БДУ - Уязвимости

BDU:2022-06398: Уязвимость функции ax25_release() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции ax25_release() ядра операционной системы Linux связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор	Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, Novell Inc., ООО «РусБИТех-Астра», ООО «Юбитех», АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, OpenSUSE Leap, Astra Linux Special Edition (запись в едином реестре российских программ №369), UBLinux (запись в едином реестре российских программ №6874), Linux, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	6 (Red Hat Enterprise Linux) 18.04 LTS (Ubuntu) 14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) 20.04 LTS (Ubuntu) 16.04 ESM (Ubuntu) 15.3 (OpenSUSE Leap) 11 (Debian GNU/Linux) 1.7 (Astra Linux Special Edition) до 2204 (UBLinux) до 5.17.14 включительно (Linux) 5.18 rc3 (Linux) 5.18 rc2 (Linux) 5.18 rc1 (Linux) до 2.7 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 6 Canonical Ltd. Ubuntu 18.04 LTS Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 10 Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 16.04 ESM Novell Inc. OpenSUSE Leap 15.3 Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «Юбитех» UBLinux до 2204 (запись в едином реестре российских программ №6874) Сообщество свободного программного обеспечения Linux до 5.17.14 включительно Сообщество свободного программного обеспечения Linux 5.18 rc3 Сообщество свободного программного обеспечения Linux 5.18 rc2 Сообщество свободного программного обеспечения Linux 5.18 rc1 АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (запись в едином реестре российских программ №5913)
Тип ошибки	Разыменование указателя NULL
Идентификатор типа ошибки	CWE-476
Класс уязвимости	Уязвимость кода
Дата выявления	29.08.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Linux: https://github.com/torvalds/linux/commit/4e0f718daf97d47cf7dec122da1be970f145c809 https://github.com/torvalds/linux/commit/71171ac8eb34ce7fe6b3267dce27c313ab3cb3ac https://github.com/torvalds/linux/commit/7ec02f5ac8a5be5a3f20611731243dc5e1d9ba10 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-1199.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-1199 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-1199 Для Ubuntu: https://ubuntu.com/security/notices/USN-5469-1 https://ubuntu.com/security/notices/USN-5514-1 https://ubuntu.com/security/notices/USN-5515-1 https://ubuntu.com/security/notices/USN-5539-1 https://ubuntu.com/security/notices/USN-5541-1 https://ubuntu.com/security/notices/USN-5650-1 Для UBLinux: https://security.ublinux.ru/CVE-2022-1199 Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения linux до версии 5.15.86-1.osnova211 Для ОС Astra Linux Special Edition 1.7: - обновить пакет linux до 5.4.0-162.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17 - обновить пакет linux-5.10 до 5.10.142-1.astra6+ci24 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/torvalds/linux/commit/4e0f718daf97d47cf7dec122da1be970f145c809 https://github.com/torvalds/linux/commit/71171ac8eb34ce7fe6b3267dce27c313ab3cb3ac https://github.com/torvalds/linux/commit/7ec02f5ac8a5be5a3f20611731243dc5e1d9ba10 https://www.suse.com/security/cve/CVE-2022-1199.html https://access.redhat.com/security/cve/CVE-2022-1199 https://security-tracker.debian.org/tracker/CVE-2022-1199 https://ubuntu.com/security/notices/USN-5469-1 https://ubuntu.com/security/notices/USN-5514-1 https://ubuntu.com/security/notices/USN-5515-1 https://ubuntu.com/security/notices/USN-5539-1 https://ubuntu.com/security/notices/USN-5541-1 https://ubuntu.com/security/notices/USN-5650-1 https://security.ublinux.ru/CVE-2022-1199 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-1199
Прочая информация	Данные уточняются

Последние изменения

08.12.2023 Уязвимость веб-интерфейса системы управления базами данных H2, позволяющая нарушителю повысить свои привилегии
08.12.2023 Уязвимость платформы анализа данных Hazelcast, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнять произвольные действия
08.12.2023 Уязвимость модуля mod_webdav.so микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AX92U, позволяющая нарушителю получить доступ к защищаемой информации
08.12.2023 Уязвимость функции wanStat_detail микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AC86U, позволяющая нарушителю выполнить произвольную команду или вызвать отказ в обслуживании
08.12.2023 Уязвимость функции Traffic Analyzer - Statistic микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AC86U, позволяющая нарушителю выполнить произвольную команду или вызвать отказ в обслуживании
08.12.2023 Уязвимость функции переименования файлов операционной системы ASUSTOR Data Master (ADM), позволяющая нарушителю перемещать произвольные файлы
08.12.2023 Уязвимость интерфейса VAPIX API (irissetup.cgi) операционной системы AXIS OS, позволяющая нарушителю удалить произвольные файлы
08.12.2023 Уязвимость интерфейса VAPIX API (dynamicoverlay.cgi) операционной системы AXIS OS, позволяющая нарушителю вызвать отказ в обслуживании
08.12.2023 Уязвимость интерфейса VAPIX API (overlay_del.cgi) операционной системы AXIS OS, позволяющая нарушителю удалить произвольные файлы
08.12.2023 Уязвимость файла «search.cgi» программного средства для проверки номерных знаков License Plate Verifier, позволяющая нарушителю выполнять произвольные SQL-запросы

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06398: Уязвимость функции ax25_release() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании