СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Уязвимости
ФСТЭК России
02.04.2020
#ИБ

Уязвимость BDU:2020-05727

Уязвимость BDU:2020-05727

Идентификатор: BDU:2020-05727.

Наименование уязвимости: Уязвимость компонента kernel/bpf/verifier.c ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.

Описание уязвимости: Уязвимость компонента kernel/bpf/verifier.c ядра операционной системы Linux связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Уязвимое ПО: Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» | Операционная система Fedora Project Fedora 30 | Операционная система Fedora Project Fedora 31 | Операционная система Canonical Ltd. Ubuntu 19.10 | Операционная система Fedora Project Fedora 32 | Операционная система Linux от 5.5.0 до 5.5.13 включительно | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.4 | Операционная система Linux 5.6.0 | Операционная система Linux от 5.4.7 до 5.4.28 включительно |

Наименование ОС и тип аппаратной платформы: Ubuntu 1804 LTS | Astra Linux Common Edition 212 «Орёл» | Fedora 30 | Fedora 31 | Ubuntu 1910 | Fedora 32 | Linux от 550 до 5513 включительно |
Дата выявления: 30.03.2020.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению:
Использование рекомендаций производителя:
Для Linux:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8835
https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net-next.git/commit/?id=f2d67fec0b43edce8c416101cdc52e71145b5fef
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f2d67fec0b43edce8c416101cdc52e71145b5fef
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.29
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.5.14
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.1

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F7OONYGMSYBEFHLHZJK3GOI5Z553G4LD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TF4PQZBEPNXDSK5DOBMW54OCLP25FTCD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YXBWSHZ6DJIZVXKXGZPK6QPFCY7VKZEG/

Для Ubuntu:
https://ubuntu.com/security/CVE-2020-8835

Для Astra Linux:
Обновление программного обеспечения (пакета linux) до 4.9.210-1+deb9u1 или более поздней версии

Для ОСОН Основа:
Обновление программного обеспечения linux до версии 5.14.9-2.osnova179.1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-8835.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.openwall.com/lists/oss-security/2021/07/20/1
https://access.redhat.com/security/cve/cve-2020-8835
https://bugzilla.redhat.com/show_bug.cgi?id=1817350
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8835
https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net-next.git/commit/?id=f2d67fec0b43edce8c416101cdc52e71145b5fef
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f2d67fec0b43edce8c416101cdc52e71145b5fef
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.29
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.5.14
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.1
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/F7OONYGMSYBEFHLHZJK3GOI5Z553G4LD/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TF4PQZBEPNXDSK5DOBMW54OCLP25FTCD/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YXBWSHZ6DJIZVXKXGZPK6QPFCY7VKZEG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F7OONYGMSYBEFHLHZJK3GOI5Z553G4LD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TF4PQZBEPNXDSK5DOBMW54OCLP25FTCD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YXBWSHZ6DJIZVXKXGZPK6QPFCY7VKZEG/
https://lore.kernel.org/bpf/20200330160324.15259-1-daniel%40iogearbox.net/T/
https://lore.kernel.org/bpf/20200330160324.15259-1-daniel@iogearbox.net/T/
https://security.netapp.com/advisory/ntap-20200430-0004/
https://ubuntu.com/security/CVE-2020-8835
https://ubuntu.com/security/notices/USN-4313-1
https://usn.ubuntu.com/4313-1/
https://usn.ubuntu.com/usn/usn-4313-1
https://www.cve.org/CVERecord?id=CVE-2020-8835
https://www.openwall.com/lists/oss-security/2020/03/30/3
https://www.thezdi.com/blog/2020/3/19/pwn2own-2020-day-one-results
https://www.thezdi.com/blog/2020/4/8/cve-2020-8835-linux-kernel-privilege-escalation-via-improper-ebpf-program-verification
https://www.zerodayinitiative.com/advisories/ZDI-20-350/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: