BDU:2021-04152: Уязвимость компонента net/nfc/llcp_sock.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость компонента net/nfc/llcp_sock.c ядра операционной системы Linux связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании путем вызова функции getsockname() после неудачной попытки bind() (например, в случае, если LLCP_SAP_MAX используется как SAP)
Вендор Сообщество свободного программного обеспечения, АО "НППКТ", ООО «АЛМИ ПАРТНЕР»
Наименование ПО Linux , ОСнова (запись в едином реестре российских программ №5913), Стрелец , AlterOS (запись в едином реестре российских программ №3801)
Версия ПО
  • до 5.12.10 (Linux)
  • от 5.1 до 5.10.43 (Linux)
  • от 4.14 до 4.14.236 (Linux)
  • от 5.4 до 5.4.125 (Linux)
  • от 4.19 до 4.19.194 (Linux)
  • от 4.4 до 4.4.272 (Linux)
  • от 4.9 до 4.9.272 (Linux)
  • 2.0 Onyx (ОСнова)
  • 1.0 (Стрелец)
  • до 7.5 (AlterOS)
Тип ПО Операционная система
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Linux до 5.12.10
  • Сообщество свободного программного обеспечения Linux от 5.1 до 5.10.43
  • Сообщество свободного программного обеспечения Linux от 4.14 до 4.14.236
  • Сообщество свободного программного обеспечения Linux от 5.4 до 5.4.125
  • Сообщество свободного программного обеспечения Linux от 4.19 до 4.19.194
  • Сообщество свободного программного обеспечения Linux от 4.4 до 4.4.272
  • Сообщество свободного программного обеспечения Linux от 4.9 до 4.9.272
  • АО "НППКТ" ОСнова 2.0 Onyx (запись в едином реестре российских программ №5913)
  • АО "НППКТ" Стрелец 1.0
  • ООО «АЛМИ ПАРТНЕР» AlterOS до 7.5 (запись в едином реестре российских программ №3801)
Тип ошибки Разыменование указателя NULL
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 08.08.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/torvalds/linux/commit/4ac06a1e013cf5fdd963317ffd3b968560f33bba

Для ОС «Стрелец 1.0»:
1 Удалить/заблокировать модуль nfc.ko
2 Обновление ядра ОС до 5.4.123-1~bpo10+1.osnova165.strelets

Для ОСнова:
https://поддержка.нппкт.рф/bin/view/Основа/Обновления/2.2/

Для AlterOS:
Обновление программного обеспечения до актуальной версии
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения