Описание
Уязвимость функции joydev_handle_JSIOCSBTNMAP() операционной системы Red Hat Enterprise Linux связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или повысить свои привилегии
Вендор
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
ООО «Ред Софт»
АО "НППКТ"
Наименование ПО
Red Hat Enterprise Linux
Debian GNU/Linux
Astra Linux Special Edition
РЕД ОС
ОСОН ОСнова Оnyx
Linux
Версия ПО
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.4 (ОСОН ОСнова Оnyx)
от 4.0 до 4.4.275 включительно (Linux)
от 4.5 до 4.9.275 включительно (Linux)
от 4.10 до 4.14.239 включительно (Linux)
от 4.15 до 4.19.197 включительно (Linux)
от 4.20 до 5.4.131 включительно (Linux)
от 5.5 до 5.10.49 включительно (Linux)
от 5.11 до 5.12.16 включительно (Linux)
от 5.13.0 до 5.13.1 включительно (Linux)
Тип ПО
Операционная система
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.4
Сообщество свободного программного обеспечения Linux от 4.0 до 4.4.275 включительно
Сообщество свободного программного обеспечения Linux от 4.5 до 4.9.275 включительно
Сообщество свободного программного обеспечения Linux от 4.10 до 4.14.239 включительно
Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.197 включительно
Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.131 включительно
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.49 включительно
Сообщество свободного программного обеспечения Linux от 5.11 до 5.12.16 включительно
Сообщество свободного программного обеспечения Linux от 5.13.0 до 5.13.1 включительно
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Для Linux:
использование рекомендаций производителя: https://github.com/torvalds/linux/commit/f8f84af5da9ee04ef1d271528656dac42a090d00#diff-24e085322dacfa3eca119ae0c66592b75d6ce63033d78980b960e9a35ec19f67
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.276
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.276
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.240
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.198
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.132
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.50
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.12.17
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.13.2
Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-3612
Для программных продуктов Red Hat Inc.:
1 Запретить загрузку модуля joydev
2 Использование рекомендаций: https://access.redhat.com/security/cve/cve-2021-3612
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН Основа:
Обновление программного обеспечения linux до версии 5.14.9-2.osnova179.1
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
7.8 High
CVSS3
6.8 Medium
CVSS2
Связанные уязвимости
7.8 High
CVSS3
6.8 Medium
CVSS2