Описание
Уязвимость модулей esp4 и esp6 ядра операционной системы Linux связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
Вендор
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
Canonical Ltd.
ООО «Ред Софт»
АО «ИВК»
IBM Corp.
АО "НППКТ"
Наименование ПО
Debian GNU/Linux
Astra Linux Special Edition
Red Hat Virtualization
Astra Linux Common Edition
Red Hat Enterprise Linux
Ubuntu
РЕД ОС
Альт 8 СП
Elastic Storage System
ОСОН ОСнова Оnyx
Linux
Версия ПО
9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
4 (Red Hat Virtualization)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
до 6.1.4.0 (Elastic Storage System)
до 6.1.2.4 (Elastic Storage System)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)
до 2.7 (ОСОН ОСнова Оnyx)
от 5.16.0 до 5.16.14 включительно (Linux)
от 4.15 до 4.19.236 включительно (Linux)
от 4.20 до 5.4.187 включительно (Linux)
от 5.11 до 5.15.28 включительно (Linux)
от 4.11 до 4.14.273 включительно (Linux)
от 5.5 до 5.10.107 включительно (Linux)
Тип ПО
Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства
Сетевое средство
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Сообщество свободного программного обеспечения Linux до 5.17
АО «ИВК» Альт 8 СП -
Сообщество свободного программного обеспечения Linux до 5.16.15
Сообщество свободного программного обеспечения Linux до 5.15.29
Сообщество свободного программного обеспечения Linux до 5.4.188
Сообщество свободного программного обеспечения Linux до 5.10.108
Сообщество свободного программного обеспечения Linux до 4.14.274
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ebe48d368e97d007bfeb76fcb065d6cfc4c96645
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.15
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.17
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.29
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.274
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.188
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.108
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-27666
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6615955
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-27666
https://ubuntu.com/security/notices/USN-5353-1
Для UBLinux:
https://security.ublinux.ru/CVE-2022-27666
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-27666
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0407SE17MD
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0407SE47MD
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220407SE16MD
https://wiki.astralinux.ru/astra-linux-ce212-MD-2022-0407MD
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН Основа:
Обновление программного обеспечения linux до версии 5.15.32-1.osnova196
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения linux до версии 5.15.86-1.osnova211
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 72%
0.00735
Низкий
7.8 High
CVSS3
6.8 Medium
CVSS2
Связанные уязвимости
CVSS3: 7.8
ubuntu
около 3 лет назад
A heap buffer overflow flaw was found in IPsec ESP transformation code in net/ipv4/esp4.c and net/ipv6/esp6.c. This flaw allows a local attacker with a normal user privilege to overwrite kernel heap objects and may cause a local privilege escalation threat.
CVSS3: 7.8
redhat
больше 3 лет назад
A heap buffer overflow flaw was found in IPsec ESP transformation code in net/ipv4/esp4.c and net/ipv6/esp6.c. This flaw allows a local attacker with a normal user privilege to overwrite kernel heap objects and may cause a local privilege escalation threat.
CVSS3: 7.8
nvd
около 3 лет назад
A heap buffer overflow flaw was found in IPsec ESP transformation code in net/ipv4/esp4.c and net/ipv6/esp6.c. This flaw allows a local attacker with a normal user privilege to overwrite kernel heap objects and may cause a local privilege escalation threat.
EPSS
Процентиль: 72%
0.00735
Низкий
7.8 High
CVSS3
6.8 Medium
CVSS2