Уязвимость BDU:2020-04348
Идентификатор: BDU:2020-04348.
Наименование уязвимости: Уязвимость функции cgroups ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость функции cgroups ядра операционной системы Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Debian GNU/Linux 10 | Операционная система ООО «Открытая мобильная платформа» ОС Аврора 3.2.3.10 | Операционная система Linux от 4.9.231 до 4.9.232 включительно | Операционная система Linux от 4.19.134 до 4.19.139 включительно |
Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Red Hat Enterprise Linux 8 | Debian GNU/Linux 10 | Linux от 490 до 49233 | Linux от 4140 до 414194 | Linux от 4190 до 419140 | ОС Аврора 32310 F+ Life Tab Plus |
Дата выявления: 21.08.2020.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Нет опасности уровень опасности (базовая оценка CVSS 4.0 составляет 0)
Возможные меры по устранению:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?h=linux-4.14.y&id=82fd2138a5ffd7e0d4320cdb669e115ee976a26e
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.140
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.233
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.194
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.140
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.233
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-25220
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-25220
Для ОС Аврора:
https://cve.omprussia.ru/bb6323.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-25220.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/CVE-2020-25220
https://bugzilla.redhat.com/show_bug.cgi?id=1868453
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.194
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.140
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.233
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25220
https://cve.omprussia.ru/bb6323
https://cxsecurity.com/cveshow/CVE-2020-25220/
https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?h=linux-4.14.y&id=82fd2138a5ffd7e0d4320cdb669e115ee976a26e
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.140
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.233
https://lists.debian.org/debian-lts-announce/2020/10/msg00032.html
https://lists.debian.org/debian-lts-announce/2020/10/msg00034.html
https://security.netapp.com/advisory/ntap-20201001-0004/
https://security-tracker.debian.org/tracker/CVE-2020-25220
https://www.cve.org/CVERecord?id=CVE-2020-25220
https://www.spinics.net/lists/stable/msg405099.html
