Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-05673

Опубликовано: 26 окт. 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Средний

Описание

Уязвимость реализации функции tipc_crypto_key_rcv() протокола для внутрикластерного взаимодействия Transparent Inter-Process Communication (TIPC) ядра операционных систем Linux связана с недостаточной проверкой входных данных при обработке MSG_CRYPTO сообщений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или повысить свои привилегии

Вендор

ООО «РусБИТех-Астра»
Fedora Project
ООО «Ред Софт»
АО "НППКТ"
ООО «Юбитех»
Сообщество свободного программного обеспечения

Наименование ПО

Astra Linux Special Edition
Fedora
РЕД ОС
ОСОН ОСнова Оnyx
UBLinux
Linux

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
34 (Fedora)
35 (Fedora)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.4.3 (ОСОН ОСнова Оnyx)
до 2204 (UBLinux)
до 2.7 (ОСОН ОСнова Оnyx)
от 5.11 до 5.14.15 включительно (Linux)
от 5.10.0 до 5.10.76 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Fedora Project Fedora 34
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.4.3
ООО «Юбитех» UBLinux до 2204
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7
Сообщество свободного программного обеспечения Linux от 5.11 до 5.14.15 включительно
Сообщество свободного программного обеспечения Linux от 5.10.0 до 5.10.76 включительно

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Linux:
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.14.16
https://github.com/torvalds/linux/commit/fa40d9734a57bcbfa79a280189799f76c88f7bb0
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CVWL7HZV5T5OEKJPO2D67RMFMKBBXGGB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RDDEW4APTYKJK365HC2JZIVXYUV7ZRN7/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для ОСОН Основа:
Обновление программного обеспечения linux до версии 5.15.5-1.osnova193
Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Использование рекомендаций: Для UBLinux: https://security.ublinux.ru/CVE-2021-43267
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения linux до версии 5.15.86-1.osnova211

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.69021
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20220207-01

redos
больше 3 лет назад

Уязвимость ядра Linux

ubuntu логотип

CVE-2021-43267

CVSS3: 9.8
ubuntu
больше 3 лет назад

An issue was discovered in net/tipc/crypto.c in the Linux kernel before 5.14.16. The Transparent Inter-Process Communication (TIPC) functionality allows remote attackers to exploit insufficient validation of user-supplied sizes for the MSG_CRYPTO message type.

redhat логотип

CVE-2021-43267

CVSS3: 8.8
redhat
больше 3 лет назад

An issue was discovered in net/tipc/crypto.c in the Linux kernel before 5.14.16. The Transparent Inter-Process Communication (TIPC) functionality allows remote attackers to exploit insufficient validation of user-supplied sizes for the MSG_CRYPTO message type.

nvd логотип

CVE-2021-43267

CVSS3: 9.8
nvd
больше 3 лет назад

An issue was discovered in net/tipc/crypto.c in the Linux kernel before 5.14.16. The Transparent Inter-Process Communication (TIPC) functionality allows remote attackers to exploit insufficient validation of user-supplied sizes for the MSG_CRYPTO message type.

msrc логотип

CVE-2021-43267

CVSS3: 9.8
msrc
больше 3 лет назад

Описание отсутствует

EPSS

Процентиль: 99%
0.69021
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2