Уязвимость BDU:2022-00790

Идентификатор: BDU:2022-00790.

Наименование уязвимости: Уязвимость реализации функции nfs_atomic_open() ядра операционных систем Linux, позволяющая нарушителю оказать влияние на конфиденциальность данных.

Описание уязвимости: Уязвимость реализации функции nfs_atomic_open() ядра операционных систем Linux связана с отсутствием инициализации ресурсов. Эксплуатация уязвимости может позволить нарушителю оказать влияние на конфиденциальность данных
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Debian GNU/Linux 10 | Операционная система Debian GNU/Linux 11 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.7 | Операционная система Linux от 4.10 до 4.14.264 включительно | Операционная система Linux от 4.15 до 4.19.227 включительно | Операционная система Linux от 4.20 до 5.4.175 включительно | Операционная система Linux от 5.5 до 5.10.95 включительно | Операционная система Linux от 5.11 до 5.15.18 включительно | Операционная система Linux от 5.16 до 5.16.4 включительно | Операционная система Linux от 3.6 до 4.9.299 включительно |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 16 «Смоленск» | Debian GNU/Linux 10 | Debian GNU/Linux 11 | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM | ОСОН ОСнова Оnyx до 27 | Linux от 410 до 414264 включительно | Linux от 415 до 419227 включительно | Linux от 420 до 54175 включительно | Linux от 55 до 51095 включительно | Linux от 511 до 51518 включительно | Linux от 5160 до 5164 включительно | Linux от 40 до 49299 включительно |
Дата выявления: 07.01.2022.
CVSS 2.0: AV:L/AC:M/Au:N/C:P/I:N/A:N
Уровень опасности уязвимости: Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 1,9)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,3)
Нет опасности уровень опасности (оценка CVSS 4.0 составляет 0)

Возможные меры по устранению:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.300
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.265
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.228
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.176
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.96
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.19
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.5
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=ac795161c93699d600db16c1a8cc23a65a1eceaf
https://github.com/torvalds/linux/commit/ac795161c93699d600db16c1a8cc23a65a1eceaf

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-24448

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения linux до версии 5.15.86-1.osnova211.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-24448.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/cve-2022-24448
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2022-24448
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.5
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24448
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=ac795161c93699d600db16c1a8cc23a65a1eceaf
https://git.linuxtesting.ru/pub/scm/linux/kernel/git/lvc/linux-stable.git/commit/?h=v5.10.176-lvc1&id=ce8c552b88ca25d775ecd0a0fbef4e0e03de9ed2
https://github.com/torvalds/linux/commit/ab0fc21bc7105b54bafd85bd8b82742f9e68898a
https://github.com/torvalds/linux/commit/ac795161c93699d600db16c1a8cc23a65a1eceaf
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.265
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.228
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.300
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.96
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.19
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.5
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.176
https://lists.debian.org/debian-lts-announce/2022/03/msg00011.html
https://lists.debian.org/debian-lts-announce/2022/03/msg00012.html
https://lore.kernel.org/all/67d6a536-9027-1928-99b6-af512a36cd1a%40huawei.com/T/
https://nvd.nist.gov/vuln/detail/CVE-2022-24448
https://security-tracker.debian.org/tracker/CVE-2022-24448
https://ubuntu.com/security/notices/USN-5302-1
https://ubuntu.com/security/notices/USN-5383-1
https://ubuntu.com/security/notices/USN-5384-1
https://ubuntu.com/security/notices/USN-5385-1
https://ubuntu.com/security/notices/USN-7148-1
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
https://www.cve.org/CVERecord?id=CVE-2022-24448
https://www.debian.org/security/2022/dsa-5092
https://www.debian.org/security/2022/dsa-5096
https://www.spinics.net/lists/stable/msg531976.html
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/