БДУ - Уязвимости

BDU:2022-05972: Уязвимость компонента binder.c ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость компонента binder.c ядра операционной системы Linux связана с небезопасным управлением привилегиями. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Linux
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 10 (Debian GNU/Linux) 11 (Debian GNU/Linux) от 2.6.29-rc1 до 4.4.293 (Linux) от 4.10 до 4.14.256 (Linux) от 4.15 до 4.19.218 (Linux) от 4.20 до 5.4.160 (Linux) от 4.5 до 4.9.291 (Linux) от 5.11 до 5.14.18 (Linux) от 5.15 до 5.15.2 (Linux) от 5.5 до 5.10.80 (Linux)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 10 Сообщество свободного программного обеспечения Debian GNU/Linux 11 Сообщество свободного программного обеспечения Linux от 2.6.29-rc1 до 4.4.293 Сообщество свободного программного обеспечения Linux от 4.10 до 4.14.256 Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.218 Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.160 Сообщество свободного программного обеспечения Linux от 4.5 до 4.9.291 Сообщество свободного программного обеспечения Linux от 5.11 до 5.14.18 Сообщество свободного программного обеспечения Linux от 5.15 до 5.15.2 Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.80
Тип ошибки	Небезопасное управление привилегиями
Идентификатор типа ошибки	CWE-269
Класс уязвимости	Уязвимость кода
Дата выявления	12.10.2021
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:M/Au:S/C:C/I:C/A:C CVSS 3.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости	Для Linux: использование рекомендаций производителя: https://www.linuxkernelcves.com/cves/CVE-2021-39686 Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-39686 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit?id=29bc22ac5e5bc63275e850f0c8fc549e3d0e306b https://nvd.nist.gov/vuln/detail/CVE-2021-39686 https://security-tracker.debian.org/tracker/CVE-2021-39686 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://www.linuxkernelcves.com/cves/CVE-2021-39686
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-39686
Прочая информация	Данные уточняются

Последние изменения

03.02.2023 Уязвимость модуля Packet Forwarding Engine (PFE) операционных систем Juniper Networks Junos OS, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter 302 и InRouter 615, связанная с недостатками разграничения доступа, позволяющая нарушителю выполнить произвольные команды
03.02.2023 Уязвимость веб-сервера микропрограммного обеспечения Ethernet–коммутатора Moxa SDS-3008, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость программной платформы Cisco IOx, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнять произвольные команды в операционной системе с привилегиями root-пользователя
03.02.2023 Уязвимость компонента dcpfe операционных систем Juniper Networks Junos, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость пакета Airflow MySQL Provider программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
03.02.2023 Уязвимость реализации протокола Link Layer Discovery Protocol (LLDP) микропрограммного обеспечения телефонов для конференц-связи Cisco Webex Room Phone и HDMI-адаптера Cisco Webex Share, связанная с ошибками освобождения памяти, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость веб-интерфейса управления микропрограммного обеспечения VPN-маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P и RV260W, связанная с недостаточной очисткой особых элементов в выходных данных, используемых входящим компонентом, позволяющая нарушителю выполнить произвольные команды
03.02.2023 Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco RV340, RV340W, RV345 и RV345P Dual WAN Gigabit VPN, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
03.02.2023 Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter 302 и InRouter 615, связанная с использованием незащищенного канала для передачи данных по умолчанию, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольные команды

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»