Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03629

Опубликовано: 03 апр. 2019
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость драйвера vfio ядра операционной системы Linux связана с неконтролируемым расходом ресурса. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения

Наименование ПО

Astra Linux Special Edition
Red Hat Enterprise Linux
Ubuntu
Debian GNU/Linux
Red Hat Enterprise MRG
OpenShift Container Platform
Linux

Версия ПО

1.5 «Смоленск» (Astra Linux Special Edition)
5 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
18.10 (Ubuntu)
8.0 (Debian GNU/Linux)
2.0 (Red Hat Enterprise MRG)
19.04 (Ubuntu)
8 (Red Hat Enterprise Linux)
14.04 ESM (Ubuntu)
10 (Debian GNU/Linux)
4.2 (OpenShift Container Platform)
4.3 (OpenShift Container Platform)
4.4 (OpenShift Container Platform)
4.5 (OpenShift Container Platform)
4.6 (OpenShift Container Platform)
от 4.0 до 4.4.179 включительно (Linux)
от 4.5 до 4.9.172 включительно (Linux)
от 4.10 до 4.14.114 включительно (Linux)
от 4.15 до 4.19.37 включительно (Linux)
от 4.20 до 5.0.10 включительно (Linux)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 5
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Сообщество свободного программного обеспечения Linux 4.18
Canonical Ltd. Ubuntu 18.10
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Canonical Ltd. Ubuntu 19.04
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Linux 3.10
Сообщество свободного программного обеспечения Linux 4.14

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Для linux:
https://lore.kernel.org/lkml/155414977872.12780.13728555131525362206.stgit@gimli.home/T/#u
https://lore.kernel.org/lkml/155414977872.12780.13728555131525362206.stgit/
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.115
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.38
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.180
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.173
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.0.11
Для Debian:
Обновление программного обеспечения(пакета linux) до 4.9.168-1+deb9u5 или более поздней версии
Для Ubuntu:
https://usn.ubuntu.com/3979-1/
https://usn.ubuntu.com/3980-1/
https://usn.ubuntu.com/3980-2/
https://usn.ubuntu.com/3981-1/
https://usn.ubuntu.com/3982-1/
https://usn.ubuntu.com/3982-2/
Для Astra Linux:
Обновление программного обеспечения(пакета linux) до 4.9.168-1+deb9u5 или более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 11%
0.00038
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-3882

CVSS3: 5.5
ubuntu
около 6 лет назад

A flaw was found in the Linux kernel's vfio interface implementation that permits violation of the user's locked memory limit. If a device is bound to a vfio driver, such as vfio-pci, and the local attacker is administratively granted ownership of the device, it may cause a system memory exhaustion and thus a denial of service (DoS). Versions 3.10, 4.14 and 4.18 are vulnerable.

redhat логотип

CVE-2019-3882

CVSS3: 4.7
redhat
около 6 лет назад

A flaw was found in the Linux kernel's vfio interface implementation that permits violation of the user's locked memory limit. If a device is bound to a vfio driver, such as vfio-pci, and the local attacker is administratively granted ownership of the device, it may cause a system memory exhaustion and thus a denial of service (DoS). Versions 3.10, 4.14 and 4.18 are vulnerable.

nvd логотип

CVE-2019-3882

CVSS3: 5.5
nvd
около 6 лет назад

A flaw was found in the Linux kernel's vfio interface implementation that permits violation of the user's locked memory limit. If a device is bound to a vfio driver, such as vfio-pci, and the local attacker is administratively granted ownership of the device, it may cause a system memory exhaustion and thus a denial of service (DoS). Versions 3.10, 4.14 and 4.18 are vulnerable.

debian логотип

CVE-2019-3882

CVSS3: 5.5
debian
около 6 лет назад

A flaw was found in the Linux kernel's vfio interface implementation t ...

github логотип

GHSA-xmpq-jcv6-q64p

CVSS3: 5.5
github
около 3 лет назад

A flaw was found in the Linux kernel's vfio interface implementation that permits violation of the user's locked memory limit. If a device is bound to a vfio driver, such as vfio-pci, and the local attacker is administratively granted ownership of the device, it may cause a system memory exhaustion and thus a denial of service (DoS). Versions 3.10, 4.14 and 4.18 are vulnerable.

EPSS

Процентиль: 11%
0.00038
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2