит используемых компонентов и принять решение о применении патча. Даже несмотря на необходимость взвешенной оценки рисков обновления, сама природа уязвимости, угрожающей как доступности, так и конфиденциальности, требует безотлагательных действий. В противном случае организации рискуют столкнуться с инцидентами, последствия которых могут оказаться серьёзными для бизнес-процессов и репутации.
Ссылки
- https://bdu.fstec.ru/vul/2025-15118
- https://www.cve.org/CVERecord?id=CVE-2025-12183
- https://github.com/yawkat/lz4-java/releases/tag/v1.8.1
- https://www.openwall.com/lists/oss-security/2025/12/01/5
- https://sites.google.com/sonatype.com/vulnerabilities/cve-2025-12183
