Киберэксперт Полунин: критическая уязвимость в Erlang/OTP — явление исключительное

В Erlang/OTP обнаружена критическая уязвимость (CVE-2025-32433) с рейтингом CVSS 10.0, позволяющая удаленно выполнить код без аутентификации. Как подчеркивает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений "Газинформсервис", подобные уязвимости требуют немедленной установки патчей, которые обычно доступны к моменту объявления об угрозе.

Erlang/OTP — язык программирования и платформа, предназначенная для разработки высоконадежных, масштабируемых и отказоустойчивых приложений, работающих в режиме реального времени. Эта технология лежит в основе многих систем, требующих высокой доступности. Уязвимость затрагивает SSH-сервер Erlang/OTP и может быть использована злоумышленниками для полного контроля над системой. Разработчики выпустили патч, и пользователям настоятельно рекомендуется обновить свои системы.

Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений "Газинформсервис", объясняет: "Уязвимости такой критичности, да еще и в популярном продукте — это редкость, и предмет самого пристального внимания. Как правило, к моменту объявления, у вендора уже доступно обновление, которое нужно протестировать и установить. Поэтому так важно использовать автоматизированные сканеры вроде Efros DefOps для выявления подобных проблем. Сложности возникают, когда уязвимость обнаруживается в каком-то продукте с открытым исходным кодом, у которого нет одного автора, который бы оперативно устранил проблему. В этом случае как правило в сообществе появляются рекомендации по компенсирующим мерам, но увы об этом никогда не узнает даже самый лучший сканер безопасности".