БДУ - Уязвимости

BDU:2022-05411: Уязвимость функции usb_8dev_start_xmit ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Основная информация
Подробнее

Описание уязвимости

Уязвимость функции usb_8dev_start_xmit (drivers/net/can/usb/usb_8dev.c) ядра операционной системы Linux связана с ошибкой повторного освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения, Fedora Project, ООО «Ред Софт», АО "НППКТ"

Наименование ПО

Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Server, Debian GNU/Linux, SUSE OpenStack Cloud, SUSE OpenStack Cloud Crowbar, HPE Helion Openstack, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Linux, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-BCL (Suse Linux Enterprise Server)
12 SP3-LTSS (Suse Linux Enterprise Server)
10.0 (Debian GNU/Linux)
8 (SUSE OpenStack Cloud)
12 SP3-BCL (Suse Linux Enterprise Server)
8 (SUSE OpenStack Cloud Crowbar)
8 (HPE Helion Openstack)
12 SP3-ESPOS (Suse Linux Enterprise Server)
34 (Fedora)
11.0 (Debian GNU/Linux)
35 (Fedora)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
36 (Fedora)
до 5.18-rc1 (Linux)
до 2.7 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
Fedora Project Fedora 34
Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369)
Fedora Project Fedora 36
Сообщество свободного программного обеспечения Linux до 5.18-rc1
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (запись в едином реестре российских программ №5913)

Тип ошибки

Повторное освобождение

Идентификатор типа ошибки

CWE-415

Класс уязвимости

Уязвимость кода

Дата выявления

03.04.2022

Базовый вектор уязвимости

CVSS 2.0: AV:A/AC:M/Au:S/C:P/I:P/A:P

CVSS 3.0: AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Обновление ядра операционной системы Linux до версии 5.18-rc1

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-28388

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-28388

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LAWC35TO642FOP3UCA3C6IF7NAUFOVZ6/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6IHHC455LMSJNG4CSZ5CEAHYWY2DE5YW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XFMPUI3WI4U2F7ONHRW36WDY4ZE7LGGT/

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения linux до версии 5.15.86-1.osnova211

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://nvd.nist.gov/vuln/detail/CVE-2022-28388
https://www.suse.com/security/cve/CVE-2022-28388
https://security-tracker.debian.org/tracker/CVE-2022-28388
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LAWC35TO642FOP3UCA3C6IF7NAUFOVZ6/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6IHHC455LMSJNG4CSZ5CEAHYWY2DE5YW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XFMPUI3WI4U2F7ONHRW36WDY4ZE7LGGT/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2022-28388

Прочая информация