Уязвимость BDU:2021-04152

Дата: 08.08.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2021-04152.

Наименование уязвимости: Уязвимость компонента net/nfc/llcp_sock.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость компонента net/nfc/llcp_sock.c ядра операционной системы Linux связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании путем вызова функции getsockname() после неудачной попытки bind() (например, в случае, если LLCP_SAP_MAX используется как SAP)
Уязвимое ПО: Операционная система АО «ИВК» Альт 8 СП Сервер — | Операционная система АО «ИВК» Альт 8 СП Рабочая станция — | Операционная система Linux до 5.12.10 | Операционная система Linux от 5.1 до 5.10.43 | Операционная система Linux от 4.14 до 4.14.236 | Операционная система Linux от 5.4 до 5.4.125 | Операционная система Linux от 4.19 до 4.19.194 | Операционная система Linux от 4.4 до 4.4.272 | Операционная система Linux от 4.9 до 4.9.272 | Операционная система АО «НППКТ» ОСнова 2.0 Onyx | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 | Операционная система ООО «АЛМИ ПАРТНЕР» AlterOS до 7.5 | Операционная система АО «ФИНТЕХ» СинтезМ 7.5 (сборка до 20210921-1423 ) |

Наименование ОС и тип аппаратной платформы: Альт 8 СП Сервер — | Альт 8 СП Рабочая станция — | Linux до 51210 | Linux от 51 до 51043 | Linux от 414 до 414236 | Linux от 54 до 54125 | Linux от 419 до 419194 | Linux от 44 до 44272 | Linux от 49 до 49272 | ОСнова 20 Onyx | ОС ОН «Стрелец» 10 | AlterOS до 75 | СинтезМ 75 (сборка до 20210921-1423 ) |
Дата выявления: 08.08.2021.
CVSS 2.0: AV:L/AC:L/Au:S/C:N/I:N/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/torvalds/linux/commit/4ac06a1e013cf5fdd963317ffd3b968560f33bba

Для ОСнова:
https://поддержка.нппкт.рф/bin/view/Основа/Обновления/2.2/

Для AlterOS:
Обновление программного обеспечения до актуальной версии

Для СинтезМ:
http://www.fintech.ru/storage/files/documentation_files/59/file/20211012.pdf?1634334379

Для Альт 8 СП:
Обновление операционной системы до актуальной версии

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#07102021operativnoe-obnovlenie
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-38208.

Тип ошибки CWE: CWE-476
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.openwall.com/lists/oss-security/2021/08/17/1
http://www.openwall.com/lists/oss-security/2021/08/17/2
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.12.10
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.43
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.236
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.125
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.194
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.272
https://github.com/torvalds/linux/commit/4ac06a1e013cf5fdd963317ffd3b968560f33bba
https://поддержка.нппкт.рф/bin/view/Основа/Обновления/2.2/
http://www.fintech.ru/storage/files/documentation_files/59/file/20211012.pdf?1634334379
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#07102021operativnoe-obnovlenie

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *