Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-00733: Уязвимость менеджера соединений RDMA ядра опреационной системы Linux, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость менеджера соединений RDMA ядра опреационной системы Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор	Red Hat Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, ООО «Ред Софт», Novell Inc.
Наименование ПО	Red Hat Enterprise Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Red Hat Virtualization, РЕД ОС (запись в едином реестре российских программ №3751), Linux, SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise Module for Live Patching, Suse Linux Enterprise Server, SUSE Linux Enterprise Server for SAP Applications
Версия ПО	6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 9.0 (Debian GNU/Linux) 4 (Red Hat Virtualization) 8 (Red Hat Enterprise Linux) 10.0 (Debian GNU/Linux) 11.0 (Debian GNU/Linux) 7.3 (РЕД ОС) до 5.15-rc1 (Linux) 15 SP3 (SUSE Linux Enterprise High Performance Computing) 15 SP3 (SUSE Linux Enterprise Module for Live Patching) 15 SP3 (Suse Linux Enterprise Server) 15 SP3 (SUSE Linux Enterprise Server for SAP Applications) 4.7 (Astra Linux Special Edition)
Тип ПО	Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 6 Red Hat Inc. Red Hat Enterprise Linux 7 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Сообщество свободного программного обеспечения Linux до 5.15-rc1 Novell Inc. Suse Linux Enterprise Server 15 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	04.10.2021
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:H/Au:S/C:C/I:C/A:C CVSS 3.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Linux: Обновление программного обеспечения до актуальной версии Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-4028.html Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-4028 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2021-4028 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.suse.com/security/cve/CVE-2021-4028.html https://security-tracker.debian.org/tracker/CVE-2021-4028 https://access.redhat.com/security/cve/CVE-2021-4028 https://bugzilla.redhat.com/show_bug.cgi?id=2027201 https://safe-surf.ru/upload/VULN/VULN-20220412.4.pdf http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-4028
Прочая информация	Данные уточняются

Последние изменения