Уязвимость BDU:2014-00063

Дата: 07.06.2014. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2014-00063.

Наименование уязвимости: Уязвимость ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии или вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции futex_requeue (kernel/futex.c) ядра операционной системы Linux связана с отсутствием проверки наличия двух различных futex-адресов. Эксплуатация уязвимости может позволить нарушителю, действующему локально, повысить свои привилегии с помощью специальной команды FUTEX_REQUEUE или получить контроль над ring 0 и вызвать аварийное завершение работы ядра
Уязвимое ПО: Операционная система Linux до 3.4.15 | Операционная система Linux до 3.4.15 | Операционная система ООО «НТЦ ИТ РОСА» РОСА Кобальт — |

Наименование ОС и тип аппаратной платформы: Linux от 3140 до 3145 включительно 64-bit | Linux от 3140 до 3145 включительно 32-bit | Linux до 3415 32-bit | Linux до 3415 64-bit | РОСА Кобальт — |
Дата выявления: 07.06.2014.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/torvalds/linux/commit/e9c243a5a6de0be8e584c604d353412584b592f8
https://github.com/torvalds/linux/commit/e9c243a5a6de0be8e584c604d353412584b592f8
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=e9c243a5a6de0be8e584c604d353412584b592f8

Для ОС РОСА КОБАЛЬТ:
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-17-12-24.001
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2014-3153. openSUSE-SU-2014:0878. Exploit Database ID:35370. BID ID:67906. SUSE-SU-2014:1316. SUSE-SU-2014:1319.
Прочая информация:
Тип ошибки CWE: CWE-264
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/torvalds/linux/commit/e9c243a5a6de0be8e584c604d353412584b592f8
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=e9c243a5a6de0be8e584c604d353412584b592f8
https://bugzilla.redhat.com/show_bug.cgi?id=1103626
http://www.securityfocus.com/bid/67906
http://www.openwall.com/lists/oss-security/2014/06/05/22
http://www.exploit-db.com/exploits/35370
http://openwall.com/lists/oss-security/2014/06/06/20
http://openwall.com/lists/oss-security/2014/06/05/24
http://lists.opensuse.org/opensuse-security-announce/2014-10/msg00007.html
http://lists.opensuse.org/opensuse-security-announce/2014-10/msg00006.html
http://lists.opensuse.org/opensuse-security-announce/2014-07/msg00006.html
http://linux.oracle.com/errata/ELSA-2014-3039.html
http://linux.oracle.com/errata/ELSA-2014-3038.html
http://linux.oracle.com/errata/ELSA-2014-3037.html
http://linux.oracle.com/errata/ELSA-2014-0771.html
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-17-12-24.001

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *