Уязвимость BDU:2022-04972

Дата: 14.10.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04972.

Наименование уязвимости: Уязвимость функции lock_sock_nested() ядра операционных систем Android, позволяющая нарушителю повысить свои привилегии.

Описание уязвимости: Уязвимость функции lock_sock_nested() ядра операционных систем Android связана с использованием памяти после её освобождения в результате неправильной синхронизации общего ресурса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
Уязвимое ПО: Операционная система Google Inc. Android — | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 |

Наименование ОС и тип аппаратной платформы: Android — | Astra Linux Special Edition 16 «Смоленск» | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM |
Дата выявления: 14.10.2021.
CVSS 2.0: AV:L/AC:H/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,4)

Возможные меры по устранению:
Использование рекомендаций:
https://source.android.com/security/bulletin/pixel/2022-06-01

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-20154.

Тип ошибки CWE: CWE-362, CWE-416
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://source.android.com/security/bulletin/pixel/2022-06-01
https://nvd.nist.gov/vuln/detail/CVE-2022-20154
https://vuldb.com/?id.202099
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47