Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-05009: Уязвимость компонента xenbus гипервизора Xen, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость компонента xenbus гипервизора Xen вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
Вендор	Citrix Systems Inc., Сообщество свободного программного обеспечения, Canonical Ltd., ООО «РусБИТех-Астра», Novell Inc., АО «ИВК», АО "НППКТ"
Наименование ПО	Xen, Debian GNU/Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Server, Suse Linux Enterprise Desktop, OpenSUSE Leap, Linux, Альт 8 СП, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	. (Xen) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 12 SP3 (Suse Linux Enterprise Server) 12 SP4 (Suse Linux Enterprise Server) 12 SP2-BCL (Suse Linux Enterprise Server) 15 (SUSE Linux Enterprise Server for SAP Applications) 15 SP1 (SUSE Linux Enterprise Server for SAP Applications) 12 SP3-LTSS (Suse Linux Enterprise Server) 14.04 ESM (Ubuntu) 12 SP3-BCL (Suse Linux Enterprise Server) 12 SP5 (Suse Linux Enterprise Server) 12 SP5 (SUSE Linux Enterprise Server for SAP Applications) 10 (Debian GNU/Linux) 12 SP3-ESPOS (Suse Linux Enterprise Server) 15-LTSS (Suse Linux Enterprise Server) 20.04 LTS (Ubuntu) 11 SP1 (Suse Linux Enterprise Server) 12 SP4 LTSS (Suse Linux Enterprise Server) 12 SP4-ESPOS (Suse Linux Enterprise Server) 12 SP5 (Suse Linux Enterprise Desktop) 15 SP1-BCL (Suse Linux Enterprise Server) 15 SP1-LTSS (Suse Linux Enterprise Server) 16.04 ESM (Ubuntu) 15.3 (OpenSUSE Leap) 15 SP1 (Suse Linux Enterprise Server) 11 (Debian GNU/Linux) 1.7 (Astra Linux Special Edition) 15.4 (OpenSUSE Leap) 15 SP3 (Suse Linux Enterprise Server) 15 SP3 (SUSE Linux Enterprise Server for SAP Applications) 15 SP3 (Suse Linux Enterprise Desktop) до 5.17 (Linux) 15 SP2 (Suse Linux Enterprise Server) 15 SP2 (SUSE Linux Enterprise Server for SAP Applications) - (Альт 8 СП) 15 SP4 (Suse Linux Enterprise Server) 15 SP4 (Suse Linux Enterprise Desktop) 15 (Suse Linux Enterprise Server) 15 SP2-BCL (Suse Linux Enterprise Server) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 15 SP2-LTSS (Suse Linux Enterprise Server) до 5.15.28 (Linux) 4.7 (Astra Linux Special Edition) до 5.4.184 (Linux) до 5.10.105 (Linux) до 4.14.271 (Linux) до 4.9.306 (Linux) до 4.19.234 (Linux) до 2.7 (ОСОН ОСнова Оnyx)
Тип ПО	ПО виртуализации/ПО виртуального программно-аппаратного средства, Операционная система
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Novell Inc. Suse Linux Enterprise Server 12 SP3 Novell Inc. Suse Linux Enterprise Server 12 SP4 Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Canonical Ltd. Ubuntu 14.04 ESM Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL Novell Inc. Suse Linux Enterprise Server 12 SP5 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS Novell Inc. Suse Linux Enterprise Server 15-LTSS Canonical Ltd. Ubuntu 20.04 LTS Novell Inc. Suse Linux Enterprise Server 11 SP1 Novell Inc. Suse Linux Enterprise Server 12 SP4 LTSS Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS Novell Inc. Suse Linux Enterprise Desktop 12 SP5 Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS Canonical Ltd. Ubuntu 16.04 ESM Novell Inc. OpenSUSE Leap 15.3 Novell Inc. Suse Linux Enterprise Server 15 SP1 Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) Novell Inc. OpenSUSE Leap 15.4 Novell Inc. Suse Linux Enterprise Server 15 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 Novell Inc. Suse Linux Enterprise Desktop 15 SP3 Сообщество свободного программного обеспечения Linux до 5.17 Novell Inc. Suse Linux Enterprise Server 15 SP2 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 АО «ИВК» Альт 8 СП - Novell Inc. Suse Linux Enterprise Server 15 SP4 Novell Inc. Suse Linux Enterprise Desktop 15 SP4 Novell Inc. Suse Linux Enterprise Server 15 Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS Сообщество свободного программного обеспечения Linux до 5.15.28 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Linux до 5.4.184 Сообщество свободного программного обеспечения Linux до 5.10.105 Сообщество свободного программного обеспечения Linux до 4.14.271 Сообщество свободного программного обеспечения Linux до 4.9.306 Сообщество свободного программного обеспечения Linux до 4.19.234 АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (запись в едином реестре российских программ №5913)
Тип ошибки	Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки»)
Идентификатор типа ошибки	CWE-362
Класс уязвимости	Уязвимость кода
Дата выявления	10.03.2022
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:M/Au:S/C:C/I:C/A:C CVSS 3.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Xen: https://xenbits.xenproject.org/xsa/advisory-396.txt Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-23040.html Для Ubuntu: https://ubuntu.com/security/CVE-2022-23040 https://ubuntu.com/security/notices/USN-5467-1 https://ubuntu.com/security/notices/USN-5418-1 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-23040 Для Linux: https://lore.kernel.org/all/CAODzB9raARAuNHKB26Jt5MZ+JXfn4+64cb2RW5q6qwi6UbzYMw@mail.gmail.com/ https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.184 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.28 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.105 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.271 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.306 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.234 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.17 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения linux до версии 5.15.86-1.osnova211
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование сроками и состоянием
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2022-23040 https://xenbits.xenproject.org/xsa/advisory-396.txt https://www.suse.com/security/cve/CVE-2022-23040.html https://ubuntu.com/security/CVE-2022-23040 https://ubuntu.com/security/notices/USN-5467-1 https://ubuntu.com/security/notices/USN-5418-1 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://altsp.su/obnovleniya-bezopasnosti/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 https://security-tracker.debian.org/tracker/CVE-2022-23040 https://lists.debian.org/debian-lts-announce/2022/07/msg00000.html https://lore.kernel.org/all/CAODzB9raARAuNHKB26Jt5MZ+JXfn4+64cb2RW5q6qwi6UbzYMw@mail.gmail.com/ https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.184 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.28 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.105 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.271 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.306 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.234 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-23040
Прочая информация	Данные уточняются

Последние изменения