СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
26.10.2023
#Dev#ИБ#Инфра

Уязвимость BDU:2023-07236

Уязвимость BDU:2023-07236

Идентификатор: BDU:2023-07236.

Наименование уязвимости: Уязвимость ядра операционной системы Linux, вызванная ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю выполнить произвольный код..

Описание уязвимости: Уязвимость ядра операционной системы Linux вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код.
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «ИВК» АЛЬТ СП 10 — | Операционная система Linux от 5.11 до 5.15.136 включительно | Операционная система Linux от 5.16 до 6.1.59 включительно | Операционная система Linux от 6.2 до 6.5.8 включительно | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.9 | Операционная система Linux от 5.10 до 5.10.198 включительно |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 16 «Смоленск» | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM | АЛЬТ СП 10 — | Linux от 511 до 515136 включительно | Linux от 516 до 6159 включительно | Linux от 62 до 658 включительно | Linux от 5100 до 510198 включительно | ОСОН ОСнова Оnyx до 29 |
Дата выявления: 09.10.2023.
CVSS 2.0: AV:L/AC:H/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Нет опасности уровень опасности (оценка CVSS 4.0 составляет 0)

Возможные меры по устранению:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Linux:
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.199
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.137
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.60
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.5.9
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=63e44bc52047f182601e7817da969a105aa1f721
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a37cd2a59d0cb270b1bba568fd3a3b8668b9d3ba
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b9cb9c45583b911e0db71d09caa6b56469eb2bdf

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения linux до версии 5.15.140-1.oasnova221

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
— обновить пакет linux-5.15 до 5.15.0-111.astra2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
— обновить пакет linux-6.1 до 6.1.90-1.astra3+ci20 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
— обновить пакет linux-5.10 до 5.10.216-1.astra2+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
— обновить пакет linux-5.15 до 5.15.0-111.astra2+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
— обновить пакет linux-5.10 до 5.10.216-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
— обновить пакет linux-5.15 до 5.15.0-111.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
— обновить пакет linux-6.1 до 6.1.90-1.astra3+ci156 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-46813.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://altsp.su/obnovleniya-bezopasnosti/
https://bugzilla.redhat.com/show_bug.cgi?id=2246944
https://bugzilla.suse.com/show_bug.cgi?id=1212649
https://cdn.kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.5.9
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46813
https://git.kernel.org/linus/63e44bc52047f182601e7817da969a105aa1f721
https://git.kernel.org/linus/a37cd2a59d0cb270b1bba568fd3a3b8668b9d3ba
https://git.kernel.org/linus/b9cb9c45583b911e0db71d09caa6b56469eb2bdf
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=63e44bc52047f182601e7817da969a105aa1f721
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a37cd2a59d0cb270b1bba568fd3a3b8668b9d3ba
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b9cb9c45583b911e0db71d09caa6b56469eb2bdf
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.199
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.137
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.60
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.5.9
https://lists.debian.org/debian-lts-announce/2024/01/msg00005.html
https://nvd.nist.gov/vuln/detail/CVE-2023-46813
https://ubuntu.com/security/notices/USN-6533-1
https://ubuntu.com/security/notices/USN-6624-1
https://ubuntu.com/security/notices/USN-6626-1
https://ubuntu.com/security/notices/USN-6626-2
https://ubuntu.com/security/notices/USN-6626-3
https://ubuntu.com/security/notices/USN-6628-1
https://ubuntu.com/security/notices/USN-6628-2
https://ubuntu.com/security/notices/USN-6652-1
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
https://www.cve.org/CVERecord?id=CVE-2023-46813
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: