BDU:2022-05717: Уязвимость звуковой подсистемы ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость звуковой подсистемы ядра операционной системы Linux связана с некорректной обработкой параллельных вызовов PCM hw_params. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», ООО «Открытая мобильная платформа», ООО «Юбитех»
Наименование ПО Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Linux, ОС Аврора (запись в едином реестре российских программ №1543), UBLinux (запись в едином реестре российских программ №6874)
Версия ПО
  • 10 (Debian GNU/Linux)
  • 11 (Debian GNU/Linux)
  • 1.7 (Astra Linux Special Edition)
  • от 5.17 до 5.17.1 (Linux)
  • от 5.16 до 5.16.18 (Linux)
  • от 2.6.12-rc2 до 4.14.279 (Linux)
  • от 4.15 до 4.19.243 (Linux)
  • от 4.20 до 5.4.193 (Linux)
  • от 5.11 до 5.15.32 (Linux)
  • от 5.5 до 5.10.109 (Linux)
  • до 4.0.2.172 (ОС Аврора)
  • до 2204 (UBLinux)
Тип ПО Операционная система
Операционные системы и аппаратные платформы
Тип ошибки Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки»)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 22.03.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости
Для Linux:
использование рекомендаций производителя: https://www.linuxkernelcves.com/cves/CVE-2022-1048

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-1048

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb13321
Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb14322
Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb15323
Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb16402

Для UBLinux:
https://security.ublinux.ru/CVE-2022-1048
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование сроками и состоянием
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения