BDU:2022-01639: Уязвимость реализации сетевых блочных устройств nbd, связанная с целочисленным переполнением, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость реализации сетевых блочных устройств nbd связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью отправки специально сформированных сообщений NBD_OPT_INFO, NBD_OPT_GO и NBD_OPT_EXPORT_NAME
Вендор Canonical Ltd., Сообщество свободного программного обеспечения, Fedora Project, ООО «Ред Софт», ФССП России, АО "НППКТ"
Наименование ПО Ubuntu, Debian GNU/Linux, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, nbd, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 18.04 LTS (Ubuntu)
  • 9.0 (Debian GNU/Linux)
  • 20.04 LTS (Ubuntu)
  • 34 (Fedora)
  • 35 (Fedora)
  • 21.10 (Ubuntu)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • 36 (Fedora)
  • до 3.24 (nbd)
  • до 2.5.1 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Canonical Ltd. Ubuntu 20.04 LTS
  • Fedora Project Fedora 34
  • Fedora Project Fedora 35
  • Canonical Ltd. Ubuntu 21.10
  • ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
  • ФССП России ОС ТД АИС ФССП России ИК6
  • Fedora Project Fedora 36
Тип ошибки Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 22.03.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для nbd:
Обновление программного обеспечения до актуальной версии

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2022/03/msg00014.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IZHR73XMAJTCFGKUZRXVTZKCK2X3IFNA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PU5JFD4PEJED72TZLZ5R2Q2SFXICU5I5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/G2UPX62BIWOOHSACGUDB7E3O4URNN37F/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5323-1

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения nbd до версии 1:3.19-3+deb10u1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения