БДУ - Уязвимости

BDU:2022-05717: Уязвимость звуковой подсистемы ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость звуковой подсистемы ядра операционной системы Linux связана с некорректной обработкой параллельных вызовов PCM hw_params. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», ООО «Открытая мобильная платформа», ООО «Юбитех», АО "НППКТ"
Наименование ПО	Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Linux, ОС Аврора (запись в едином реестре российских программ №1543), UBLinux (запись в едином реестре российских программ №6874), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	10 (Debian GNU/Linux) 11 (Debian GNU/Linux) 1.7 (Astra Linux Special Edition) от 5.17 до 5.17.1 (Linux) от 5.16 до 5.16.18 (Linux) от 4.15 до 4.19.243 (Linux) от 4.20 до 5.4.193 (Linux) от 5.11 до 5.15.32 (Linux) от 5.5 до 5.10.109 (Linux) до 4.0.2.172 (ОС Аврора) до 2204 (UBLinux) до 2.7 (ОСОН ОСнова Оnyx) от 4.0 до 4.14.278 включительно (Linux)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 10 Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Linux от 5.17 до 5.17.1 Сообщество свободного программного обеспечения Linux от 5.16 до 5.16.18 Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.243 Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.193 Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.32 Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.109 ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 Aquarius CMP NS220 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 Byterg MVK-2020 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 F+ Life Tab Plus (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 Mashtab TrustPhone T1 (запись в едином реестре российских программ №1543) ООО «Юбитех» UBLinux до 2204 (запись в едином реестре российских программ №6874) АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (запись в едином реестре российских программ №5913) Сообщество свободного программного обеспечения Linux от 4.0 до 4.14.278 включительно
Тип ошибки	Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки»)
Идентификатор типа ошибки	CWE-362
Класс уязвимости	Уязвимость кода
Дата выявления	22.03.2022
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:M/Au:S/C:C/I:C/A:C CVSS 3.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости	Для Linux: использование рекомендаций производителя: https://www.linuxkernelcves.com/cves/CVE-2022-1048 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.279 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.243 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.193 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.109 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.32 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.17 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.17.0 Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-1048 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb13321 Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb14322 Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb15323 Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb16402 Для UBLinux: https://security.ublinux.ru/CVE-2022-1048 Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения linux до версии 5.15.86-1.osnova211
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование сроками и состоянием
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://lore.kernel.org/lkml/20220322170720.3529-5-tiwai@suse.de/T/ https://nvd.nist.gov/vuln/detail/CVE-2022-1048 https://security-tracker.debian.org/tracker/CVE-2022-1048 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://www.linuxkernelcves.com/cves/CVE-2022-1048 https://www.openwall.com/lists/oss-security/2022/03/28/4 https://cve.omprussia.ru/bb13321 https://cve.omprussia.ru/bb14322 https://cve.omprussia.ru/bb15323 https://cve.omprussia.ru/bb16402 https://security.ublinux.ru/CVE-2022-1048 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/ https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.279 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.243 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.193 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.109 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.32 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.17 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.17.0
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-1048
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»