БДУ - Уязвимости

BDU:2023-05388: Уязвимость функции hfsc_change_class() в модуле net/sched/sch_hfsc.c ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации или повысить свои привилегии

Описание уязвимости	Уязвимость функции hfsc_change_class() в модуле net/sched/sch_hfsc.c ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации или повысить свои привилегии
Вендор	Сообщество свободного программного обеспечения
Наименование ПО	Linux
Версия ПО	от 6.2 до 6.4.15 включительно от 6.5.0 до 6.5.2 включительно от 5.11 до 5.15.131 включительно от 5.16 до 6.1.52 включительно от 4.20 до 5.4.256 включительно от 5.5 до 5.10.194 включительно от 4.15 до 4.19.294 включительно от 4.0 до 4.14.326 включительно
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Linux от 6.2 до 6.4.15 включительно Сообщество свободного программного обеспечения Linux от 6.5.0 до 6.5.2 включительно Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.131 включительно Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.52 включительно Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.256 включительно Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.194 включительно Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.294 включительно Сообщество свободного программного обеспечения Linux от 4.0 до 4.14.326 включительно
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	25.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Linux: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b3d26c5702c7d6c45456326e56d2ccf3f103e60f https://kernel.dance/b3d26c5702c7d6c45456326e56d2ccf3f103e60f https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.327 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.295 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.257 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.195 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.132 https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.53 https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.4.16 https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.5.3
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4623 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b3d26c5702c7d6c45456326e56d2ccf3f103e60f https://kernel.dance/b3d26c5702c7d6c45456326e56d2ccf3f103e60f https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.327 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.295 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.257 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.195 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.132 https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.53 https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.4.16 https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.5.3
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-4623
Прочая информация	Данные уточняются

Последние изменения

08.12.2023 Уязвимость веб-интерфейса системы управления базами данных H2, позволяющая нарушителю повысить свои привилегии
08.12.2023 Уязвимость платформы анализа данных Hazelcast, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнять произвольные действия
08.12.2023 Уязвимость модуля mod_webdav.so микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AX92U, позволяющая нарушителю получить доступ к защищаемой информации
08.12.2023 Уязвимость функции wanStat_detail микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AC86U, позволяющая нарушителю выполнить произвольную команду или вызвать отказ в обслуживании
08.12.2023 Уязвимость функции Traffic Analyzer - Statistic микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AC86U, позволяющая нарушителю выполнить произвольную команду или вызвать отказ в обслуживании
08.12.2023 Уязвимость функции переименования файлов операционной системы ASUSTOR Data Master (ADM), позволяющая нарушителю перемещать произвольные файлы
08.12.2023 Уязвимость интерфейса VAPIX API (irissetup.cgi) операционной системы AXIS OS, позволяющая нарушителю удалить произвольные файлы
08.12.2023 Уязвимость интерфейса VAPIX API (dynamicoverlay.cgi) операционной системы AXIS OS, позволяющая нарушителю вызвать отказ в обслуживании
08.12.2023 Уязвимость интерфейса VAPIX API (overlay_del.cgi) операционной системы AXIS OS, позволяющая нарушителю удалить произвольные файлы
08.12.2023 Уязвимость файла «search.cgi» программного средства для проверки номерных знаков License Plate Verifier, позволяющая нарушителю выполнять произвольные SQL-запросы

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»