Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
ФСТЭК России
Главная
Список уязвимостей
BDU:2022-02361
BDU:2022-02361: Уязвимость функции smb2_ioctl_query_info() ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость функции smb2_ioctl_query_info() (fs/cifs/smb2ops.c) ядра операционных систем Linux связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
Вендор
Red Hat Inc., ООО «РусБИТех-Астра», ООО «Юбитех», АО "НППКТ", Сообщество свободного программного обеспечения
Наименование ПО
Red Hat Enterprise Linux, Astra Linux Special Edition (
запись в едином реестре российских программ №369
), UBLinux (
запись в едином реестре российских программ №6874
), ОСОН ОСнова Оnyx (
запись в едином реестре российских программ №5913
), Linux
Версия ПО
8 (Red Hat Enterprise Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2204 (UBLinux)
до 2.7 (ОСОН ОСнова Оnyx)
от 5.11 до 5.15.32 включительно (Linux)
от 5.16.0 до 5.16.18 включительно (Linux)
от 5.17.0 до 5.17.1 включительно (Linux)
от 4.0 до 5.10.109 включительно (Linux)
Тип ПО
Операционная система
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 8
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (
запись в едином реестре российских программ №369
)
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (
запись в едином реестре российских программ №369
)
ООО «Юбитех» UBLinux до 2204 (
запись в едином реестре российских программ №6874
)
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (
запись в едином реестре российских программ №5913
)
Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.32 включительно
Сообщество свободного программного обеспечения Linux от 5.16.0 до 5.16.18 включительно
Сообщество свободного программного обеспечения Linux от 5.17.0 до 5.17.1 включительно
Сообщество свободного программного обеспечения Linux от 4.0 до 5.10.109 включительно
Тип ошибки
Разыменование указателя NULL
Идентификатор типа ошибки
CWE-476
Класс уязвимости
Уязвимость кода
Дата выявления
05.01.2022
Базовый вектор уязвимости
CVSS 2.0:
AV:L/AC:L/Au:S/C:N/I:N/A:C
CVSS 3.0:
AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,4)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=d6f5e358452479fa8a773b5c6ccc9e4ec5a20880
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-0168
Для UBLinux:
https://security.ublinux.ru/CVE-2022-0168
Для Astra Linux Special Edition 1.7:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения linux до версии 5.15.86-1.osnova211
Для ОС Astra Linux Special Edition 1.7:
- обновить пакет linux до 5.4.0-162.astra1+ci6 или более высокой версии, используя рекомендации производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.10 до 5.10.142-1.astra6+ci24 или более высокой версии, используя рекомендации производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Способ эксплуатации
Манипулирование структурами данных
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://access.redhat.com/security/cve/cve-2022-0168
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=d6f5e358452479fa8a773b5c6ccc9e4ec5a20880
https://bugzilla.redhat.com/show_bug.cgi?id=2037386
https://www.opennet.ru/kernel/5.10.110.html
https://lore.kernel.org/lkml/20220405070423.410932720@linuxfoundation.org/T/
https://security.ublinux.ru/CVE-2022-0168
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2022-0168
Прочая информация
Данные уточняются
Последние изменения
27.11.2023
Уязвимость программного обеспечения Blitz Identity Provider, связанная с возможностью перенаправления URL-адреса, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
27.11.2023
Уязвимость метода UpdateAction программного обеспечения сетевого мониторинга SolarWinds Orion, позволяющая нарушителю выполнить произвольный код с привилегиями сетевой службы (NETWORK SERVICE)
27.11.2023
Уязвимость программного обеспечения управления и конфигурирования сети Siemens SINEMA Server, позволяющая нарушителю выполнить произвольный код с привилегиями SYSTEM
27.11.2023
Уязвимость функции mremap() ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии
27.11.2023
Уязвимость реализации протоколов TLS и SSL VPN-клиента Cisco AnyConnect микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023
Уязвимость программного обеспечения для защиты от вредоносных программ Cisco Secure Endpoint Connector для Windows, связанная с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023
Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загрузить произвольные файлы
27.11.2023
Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023
Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023
Уязвимость режима чтения (Reader Mode) браузера Firefox for iOS, позволяющая нарушителю повысить свои привилегии