Уязвимость в LibTomCrypt угрожает безопасности российских операционных систем

В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость, затрагивающая популярную криптографическую библиотеку LibTomCrypt и, как следствие, российскую операционную систему Astra Linux Special Edition. Идентификатор уязвимости BDU:2025-16070 соответствует международному идентификатору CVE-2019-17362. Эксперты оценивают ее как критическую, поскольку эксплуатация позволяет злоумышленнику получить полный доступ к защищаемой информации и вызвать отказ в обслуживании.

Детали уязвимости

Суть проблемы заключается в ошибке типа "чтение за границами буфера" (CWE-125) внутри функции "der_decode_utf8_string()". Эта функция отвечает за декодирование строк в формате UTF-8 из данных, закодированных по правилам Distinguished Encoding Rules (DER), которые используются в криптографических сертификатах. Ошибка в логике проверки границ позволяет удаленному атакующему выйти за пределы выделенного буфера памяти при чтении данных. В результате злоумышленник может получить доступ к конфиденциальной информации, хранящейся в соседних областях оперативной памяти, или вызвать аварийное завершение работы приложения, что классифицируется как отказ в обслуживании.

Уязвимость имеет высокие баллы по шкале CVSS, что подчеркивает ее опасность. Базовая оценка по версии CVSS 2.0 составляет 9.4, а по более современной CVSS 3.1 - 9.1. Оба значения указывают на критический уровень угрозы. Векторы атаки (AV:N/AC:L/Au:N в CVSS 2.0 и AV:N/AC:L/PR:N/UI:N в CVSS 3.1) означают, что для эксплуатации не требуется специальных условий: атака может быть проведена через сеть без аутентификации и взаимодействия с пользователем.

Под угрозой находятся все версии библиотеки LibTomCrypt до 1.18.2 включительно. Важно отметить, что эта библиотека используется в составе российской операционной системы Astra Linux Special Edition версии 1.7, которая имеет запись в едином реестре российских программ под номером 369. Следовательно, уязвимость затрагивает государственные и корпоративные информационные системы, где развернута эта ОС. Производитель ООО «РусБИТех-Астра» подтвердил наличие проблемы и выпустил обновление.

Согласно данным BDU, способ эксплуатации уязвимости заключается в манипулировании структурами данных, а именно в подготовке специального вредоносного (malicious) DER-кодированного сертификата или другого блока данных. При его обработке уязвимой функцией и происходит считывание информации за пределами буфера. При этом в открытом доступе уже существуют работающие эксплойты, что значительно повышает актуальность угрозы. Злоумышленники могут использовать эту уязвимость для кражи сессионных ключей, паролей или иной чувствительной информации, обрабатываемой криптографическими модулями.

К счастью, уязвимость уже устранена. Разработчики LibTomCrypt выпустили исправление в октябре 2019 года (коммит 25c26a3b7a9ad8192ccc923e15cf62bf0108ef94 в публичном репозитории на GitHub). Для пользователей Astra Linux Special Edition 1.7 производитель выпустил специальный бюллетень безопасности (ASB-2025-1202SE17) и рекомендует обновить пакет "libtomcrypt" до версии 1.18.2-1.astra1 или новее. Обновление является единственным надежным способом защиты.

Эта ситуация наглядно демонстрирует важность своевременного обновления системного и прикладного программного обеспечения, особенно в защищенных средах. Несмотря на то что исходная ошибка была исправлена в upstream-библиотеке несколько лет назад, ее актуальность для конкретной платформы сохранялась до выпуска соответствующего патча производителем ОС. Специалистам по информационной безопасности и системным администраторам, использующим Astra Linux, необходимо в приоритетном порядке проверить и обновить пакеты на всех развернутых экземплярах операционной системы. Кроме того, инцидент подчеркивает необходимость постоянного мониторинга уязвимостей не только в операционных системах, но и во всех ключевых библиотеках, от которых зависит безопасность всей экосистемы.

Детали уязвимости

Ссылки