BDU:2022-01121

Опубликовано: 22 дек. 2021

Источник: fstec

CVSS3: 7.8

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость функции __f2fs_setxattr (fs/f2fs/xattr.c) ядра операционной системы Linux существует из-за считывания данных за пределами заданного буфера. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Fedora Project

АО "НППКТ"

ООО «Открытая мобильная платформа»

Наименование ПО

Debian GNU/Linux

Astra Linux Special Edition

Fedora

ОСОН ОСнова Оnyx

Linux

ОС Аврора

Версия ПО

9 (Debian GNU/Linux)

1.6 «Смоленск» (Astra Linux Special Edition)

10 (Debian GNU/Linux)

34 (Fedora)

11 (Debian GNU/Linux)

35 (Fedora)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

до 2.7 (ОСОН ОСнова Оnyx)

от 5.16.0 до 5.16.2 включительно (Linux)

от 5.11 до 5.15.11 включительно (Linux)

от 4.15 до 4.19.222 включительно (Linux)

от 4.20 до 5.4.168 включительно (Linux)

от 5.5 до 5.10.88 включительно (Linux)

от 4.0 до 4.14.259 включительно (Linux)

до 5.1.5 включительно (ОС Аврора)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Fedora Project Fedora 34

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Fedora Project Fedora 35

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

Сообщество свободного программного обеспечения Linux от 5.16.0 до 5.16.2 включительно

Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.11 включительно

Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.222 включительно

Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.168 включительно

Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.88 включительно

Сообщество свободного программного обеспечения Linux от 4.0 до 4.14.259 включительно

ООО «Открытая мобильная платформа» ОС Аврора до 5.1.5 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Linux:

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.260

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.223

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.169

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.89

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.12

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.3

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2021-45469

Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AK2C4A43BZSWATZWFUHHHUQF3HPIALNP/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QG7XV2WXKMSMKIQKIBG5LW3Y3GXEWG5Q/

Для ОС Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для ОС Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОСОН ОСнова Оnyx (версия 2.7):

Обновление программного обеспечения linux до версии 5.15.86-1.osnova211

Для ОС Аврора: https://cve.omp.ru/bb30515

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-45469
CVE

EPSS

Процентиль: 21%

0.00067

Низкий

7.8 High

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2021-45469

CVSS3: 7.8

ubuntu

около 4 лет назад

In __f2fs_setxattr in fs/f2fs/xattr.c in the Linux kernel through 5.15.11, there is an out-of-bounds memory access when an inode has an invalid last xattr entry.

CVE-2021-45469

CVSS3: 8.4

redhat

около 4 лет назад

In __f2fs_setxattr in fs/f2fs/xattr.c in the Linux kernel through 5.15.11, there is an out-of-bounds memory access when an inode has an invalid last xattr entry.

CVE-2021-45469

CVSS3: 7.8

nvd

около 4 лет назад

In __f2fs_setxattr in fs/f2fs/xattr.c in the Linux kernel through 5.15.11, there is an out-of-bounds memory access when an inode has an invalid last xattr entry.

CVE-2021-45469

CVSS3: 7.8

msrc

около 4 лет назад

Описание отсутствует

CVE-2021-45469

CVSS3: 7.8

debian

около 4 лет назад

In __f2fs_setxattr in fs/f2fs/xattr.c in the Linux kernel through 5.15 ...

EPSS

Процентиль: 21%

0.00067

Низкий

7.8 High

CVSS3

4.6 Medium

CVSS2