BDU:2020-05792: Уязвимость реализации futex ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости Уязвимость реализации futex ядра операционной системы Linux связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор Novell Inc., Red Hat Inc., ООО «Открытая мобильная платформа», Сообщество свободного программного обеспечения
Наименование ПО Suse Linux Enterprise Server, SUSE Linux Enterprise High Availability, OpenSUSE Leap, Red Hat Enterprise Linux, ОС Аврора (запись в едином реестре российских программ №1543), Linux
Версия ПО 12 SP2-BCL (Suse Linux Enterprise Server), 12 SP2-ESPOS (Suse Linux Enterprise Server), 12 SP2 (SUSE Linux Enterprise High Availability), 12 SP3 (SUSE Linux Enterprise High Availability), 12 SP4 (SUSE Linux Enterprise High Availability), 15 (SUSE Linux Enterprise High Availability), 15 SP1 (SUSE Linux Enterprise High Availability), 15.1 (OpenSUSE Leap), 12 SP2-LTSS (Suse Linux Enterprise Server), 12 SP3-LTSS (Suse Linux Enterprise Server), 12 SP3-BCL (Suse Linux Enterprise Server), 12 SP5 (Suse Linux Enterprise Server), 12 SP3-ESPOS (Suse Linux Enterprise Server), 12 SP5 (SUSE Linux Enterprise High Availability), 15-LTSS (Suse Linux Enterprise Server), 12 SP4-ESPOS (Suse Linux Enterprise Server), 12 SP4-LTSS (Suse Linux Enterprise Server), 8 (Red Hat Enterprise Linux), 3.2.1.65 (ОС Аврора), 3.2.2.21 (ОС Аврора), 3.2.3.10 (ОС Аврора), от 4.0 до 4.4.217 включительно (Linux), от 4.5 до 4.9.217 включительно (Linux), от 4.10 до 4.14.174 включительно (Linux), от 4.15 до 4.19.112 включительно (Linux), от 4.20 до 5.4.27 включительно (Linux), от 5.5.0 до 5.5.11 включительно (Linux)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS Не указана
  • Novell Inc. OpenSUSE Leap 15.1 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP5 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS Не указана
  • Novell Inc. Suse Linux Enterprise Server 15-LTSS Не указана
  • Сообщество свободного программного обеспечения Linux до 5.6 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS Не указана
  • Сообщество свободного программного обеспечения Linux 5.6 rc1 Не указана
  • Сообщество свободного программного обеспечения Linux 5.6-rc2 Не указана
  • Сообщество свободного программного обеспечения Linux 5.6-rc3 Не указана
  • Сообщество свободного программного обеспечения Linux 5.6-rc4 Не указана
  • Сообщество свободного программного обеспечения Linux 5.6-rc5 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8 64-bit
  • ООО «Открытая мобильная платформа» ОС Аврора 3.2.1.65 Не указана (запись в едином реестре российских программ №1543)
  • ООО «Открытая мобильная платформа» ОС Аврора 3.2.2.21 Не указана (запись в едином реестре российских программ №1543)
  • ООО «Открытая мобильная платформа» ОС Аврора 3.2.3.10 F+ Life Tab Plus (запись в едином реестре российских программ №1543)
Тип ошибки Использование после освобождения
Идентификатор типа ошибки CWE-416
Класс уязвимости Уязвимость кода
Дата выявления 06.03.2020
Базовый вектор уязвимости
  • CVSS 2.0: AV:L/AC:L/Au:N/C:P/I:P/A:P
  • CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.175
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.113
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.218
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.218
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.28
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.5.12

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-14381/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2020:4609
https://access.redhat.com/errata/RHSA-2020:4431

Для ОС Аврора 3.2.1.65:
https://cve.omprussia.ru/bb2321
Для ОС Аврора 3.2.2.21:
https://cve.omprussia.ru/bb3322
Для ОС Аврора 3.2.3.10:
https://cve.omprussia.ru/bb6323
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются