BDU:2020-04799

Опубликовано: 30 июл. 2020

Источник: fstec

CVSS3: 6.5

CVSS2: 3.3

EPSS Низкий

Описание

Уязвимость компонента net/bluetooth/hci_event.c ядра операционных систем Linux связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании с помощью специально сформированных пакетов L2CAP

Вендор

Сообщество свободного программного обеспечения

Canonical Ltd.

ООО «РусБИТех-Астра»

Novell Inc.

Наименование ПО

Debian GNU/Linux

Ubuntu

Astra Linux Special Edition

Astra Linux Special Edition для «Эльбрус»

OpenSUSE Leap

BlueZ

Linux

Версия ПО

9 (Debian GNU/Linux)

18.04 LTS (Ubuntu)

1.6 «Смоленск» (Astra Linux Special Edition)

8 (Debian GNU/Linux)

10 (Debian GNU/Linux)

8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

15.2 (OpenSUSE Leap)

- (BlueZ)

от 4.15 до 4.19.136 включительно (Linux)

от 4.20 до 5.4.55 включительно (Linux)

от 4.5 до 4.9.239 включительно (Linux)

от 4.10 до 4.14.201 включительно (Linux)

от 5.5 до 5.7.12 включительно (Linux)

от 3.6 до 4.4.239 включительно (Linux)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux -

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Canonical Ltd. Ubuntu 18.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 10

ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

Novell Inc. OpenSUSE Leap 15.2

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,3)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Нет опасности уровень опасности (оценка CVSS 4.0 составляет 0)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=a2ec905d1e160a33b2e210e45ad30445ef26ce0e

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a2ec905d1e160a33b2e210e45ad30445ef26ce0e

https://github.com/google/security-research/security/advisories/GHSA-ccx2-w2r4-x649

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.202

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.137

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.240

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.240

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.56

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.7.13

Для программных продуктов Intel Corp.:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

Для Ubuntu:

https://ubuntu.com/security/notices/USN-4592-1

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2020-24490

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2020-24490/

Для ОС Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для ОС Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-24490
CVE

EPSS

Процентиль: 90%

0.05603

Низкий

6.5 Medium

CVSS3

3.3 Low

CVSS2

Связанные уязвимости

CVE-2020-24490

CVSS3: 6.5

ubuntu

около 5 лет назад

Improper buffer restrictions in BlueZ may allow an unauthenticated user to potentially enable denial of service via adjacent access. This affects all Linux kernel versions that support BlueZ.

CVE-2020-24490

CVSS3: 7.1

redhat

больше 5 лет назад

Improper buffer restrictions in BlueZ may allow an unauthenticated user to potentially enable denial of service via adjacent access. This affects all Linux kernel versions that support BlueZ.

CVE-2020-24490

CVSS3: 6.5

nvd

около 5 лет назад

Improper buffer restrictions in BlueZ may allow an unauthenticated user to potentially enable denial of service via adjacent access. This affects all Linux kernel versions that support BlueZ.

CVE-2020-24490

CVSS3: 6.5

debian

около 5 лет назад

Improper buffer restrictions in BlueZ may allow an unauthenticated use ...

SUSE-SU-2020:3389-1

suse-cvrf

около 5 лет назад

Security update for the Linux Kernel (Live Patch 0 for SLE 15 SP2)

EPSS

Процентиль: 90%

0.05603

Низкий

6.5 Medium

CVSS3

3.3 Low

CVSS2