Описание
Уязвимость реализации системных вызовов ioctl(XFS_IOC_ALLOCSP) и ioctl(XFS_IOC_FREESP) файловой системы XFS ядра операционных систем Linux связана с неверным вычислением размера буфера. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Вендор
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Canonical Ltd.
ООО «Ред Софт»
АО "НППКТ"
Наименование ПО
Red Hat Enterprise Linux
Debian GNU/Linux
Astra Linux Special Edition
Red Hat Virtualization
Ubuntu
РЕД ОС
ОСОН ОСнова Оnyx
Linux
Версия ПО
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
4 (Red Hat Virtualization)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.4 Extended Update Support (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.7 (ОСОН ОСнова Оnyx)
от 4.0 до 4.4.298 включительно (Linux)
от 4.5 до 4.9.296 включительно (Linux)
от 4.10 до 4.14.261 включительно (Linux)
от 4.15 до 4.19.224 включительно (Linux)
от 4.20 до 5.4.170 включительно (Linux)
от 5.5 до 5.10.90 включительно (Linux)
от 5.11 до 5.15.13 включительно (Linux)
Тип ПО
Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7
Сообщество свободного программного обеспечения Linux от 4.0 до 4.4.298 включительно
Сообщество свободного программного обеспечения Linux от 4.5 до 4.9.296 включительно
Сообщество свободного программного обеспечения Linux от 4.10 до 4.14.261 включительно
Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.224 включительно
Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.170 включительно
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.90 включительно
Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.13 включительно
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=983d8e60f50806f90534cc5373d0ce867e5aaf79
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.225
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.262
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.171
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.91
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.14
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16
Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-faylovoy-sistemy-xfs-cve-2021-4155/
Для продуктов Red Har Inc.:
https://access.redhat.com/security/cve/cve-2021-4155
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2021-4155
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5278-1
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения linux до версии 5.15.86-1.osnova211
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Ссылки на источники
5.5 Medium
CVSS3
4.6 Medium
CVSS2
Связанные уязвимости
5.5 Medium
CVSS3
4.6 Medium
CVSS2