СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
08.10.2021

Уязвимость BDU:2022-01512

Уязвимость BDU:2022-01512

Идентификатор: BDU:2022-01512.

Наименование уязвимости: Уязвимость компонента fs/quota/quota_tree.c ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость компонента fs/quota/quota_tree.c ядра операционных систем Linux связана с использованием памяти после её освобождения при проверке номера блока в файле fs/quota/quota_tree.c. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Debian GNU/Linux 10 | Операционная система Debian GNU/Linux 11 | Операционная система Linux от 4.10 до 4.14.255 включительно | Операционная система Linux от 4.15 до 4.19.217 включительно | Операционная система Linux от 4.20 до 5.4.159 включительно | Операционная система Linux от 5.5 до 5.10.79 включительно | Операционная система Linux от 5.11 до 5.14.18 включительно | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.7 | Операционная система Linux от 5.15.0 до 5.15.2 включительно | Операционная система Linux от 4.0 до 4.4.292 включительно | Операционная система Linux от 4.5 до 4.9.290 включительно |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 16 «Смоленск» | Debian GNU/Linux 10 | Debian GNU/Linux 11 | Linux от 410 до 414255 включительно | Linux от 415 до 419217 включительно | Linux от 420 до 54159 включительно | Linux от 55 до 51079 включительно | Linux от 511 до 51418 включительно | ОСОН ОСнова Оnyx до 27 | Linux от 5150 до 5152 включительно | Linux от 40 до 44292 включительно | Linux от 45 до 49290 включительно |
Дата выявления: 08.10.2021.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)

Возможные меры по устранению:
Для Linux:
использование рекомендаций производителя:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9bf3d20331295b1ecb81f4ed9ef358c51699a050
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.3
https://git.kernel.org/linus/9bf3d20331295b1ecb81f4ed9ef358c51699a050
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.293
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.291
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.256
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.218
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.160
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.80
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.14.19
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.2

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-45868

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения linux до версии 5.15.86-1.osnova211.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-45868.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://security-tracker.debian.org/tracker/CVE-2021-45868
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9bf3d20331295b1ecb81f4ed9ef358c51699a050
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.3
https://git.kernel.org/linus/9bf3d20331295b1ecb81f4ed9ef358c51699a050
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.293
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.291
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.256
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.218
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.160
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.80
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.14.19
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.2
https://www.openwall.com/lists/oss-security/2022/03/17/2
https://www.openwall.com/lists/oss-security/2022/03/17/1
https://bugzilla.kernel.org/show_bug.cgi?id=214655
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: