Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-04348: Уязвимость функции cgroups ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость функции cgroups ядра операционной системы Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор	Сообщество свободного программного обеспечения, Red Hat Inc., ООО «Открытая мобильная платформа»
Наименование ПО	Debian GNU/Linux, Red Hat Enterprise Linux, Linux, ОС Аврора (запись в едином реестре российских программ №1543)
Версия ПО	9 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) от 4.9.0 до 4.9.233 (Linux) от 4.14.0 до 4.14.194 (Linux) от 4.19.0 до 4.19.140 (Linux) 3.2.3.10 (ОС Аврора)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Сообщество свободного программного обеспечения Linux от 4.9.0 до 4.9.233 Сообщество свободного программного обеспечения Linux от 4.14.0 до 4.14.194 Сообщество свободного программного обеспечения Linux от 4.19.0 до 4.19.140 ООО «Открытая мобильная платформа» ОС Аврора 3.2.3.10 F+ Life Tab Plus (запись в едином реестре российских программ №1543)
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	09.09.2020
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Linux: https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?h=linux-4.14.y&id=82fd2138a5ffd7e0d4320cdb669e115ee976a26e https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.194 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.140 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.233 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-25220 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2020-25220 Для ОС Аврора: https://cve.omprussia.ru/bb6323
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://cxsecurity.com/cveshow/CVE-2020-25220/ https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?h=linux-4.14.y&id=82fd2138a5ffd7e0d4320cdb669e115ee976a26e https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.194 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.140 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.233 https://security-tracker.debian.org/tracker/CVE-2020-25220 https://access.redhat.com/security/cve/CVE-2020-25220 https://bugzilla.redhat.com/show_bug.cgi?id=1868453 https://www.spinics.net/lists/stable/msg405099.html https://cve.omprussia.ru/bb6323
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-25220
Прочая информация	Данные уточняются

Последние изменения