BDU:2021-03848: Уязвимость компонента fs/seq_file.c ядра операционных систем Linux, позволяющая нарушителю повысить свои привилегии

Описание уязвимости Уязвимость компонента fs/seq_file.c ядра операционных систем Linux связана с записью за границы буфера памяти. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Fedora Project, ООО «Открытая мобильная платформа», АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Fedora, Red Hat Virtualization, Linux, ОС Аврора (запись в едином реестре российских программ №1543), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 9 (Debian GNU/Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • 7.2 Advanced Update Support (Red Hat Enterprise Linux)
  • 7.4 US for SAP Solutions (Red Hat Enterprise Linux)
  • 7.3 Advanced Update Support (Red Hat Enterprise Linux)
  • 7.4 Telco Extended Update Support (Red Hat Enterprise Linux)
  • 7.4 Advanced Update Support (Red Hat Enterprise Linux)
  • 8.1 Extended Update Support (Red Hat Enterprise Linux)
  • 7.7 Extended Update Support (Red Hat Enterprise Linux)
  • 8.2 Extended Update Support (Red Hat Enterprise Linux)
  • 6 Extended Lifecycle Support (Red Hat Enterprise Linux)
  • 34 (Fedora)
  • 4 for RHEL 8 (Red Hat Virtualization)
  • от 3.16 до 5.13.4 (Linux)
  • 7.6 Telco Extended Update Support (Red Hat Enterprise Linux)
  • 7.6 Advanced Update Support (Red Hat Enterprise Linux)
  • 7.6 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • до 4.0.2 (ОС Аврора)
  • до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10
  • Red Hat Inc. Red Hat Enterprise Linux 7.2 Advanced Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 7.4 US for SAP Solutions
  • Red Hat Inc. Red Hat Enterprise Linux 7.3 Advanced Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 7.4 Telco Extended Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 7.4 Advanced Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 7.7 Extended Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 6 Extended Lifecycle Support
  • Fedora Project Fedora 34
  • Сообщество свободного программного обеспечения Linux от 3.16 до 5.13.4
  • Red Hat Inc. Red Hat Enterprise Linux 7.6 Telco Extended Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 7.6 Advanced Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 7.6 Update Services for SAP Solutions
Тип ошибки Запись за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 20.07.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Linux:
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.13.4
https://github.com/torvalds/linux/commit/8cae8cd89f05f6de223d63e6d15e31c8ba9cf53b

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Z4UHHIGISO3FVRF4

Для Debian:
https://lists.debian.org/debian-lts-announce/2021/07/msg00014.html
https://lists.debian.org/debian-lts-announce/2021/07/msg00015.html
https://lists.debian.org/debian-lts-announce/2021/07/msg00016.html
https://www.debian.org/security/2021/dsa-4941

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-33909

Для Astra Linux:
Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb10321

Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb11322

Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb12323

Для ОСОН Основа:
Обновление программного обеспечения linux до версии 5.4.123-1~bpo10+1.osnova164
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения