03.07.2024

Уязвимость BDU:2024-06063

Идентификатор: BDU:2024-06063.

Наименование уязвимости: Уязвимость функции bond_option_arp_ip_targets_set() сетевой компоненты ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации.

Описание уязвимости: Уязвимость функции bond_option_arp_ip_targets_set() в модуле drivers/net/bonding/bond_options.c сетевой компоненты ядра операционной системы Linux связана с чтением памяти за пределами выделенного буфера. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации
Уязвимое ПО: Операционная система Canonical Ltd. Ubuntu 14.04 LTS | Операционная система Canonical Ltd. Ubuntu 16.04 LTS | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система Novell Inc. OpenSUSE Leap 15.5 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP5 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Software Development Kit 12 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Workstation Extension 12 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Live Patching 12 SP5 | Операционная система Canonical Ltd. Ubuntu 20.04 LTS | Операционная система Debian GNU/Linux 11 | Операционная система Debian GNU/Linux 12 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система Canonical Ltd. Ubuntu 22.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Availability Extension 12 SP5 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP5 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Public Cloud 15 SP5 | Операционная система Novell Inc. SUSE Linux Enterprise Real Time 15 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Legacy Software 15 SP5 | Операционная система Novell Inc. SUSE Linux Enterprise Real Time 12 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Live Patching 15 SP5 | Операционная система АО «ИВК» АЛЬТ СП 10 — | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Workstation Extension 15 SP5 | Операционная система Novell Inc. openSUSE Leap Micro 5.5 | Операционная система Novell Inc. SUSE Liberty Linux 9 | Операционная система Novell Inc. SUSE Liberty Linux 8 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP6 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP6 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP6 | Операционная система Canonical Ltd. Ubuntu 24.04 LTS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Workstation Extension 15 SP6 | Операционная система Novell Inc. OpenSUSE Leap 15.6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Availability Extension 15 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 6.0 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Legacy Software 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Availability Extension 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Live Patching 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Public Cloud 15 SP6 | Операционная система Novell Inc. SUSE Linux Enterprise Real Time 15 SP6 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Micro 6.1 | Операционная система Linux 6.10 rc7 |

Возможные меры по устранению:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Linux:
https://lore.kernel.org/linux-cve-announce/2024070912-CVE-2024-39487-f52c@gregkh/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-39487

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-39487

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
https://altsp.su/obnovleniya-bezopasnosti/

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-39487

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-39487.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/CVE-2024-39487
https://altsp.su/obnovleniya-bezopasnosti/
https://git.kernel.org/linus/e271ff53807e8f2c628758290f0e499dbe51cb3d
https://git.kernel.org/stable/c/6a8a4fd082c439e19fede027e80c79bc4c84bb8e
https://git.kernel.org/stable/c/6b21346b399fd1336fe59233a17eb5ce73041ee1
https://git.kernel.org/stable/c/707c85ba3527ad6aa25552033576b0f1ff835d7b
https://git.kernel.org/stable/c/9f835e48bd4c75fdf6a9cff3f0b806a7abde78da
https://git.kernel.org/stable/c/b75e33eae8667084bd4a63e67657c6a5a0f8d1e8
https://git.kernel.org/stable/c/bfd14e5915c2669f292a31d028e75dcd82f1e7e9
https://git.kernel.org/stable/c/c8eb8ab9a44ff0e73492d0a12a643c449f641a9f
https://git.kernel.org/stable/c/e271ff53807e8f2c628758290f0e499dbe51cb3d
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.318
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.222
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.163
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.280
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.98
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.39
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.9
https://security-tracker.debian.org/tracker/CVE-2024-39487
https://ubuntu.com/security/notices/USN-7003-1
https://ubuntu.com/security/notices/USN-7003-2
https://ubuntu.com/security/notices/USN-7003-3
https://ubuntu.com/security/notices/USN-7003-4
https://ubuntu.com/security/notices/USN-7003-5
https://ubuntu.com/security/notices/USN-7006-1
https://ubuntu.com/security/notices/USN-7007-1
https://ubuntu.com/security/notices/USN-7007-2
https://ubuntu.com/security/notices/USN-7007-3
https://ubuntu.com/security/notices/USN-7009-1
https://ubuntu.com/security/notices/USN-7009-2
https://ubuntu.com/security/notices/USN-7019-1
https://ubuntu.com/security/notices/USN-7069-1
https://ubuntu.com/security/notices/USN-7069-2
https://www.cve.org/CVERecord?id=CVE-2024-39487
https://lore.kernel.org/linux-cve-announce/2024070912-CVE-2024-39487-f52c@gregkh/
https://ubuntu.com/security/CVE-2024-39487
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Автор: ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.

Комментарии: