Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-03140: Уязвимость подсистемы tty ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании

Описание уязвимости	Уязвимость подсистемы tty ядра операционной системы Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании
Вендор	Сообщество свободного программного обеспечения, Canonical Ltd., ООО «Открытая мобильная платформа», АО "НППКТ"
Наименование ПО	Debian GNU/Linux, Ubuntu, ОС Аврора (запись в едином реестре российских программ №1543), Linux, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) 20.04 LTS (Ubuntu) 20.10 (Ubuntu) 16.04 ESM (Ubuntu) 11 (Debian GNU/Linux) до 4.0.2 (ОС Аврора) до 4.4.242 (Linux) до 5.4.75 (Linux) до 4.9.242 (Linux) до 5.9.5 (Linux) до 2.4 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 10 Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 20.10 Canonical Ltd. Ubuntu 16.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 Aquarius CMP NS220 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 Byterg MVK-2020 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2 F+ Life Tab Plus (запись в едином реестре российских программ №1543) Сообщество свободного программного обеспечения Linux до 4.4.242 Сообщество свободного программного обеспечения Linux до 5.4.75 Сообщество свободного программного обеспечения Linux до 4.9.242 Сообщество свободного программного обеспечения Linux до 5.9.5
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	26.05.2021
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:M/Au:S/C:C/I:C/A:C CVSS 3.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Linux: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit?id=90bfdeef83f1d6c696039b6a917190dcbbad3220 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.242 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.75 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.242 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.9.5 Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb10321 Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb11322 Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb12323 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-25668 Для Ubuntu: https://ubuntu.com/security/notices/USN-4751-1 https://ubuntu.com/security/notices/USN-4681-1 https://ubuntu.com/security/notices/USN-4680-1 https://ubuntu.com/security/notices/USN-4679-1 Для ОСОН Основа: Обновление программного обеспечения linux до версии 5.14.9-2.osnova179.1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование сроками и состоянием
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit?id=90bfdeef83f1d6c696039b6a917190dcbbad3220 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.242 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.75 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.242 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.9.5 https://cve.omprussia.ru/bb10321 https://cve.omprussia.ru/bb11322 https://cve.omprussia.ru/bb12323 https://security-tracker.debian.org/tracker/CVE-2020-25668 https://ubuntu.com/security/notices/USN-4751-1 https://ubuntu.com/security/notices/USN-4681-1 https://ubuntu.com/security/notices/USN-4680-1 https://ubuntu.com/security/notices/USN-4679-1 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-25668
Прочая информация	Данные уточняются

Последние изменения