Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-02564: Уязвимость реализации сетевого протокола TIPC операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии

Описание уязвимости	Уязвимость реализации сетевого протокола TIPC (net/tipc/monitor.c) операционной системы Linux связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или повысить свои привилегии с помощью специально оформленного сетевого пакета
Вендор	Сообщество свободного программного обеспечения, Canonical Ltd., ООО «РусБИТех-Астра», Red Hat Inc., Fedora Project, Novell Inc., ООО «Ред Софт»
Наименование ПО	Debian GNU/Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Fedora, OpenSUSE Leap, РЕД ОС (запись в едином реестре российских программ №3751), Linux
Версия ПО	9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8 (Red Hat Enterprise Linux) 14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) 20.04 LTS (Ubuntu) 8.2 Extended Update Support (Red Hat Enterprise Linux) 34 (Fedora) 16.04 ESM (Ubuntu) 15.3 (OpenSUSE Leap) 11 (Debian GNU/Linux) 35 (Fedora) 21.10 (Ubuntu) 8.4 Extended Update Support (Red Hat Enterprise Linux) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) 15.4 (OpenSUSE Leap) до 5.17 (Linux) от 4.8 до 4.9.301 (Linux) от 4.10 до 4.14.266 (Linux) от 4.15 до 4.19.229 (Linux) от 4.20 до 5.4.179 (Linux) от 5.5 до 5.10.100 (Linux) от 5.11 до 5.15.23 (Linux) от 5.16 до 5.16.9 (Linux) 5.17rc1 (Linux) 5.17rc2 (Linux) 5.17rc3 (Linux) 4.7 (Astra Linux Special Edition)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 8 Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 10 Canonical Ltd. Ubuntu 20.04 LTS Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support Fedora Project Fedora 34 Canonical Ltd. Ubuntu 16.04 ESM Novell Inc. OpenSUSE Leap 15.3 Сообщество свободного программного обеспечения Debian GNU/Linux 11 Fedora Project Fedora 35 Canonical Ltd. Ubuntu 21.10 Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) Novell Inc. OpenSUSE Leap 15.4 Сообщество свободного программного обеспечения Linux до 5.17 Сообщество свободного программного обеспечения Linux от 4.8 до 4.9.301 Сообщество свободного программного обеспечения Linux от 4.10 до 4.14.266 Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.229 Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.179 Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.100 Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.23 Сообщество свободного программного обеспечения Linux от 5.16 до 5.16.9 Сообщество свободного программного обеспечения Linux 5.17rc1 Сообщество свободного программного обеспечения Linux 5.17rc2 Сообщество свободного программного обеспечения Linux 5.17rc3 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Тип ошибки	Запись за границами буфера
Идентификатор типа ошибки	CWE-787
Класс уязвимости	Уязвимость кода
Дата выявления	25.03.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций Для Linux https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9aa422ad326634b76309e8ff342c246800621216 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.266 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.229 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.301 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.100 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.23 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.9 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.179 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 Компенсирующие меры: запрет явной загрузки модуля TIPC путем выполнения следующих команд: # echo "install tipc /bin/true" >> /etc/modprobe.d/disable-tipc.conf. Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-0435 Для программных продуктов Red Hat Inc.: https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-0435.xml Для Ubuntu: https://ubuntu.com/security/CVE-2022-0435 Для Fedora: https://lists.fedoraproject.org/archives/search?mlist=package-announce%40lists.fedoraproject.org&q=CVE-2022-0435 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-0435 Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.openwall.com/lists/oss-security/2022/02/10/1 https://bugzilla.redhat.com/show_bug.cgi?id=2048738 https://safe-surf.ru/upload/VULN/VULN-20220313.9.pdf https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9aa422ad326634b76309e8ff342c246800621216 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.266 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.229 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.301 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.100 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.23 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.9 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.179 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-0435
Прочая информация	Данные уточняются

Последние изменения