BDU:2022-01567: Уязвимость модулей esp4 и esp6 ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии

Описание уязвимости Уязвимость модулей esp4 и esp6 ядра операционной системы Linux связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
Вендор ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Red Hat Inc., Canonical Ltd., ООО «Ред Софт», АО «ИВК», IBM Corp., АО "НППКТ"
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Red Hat Virtualization, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Red Hat Enterprise Linux, Ubuntu, РЕД ОС (запись в едином реестре российских программ №3751), Linux, Альт 8 СП, Elastic Storage System, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 9.0 (Debian GNU/Linux)
  • 4 (Red Hat Virtualization)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 20.04 LTS (Ubuntu)
  • 11.0 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)
  • до 5.17 (Linux)
  • - (Альт 8 СП)
  • до 5.16.15 (Linux)
  • до 5.15.29 (Linux)
  • до 5.4.188 (Linux)
  • до 5.10.108 (Linux)
  • до 4.14.274 (Linux)
  • до 6.1.4.0 (Elastic Storage System)
  • до 6.1.2.4 (Elastic Storage System)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства, Сетевое средство, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Выход операции за границы буфера в памяти, Запись за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 07.03.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:

Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ebe48d368e97d007bfeb76fcb065d6cfc4c96645
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.15
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.17
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.29
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.274
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.188
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.108

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-27666

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6615955

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-27666
https://ubuntu.com/security/notices/USN-5353-1

Для UBLinux:
https://security.ublinux.ru/CVE-2022-27666

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-27666

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0407SE17MD
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0407SE47MD
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220407SE16MD
https://wiki.astralinux.ru/astra-linux-ce212-MD-2022-0407MD
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН Основа:
Обновление программного обеспечения linux до версии 5.15.32-1.osnova196
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
https://www.opennet.ru/opennews/art.shtml?num=56931
https://github.com/torvalds/linux/commit/ebe48d368e97d007bfeb76fcb065d6cfc4c96645
https://github.com/plummm/CVE-2022-27666
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ebe48d368e97d007bfeb76fcb065d6cfc4c96645
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.15
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.17
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.29
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.274
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.188
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.108
https://access.redhat.com/security/cve/CVE-2022-27666
https://www.ibm.com/support/pages/node/6615955
https://ubuntu.com/security/CVE-2022-27666
https://ubuntu.com/security/notices/USN-5353-1
https://security-tracker.debian.org/tracker/CVE-2022-27666
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0407SE17MD
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0407SE47MD
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220407SE16MD
https://wiki.astralinux.ru/astra-linux-ce212-MD-2022-0407MD
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://security.ublinux.ru/CVE-2022-27666
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения