BDU:2019-03630: Уязвимость модуля vhost_net ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость модуля vhost_net ядра операционной системы Linux связана с неконтролируемым расходом ресурса при обработке входящих пакетов в handle_rx(). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор АО «НПО РусБИТех», Red Hat Inc., Canonical Ltd., Fedora Project, Novell Inc., Oracle Corp., Сообщество свободного программного обеспечения
Наименование ПО Astra Linux, Red Hat Enterprise Linux, Ubuntu, Fedora, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Module for Basesystem, SUSE Linux Enterprise High Performance Computing, Oracle Linux, Linux, SUSE Linux Enterprise Module for Development Tools, Debian GNU/Linux
Версия ПО
  • 1.5 «Смоленск» (Astra Linux)
  • 6 (Red Hat Enterprise Linux)
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 28 (Fedora)
  • 12 SP3 (Suse Linux Enterprise Desktop)
  • 12 SP4 (Suse Linux Enterprise Desktop)
  • 12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 15 GA (SUSE Linux Enterprise Module for Basesystem)
  • 12 (SUSE Linux Enterprise High Performance Computing)
  • 11 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 GA (SUSE Linux Enterprise Server for SAP Applications)
  • 29 (Fedora)
  • 19.04 (Ubuntu)
  • 7 (Oracle Linux)
  • 30 (Fedora)
  • 7.4 EUS (Red Hat Enterprise Linux)
  • 7.5 EUS (Red Hat Enterprise Linux)
  • до 5.1 (Linux)
  • 8 (poppler) (Oracle Linux)
  • 15 GA (SUSE Linux Enterprise Module for Development Tools)
  • 6 (Oracle Linux)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • АО «НПО РусБИТех» Astra Linux 1.5 «Смоленск»
  • Red Hat Inc. Red Hat Enterprise Linux 6
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Canonical Ltd. Ubuntu 16.04 LTS
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Fedora Project Fedora 28
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP3
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP4
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 GA
  • Novell Inc. SUSE Linux Enterprise High Performance Computing 12
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 GA
  • Fedora Project Fedora 29
  • Canonical Ltd. Ubuntu 19.04
  • Oracle Corp. Oracle Linux 7
  • Fedora Project Fedora 30
  • Red Hat Inc. Red Hat Enterprise Linux 7.4 EUS
  • Red Hat Inc. Red Hat Enterprise Linux 7.5 EUS
  • Сообщество свободного программного обеспечения Linux до 5.1
  • Oracle Corp. Oracle Linux 8 (poppler)
  • Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 GA
  • Oracle Corp. Oracle Linux 6
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Тип ошибки Неконтролируемый расход ресурса («Истощение ресурса»)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 12.07.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для linux:
Обновление программного обеспечения до 4.9.168-1+deb9u5 или более поздней версии

https://www.spinics.net/lists/kernel/msg3111012.html



Для Debian:

Обновление программного обеспечения(пакета linux) до 4.9.168-1+deb9u5 или более поздней версии
https://security-tracker.debian.org/tracker/CVE-2019-3900



Для Ubuntu:

https://usn.ubuntu.com/4114-1/

https://usn.ubuntu.com/4115-1/

https://usn.ubuntu.com/4116-1/

https://usn.ubuntu.com/4117-1/

https://usn.ubuntu.com/4118-1/
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3900.html

Для программных продуктов Red Hat Inc.:

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3900
https://access.redhat.com/security/cve/cve-2019-3900

Для Fedora:
https://bugzilla.redhat.com/show_bug.cgi?id=1702940

Для Oracle:
https://linux.oracle.com/cve/CVE-2019-3900.html

Для SUSE:
https://www.suse.com/security/cve/CVE-2019-3900/

Для Astra Linux:
Обновление программного обеспечения(пакета linux) до 4.9.168-1+deb9u5 или более поздней версии
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Исчерпание ресурсов
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения