BDU:2022-05656

Опубликовано: 08 сент. 2022

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость драйвера vmwgfx (drivers/gpu/vmxgfx/vmxgfx_execbuf.c) ядра операционной системы Linux связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии или вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»

Сообщество свободного программного обеспечения

АО «НТЦ ИТ РОСА»

Наименование ПО

Astra Linux Special Edition

Linux

ROSA Virtualization 3.0

Версия ПО

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

от 5.16 до 6.1.83 включительно (Linux)

от 6.2 до 6.6.23 включительно (Linux)

от 5.11 до 5.15.153 включительно (Linux)

от 4.20 до 5.10.214 включительно (Linux)

от 6.7 до 6.7.11 включительно (Linux)

от 6.8 до 6.8.2 включительно (Linux)

3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.83 включительно

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.23 включительно

Сообщество свободного программного обеспечения Linux от 6.7.0 до 6.7.11 включительно

Сообщество свободного программного обеспечения Linux от 6.8.0 до 6.8.2 включительно

Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.153 включительно

Сообщество свободного программного обеспечения Linux от 4.20 до 5.10.214 включительно

АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Нет опасности уровень опасности (оценка CVSS 4.0 составляет 0)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Компенсирующие меры:

- ограничить доступ к файлу drivers/gpu/vmxgfx/vmxgfx_execbuf.c;

- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;

- принудительная смена паролей пользователей;

- ограничение удаленного доступа к операционной системе недоверенных пользователей (SSH и проч.);

- ограничение доступа к командной строке для недоверенных пользователей;

- использование антивирусных средств защиты;

- мониторинг действий пользователей;

- использование систем управления доступом (таких, как SELinux, AppArmor и проч.).

Использование рекомендаций:

Для Linux:

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.215

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.154

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.84

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.24

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.7.12

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.8.3

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2861

Для ОС Astra Linux:

- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

- обновить пакет linux-5.10 до 5.10.216-1.astra2+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

- обновить пакет linux-6.1 до 6.1.90-1.astra3+ci20 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:

- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

- обновить пакет linux-5.10 до 5.10.216-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

- обновить пакет linux-6.1 до 6.1.90-1.astra3+ci156 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-38096
CVE

EPSS

Процентиль: 4%

0.00021

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2022-38096

CVSS3: 6.3

ubuntu

около 3 лет назад

A NULL pointer dereference vulnerability was found in vmwgfx driver in drivers/gpu/vmxgfx/vmxgfx_execbuf.c in GPU component of Linux kernel with device file '/dev/dri/renderD128 (or Dxxx)'. This flaw allows a local attacker with a user account on the system to gain privilege, causing a denial of service(DoS).

CVE-2022-38096

CVSS3: 5.5

redhat

около 3 лет назад

CVE-2022-38096

CVSS3: 6.3

nvd

около 3 лет назад

CVE-2022-38096

CVSS3: 5.5

msrc

около 3 лет назад

There is a NULL pointer vulnerability in vmwgfx driver

CVE-2022-38096

CVSS3: 6.3

debian

около 3 лет назад

A NULL pointer dereference vulnerability was found in vmwgfx driver in ...

EPSS

Процентиль: 4%

0.00021

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2