Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04832

Опубликовано: 26 мар. 2021
Источник: fstec
CVSS3: 6.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость компонента XSA-365 операционной системы Linux связана с неверной инициализацией данных. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «РусБИТех-Астра»
Novell Inc.
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
Ubuntu
Astra Linux Special Edition
OpenSUSE Leap
ОСОН ОСнова Оnyx
Linux

Версия ПО

9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
14.04 ESM (Ubuntu)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
20.10 (Ubuntu)
15.2 (OpenSUSE Leap)
16.04 ESM (Ubuntu)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
до 2.4 (ОСОН ОСнова Оnyx)
от 4.4.258 до 4.4.263 включительно (Linux)
от 4.9.258 до 4.9.263 включительно (Linux)
от 4.14.222 до 4.14.227 включительно (Linux)
от 4.19.177 до 4.19.183 включительно (Linux)
от 5.4.100 до 5.4.108 включительно (Linux)
от 5.10.18 до 5.10.26 включительно (Linux)
от 5.11.1 до 5.11.10 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 20.10
Novell Inc. OpenSUSE Leap 15.2
Canonical Ltd. Ubuntu 16.04 ESM
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Linux от 3.11 до 5.10.18 включительно
Сообщество свободного программного обеспечения Debian GNU/Linux 11

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.228
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.184
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.264
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.264
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.27
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.11.11
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.109
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-28688
Для Ubuntu
https://ubuntu.com/security/CVE-2021-28688
Для Fedora:
https://lists.fedoraproject.org/archives/search?mlist=package-announce%40lists.fedoraproject.org&q=CVE-2021-28688
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-28688
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
Для ОСОН Основа:
Обновление программного обеспечения linux до версии 5.14.9-2.osnova179.1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 34%
0.00133
Низкий

6.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-28688

CVSS3: 6.5
ubuntu
около 4 лет назад

The fix for XSA-365 includes initialization of pointers such that subsequent cleanup code wouldn't use uninitialized or stale values. This initialization went too far and may under certain conditions also overwrite pointers which are in need of cleaning up. The lack of cleanup would result in leaking persistent grants. The leak in turn would prevent fully cleaning up after a respective guest has died, leaving around zombie domains. All Linux versions having the fix for XSA-365 applied are vulnerable. XSA-365 was classified to affect versions back to at least 3.11.

nvd логотип

CVE-2021-28688

CVSS3: 6.5
nvd
около 4 лет назад

The fix for XSA-365 includes initialization of pointers such that subsequent cleanup code wouldn't use uninitialized or stale values. This initialization went too far and may under certain conditions also overwrite pointers which are in need of cleaning up. The lack of cleanup would result in leaking persistent grants. The leak in turn would prevent fully cleaning up after a respective guest has died, leaving around zombie domains. All Linux versions having the fix for XSA-365 applied are vulnerable. XSA-365 was classified to affect versions back to at least 3.11.

debian логотип

CVE-2021-28688

CVSS3: 6.5
debian
около 4 лет назад

The fix for XSA-365 includes initialization of pointers such that subs ...

suse-cvrf логотип

SUSE-SU-2022:1003-1

suse-cvrf
около 3 лет назад

Security update for the Linux Kernel (Live Patch 43 for SLE 12 SP3)

suse-cvrf логотип

SUSE-SU-2021:1341-1

suse-cvrf
около 4 лет назад

Security update for the Linux Kernel (Live Patch 38 for SLE 12 SP3)

EPSS

Процентиль: 34%
0.00133
Низкий

6.5 Medium

CVSS3

4.6 Medium

CVSS2