Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-00752: Уязвимость гипервизора Xen, связанная с использованием памяти после её освобождения, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии

Описание уязвимости	Уязвимость гипервизора Xen связана с использованием памяти после её освобождения при обработке таблицы страниц ввода-вывода в блоке управления памятью IOMMU (Input/Output Memory Management Unit). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или повысить свои привилегии
Вендор	Fedora Project, Сообщество свободного программного обеспечения, ООО «Ред Софт», Citrix Systems Inc., АО "НППКТ"
Наименование ПО	Fedora, Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Xen, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	33 (Fedora) 34 (Fedora) 11 (Debian GNU/Linux) 35 (Fedora) 7.3 (РЕД ОС) от 4.13.4 до 4.15.1 включительно (Xen) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы	Fedora Project Fedora 33 Fedora Project Fedora 34 Сообщество свободного программного обеспечения Debian GNU/Linux 11 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Небезопасное управление привилегиями, Использование после освобождения
Идентификатор типа ошибки	CWE-269 CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	07.10.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:S/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,6)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Xen: https://xenbits.xenproject.org/xsa/advisory-386.txt Для Ред Ос: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-gipervizora-xen-cve-2021-28702/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2OIHEJ3R3EH5DYI2I5UMD2ULJ2ELA3EX/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FDPRMOBBLS74ONYP3IXZZXSTLKR7GRQB/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TRAWV6PO2KUGVZTESERECOBUBZ6X45I7/ Для Debian: https://www.debian.org/security/2021/dsa-5017 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения xen до версии 4.16.2-1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://www.openwall.com/lists/oss-security/2021/10/07/2 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2OIHEJ3R3EH5DYI2I5UMD2ULJ2ELA3EX/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FDPRMOBBLS74ONYP3IXZZXSTLKR7GRQB/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TRAWV6PO2KUGVZTESERECOBUBZ6X45I7/ https://www.debian.org/security/2021/dsa-5017 https://xenbits.xenproject.org/xsa/advisory-386.txt https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-gipervizora-xen-cve-2021-28702/ https://www.cybersecurity-help.cz/vdb/SB2021100612 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-28702
Прочая информация	Данные уточняются

Последние изменения