Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-05633: Уязвимость компонента POSIX CPU ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость компонента POSIX CPU ядра операционной системы Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор	Сообщество свободного программного обеспечения, Canonical Ltd., ООО «Ред Софт», Novell Inc., АО «ИВК», Red Hat Inc., АО "НППКТ"
Наименование ПО	Debian GNU/Linux, Ubuntu, РЕД ОС (запись в едином реестре российских программ №3751), OpenSUSE Leap, Альт 8 СП (запись в едином реестре российских программ №4305), Suse Linux Enterprise Server, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, Red Hat Enterprise Linux, Linux, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	10 (Debian GNU/Linux) 20.04 LTS (Ubuntu) 11 (Debian GNU/Linux) 7.3 (РЕД ОС) 15.4 (OpenSUSE Leap) - (Альт 8 СП) 15 SP4 (Suse Linux Enterprise Server) 15 SP4 (Suse Linux Enterprise Desktop) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 22.04 LTS (Ubuntu) 9 (Red Hat Enterprise Linux) до 5.15.61 (Linux) до 5.18.18 (Linux) до 5.10.137 (Linux) до 5.19.2 (Linux) до 2.7 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 10 Canonical Ltd. Ubuntu 20.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Novell Inc. OpenSUSE Leap 15.4 АО «ИВК» Альт 8 СП - (запись в едином реестре российских программ №4305) Novell Inc. Suse Linux Enterprise Server 15 SP4 Novell Inc. Suse Linux Enterprise Desktop 15 SP4 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 Canonical Ltd. Ubuntu 22.04 LTS Red Hat Inc. Red Hat Enterprise Linux 9 Сообщество свободного программного обеспечения Linux до 5.15.61 Сообщество свободного программного обеспечения Linux до 5.18.18 Сообщество свободного программного обеспечения Linux до 5.10.137 Сообщество свободного программного обеспечения Linux до 5.19.2 АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (запись в едином реестре российских программ №5913)
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	09.08.2022
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Linux: https://lore.kernel.org/lkml/20220809170751.164716-1-cascardo@canonical.com/T/#u https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.19.2 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.137 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.18.18 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.61 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-2585 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-2585.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-2585 Для Ubuntu: https://ubuntu.com/security/CVE-2022-2585 https://ubuntu.com/security/notices/USN-5564-1 https://ubuntu.com/security/notices/USN-5565-1 https://ubuntu.com/security/notices/USN-5566-1 https://ubuntu.com/security/notices/USN-5567-1 Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-yadra-os-cve-2022-2078-cve-2022-2588-cve-2022-2585-cve-2022-2586-cve-2022/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения linux до версии 5.15.86-1.osnova211
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.openwall.com/lists/oss-security/2022/08/09/7 https://altsp.su/obnovleniya-bezopasnosti/ https://lore.kernel.org/lkml/20220809170751.164716-1-cascardo@canonical.com/T/#u https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.19.2 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.137 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.18.18 https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.61 https://security-tracker.debian.org/tracker/CVE-2022-2585 https://www.suse.com/security/cve/CVE-2022-2585.html https://access.redhat.com/security/cve/cve-2022-2585 https://ubuntu.com/security/CVE-2022-2585 https://ubuntu.com/security/notices/USN-5564-1 https://ubuntu.com/security/notices/USN-5565-1 https://ubuntu.com/security/notices/USN-5566-1 https://ubuntu.com/security/notices/USN-5567-1 https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-yadra-os-cve-2022-2078-cve-2022-2588-cve-2022-2585-cve-2022-2586-cve-2022/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-2585
Прочая информация	Данные уточняются

Последние изменения