BDU:2023-00382: Уязвимость компонента ALSA:pcm (звуковой подсистемы) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании и получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость компонента ALSA:pcm (звуковой подсистемы) ядра операционной системы Linux связана с нарушением синхронизации в snd_ctl_elem_read_user. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании и получить несанкционированный доступ к защищаемой информации.
Вендор ООО «Ред Софт», ООО «РусБИТех-Астра», АО «ИВК», ООО «Юбитех», Сообщество свободного программного обеспечения, ООО «Открытая мобильная платформа», АО "НППКТ", Oracle Corp.
Наименование ПО РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), Альт 8 СП (запись в едином реестре российских программ №4305), UBLinux (запись в едином реестре российских программ №6874), Linux, ОС Аврора (запись в едином реестре российских программ №1543), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), Oracle Exadata
Версия ПО 7.3 (РЕД ОС), 1.7 (Astra Linux Special Edition), - (Альт 8 СП), 4.7 (Astra Linux Special Edition), до 2204 (UBLinux), от 5.16 до 6.1.5 включительно (Linux), от 5.13 до 5.15.87 включительно (Linux), до 4.0.2.209 включительно (ОС Аврора), до 2.8 (ОСОН ОСнова Оnyx), до 21.2.23.0.0 (Oracle Exadata)
Тип ПО Операционная система, СУБД
Операционные системы и аппаратные платформы
Тип ошибки Использование после освобождения
Идентификатор типа ошибки CWE-416
Класс уязвимости Уязвимость кода
Дата выявления 13.01.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C
  • CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://git.kernel.org/linus/56b88b50565cd8b946a2d00b0c83927b7ebb055e
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.88
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.6

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для ОС Аврора:
https://cve.omprussia.ru/bb22402

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения linux до версии 5.15.96-1.osnova215

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для UBLinux:
https://security.ublinux.ru/CVE-2023-0266

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет linux до 5.4.0-162.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.10 до 5.10.142-1.astra6+ci56 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.15 до 5.15.0-33.astra2+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для программных продуктов Oracle Corp.:
Обновление до версии 21.2.23.0.0
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются