Bug 53545

Summary: Уязвимость BDU:2025-01619
Product: Branch p10 Reporter: Kot_Uchoniy <yosho1>
Component: pam_pkcs11Assignee: manowar <manowar>
Status: UNCONFIRMED --- QA Contact: qa-p10 <qa-p10>
Severity: normal    
Priority: P5 CC: amakeenk, dshein
Version: не указана   
Hardware: x86_64   
OS: Linux   

Description Kot_Uchoniy 2025-03-20 11:55:11 MSK 
Исходя из информации об уязвимости https://packages.altlinux.org/ru/vuln/BDU:2025-01619 пакет в ветке p10 не является подверженным уязвимости. Однако исходя из версии пакета, он может быть уязвим. Хотелось бы больше конкретики, повержен ли пакет уязвимости или нет. Если пакет не подвержен уязвимости, хотелось бы иметь эту информацию.
Comment 1 Danil Shein 2025-03-20 15:04:12 MSK 
Информация на странице https://packages.altlinux.org/ru/vuln/BDU:2025-01619 как раз показывает что данная уязвимость закрыта в ветках Sisyphus, p11 и c10f2.

Конкретно эта BDU закрыта из-за наличия записи о закрытии уязвимости CVE-2025-24531 в версии 0.6.13-alt1 пакета pam_pkcs11.

Факт закрытия уязвимости CVE-2025-24531 отражён в записи ченджлога от сопровождающего этого пакета на основании информации из апстрима.

Более того детальная информация об уязвимости CVE-2025-24531 до сих пор отсутствует в открытом доступе:
https://nvd.nist.gov/vuln/detail/CVE-2025-24532
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2025-24531

Отображение именно уязвимых версий пакетов в различных ветках для конкретных идентификаторов уязвимостей (БДУ, CVE) в настоящий момент не предусмотрено.

Помимо всего прочего, записи о фактах закрытия уязвимостей (ерраты) могут отсутствовать или быть неполными по причине того, что подробные данные об уязвимостях в открытых источниках появляются с задержкой относительно обновления версий уязвимых пакетов в репозитории. Сюда же можно добавить особенности публикации фактов исправления уязвимостей апстримами и т.п.

Резюмируя выше сказанное можно считать что в текущем состоянии ветки р10 данная уязвимость не закрыта.