Уязвимость BDU:2020-05885

Идентификатор: BDU:2020-05885.

Наименование уязвимости: Уязвимость подсистемы виртуализации Kernel-based Virtual Machine (KVM) ядра операционной системы Linux, связанная с раскрытием информации, позволяющая нарушителю получить доступ к защищаемой информации.

Описание уязвимости: Уязвимость подсистемы виртуализации Kernel-based Virtual Machine (KVM) ядра операционной системы Linux связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Debian GNU/Linux 9 | Операционная система Debian GNU/Linux 8.0 | Операционная система Oracle Corp. Oracle Linux 7 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Debian GNU/Linux 10 | Операционная система Linux от 5.5 до 5.5.6 включительно | Операционная система Oracle Corp. Oracle Linux 6 | Операционная система Linux от 4.0 до 4.4.214 включительно | Операционная система Linux от 4.5 до 4.9.214 включительно | Операционная система Linux от 4.10 до 4.14.171 включительно | Операционная система Linux от 4.15 до 4.19.106 включительно | Операционная система Linux от 4.20 до 5.4.22 включительно |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 15 «Смоленск» | Red Hat Enterprise Linux 7 | Debian GNU/Linux 9 | Debian GNU/Linux 80 | Oracle Linux 7 | Red Hat Enterprise Linux 8 | Debian GNU/Linux 10 | Oracle Linux 6 | Linux до 57 |
Дата выявления: 23.02.2020.
CVSS 2.0: AV:A/AC:M/Au:S/C:P/I:N/A:N
Уровень опасности уязвимости: Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)
Нет опасности уровень опасности (оценка CVSS 4.0 составляет 0)

Возможные меры по устранению:
Использование рекомендаций производителя:

Для программных продуктов Red Hat:
https://bugzilla.redhat.com/show_bug.cgi?id=1805135

Для Debian GNU/Linux:
Обновление программного обеспечения (пакета linux) до 5.7.6-1 или более поздней версии
https://lists.debian.org/debian-lts-announce/2020/06/msg00011.html
https://lists.debian.org/debian-lts-announce/2020/06/msg00012.html
https://lists.debian.org/debian-lts-announce/2020/06/msg00013.html
https://www.debian.org/security/2020/dsa-4667
https://www.debian.org/security/2020/dsa-4698

Для Linux:
Обновление программного обеспечения до 5.7.6-1 или более поздней версии
https://git.kernel.org/linus/07721feee46b4b248402133228235318199b05ec
https://git.kernel.org/linus/35a571346a94fb93b5b3b6a599675ef3384bc75c
https://git.kernel.org/linus/e71237d3ff1abf9f3388337cfebf53b96df2020d
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.172
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.107
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.215
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.215
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.23
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.5.7

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=117998111
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для Oracle:
https://linux.oracle.com/errata/ELSA-2020-5540.html
https://linux.oracle.com/errata/ELSA-2020-5542.html
https://linux.oracle.com/errata/ELSA-2020-5543.html.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-2732.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://bugzilla.redhat.com/show_bug.cgi?id=1805135
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2732
https://git.kernel.org/linus/07721feee46b4b248402133228235318199b05ec
https://git.kernel.org/linus/35a571346a94fb93b5b3b6a599675ef3384bc75c
https://git.kernel.org/linus/e71237d3ff1abf9f3388337cfebf53b96df2020d
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.172
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.107
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.215
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.215
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.23
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.5.7
https://linux.oracle.com/errata/ELSA-2020-5540.html
https://linux.oracle.com/errata/ELSA-2020-5542.html
https://linux.oracle.com/errata/ELSA-2020-5543.html
https://lists.debian.org/debian-lts-announce/2020/06/msg00011.html
https://lists.debian.org/debian-lts-announce/2020/06/msg00012.html
https://lists.debian.org/debian-lts-announce/2020/06/msg00013.html
https://lore.kernel.org/stable/20200304085113.GA1419475@kroah.com/
https://nvd.nist.gov/vuln/detail/CVE-2020-2732
https://security-tracker.debian.org/tracker/CVE-2020-2732
https://ubuntu.com/security/notices/USN-4300-1
https://ubuntu.com/security/notices/USN-4301-1
https://ubuntu.com/security/notices/USN-4302-1
https://ubuntu.com/security/notices/USN-4303-1
https://ubuntu.com/security/notices/USN-4303-2
https://usn.ubuntu.com/usn/usn-4300-1
https://usn.ubuntu.com/usn/usn-4301-1
https://usn.ubuntu.com/usn/usn-4302-1
https://usn.ubuntu.com/usn/usn-4303-1
https://usn.ubuntu.com/usn/usn-4303-2
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
https://wiki.astralinux.ru/pages/viewpage.action?pageId=117998111
https://www.cve.org/CVERecord?id=CVE-2020-2732
https://www.debian.org/security/2020/dsa-4667
https://www.debian.org/security/2020/dsa-4698
https://www.openwall.com/lists/oss-security/2020/02/25/4
https://www.spinics.net/lists/kvm/msg208259.html