Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05842

Опубликовано: 17 авг. 2021
Источник: fstec
CVSS3: 7.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость функции aspeed_lpc_ctrl_mmap компонента drivers/soc/aspeed/aspeed-lpc-ctrl.c ядра операционной системы Linux связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
Astra Linux Special Edition для «Эльбрус»
Linux

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
от 5.11 до 5.13.18 включительно (Linux)
от 5.14.0 до 5.14.5 включительно (Linux)
от 4.20 до 5.4.147 включительно (Linux)
от 4.15 до 4.19.206 включительно (Linux)
от 4.12 до 4.14.246 включительно (Linux)
от 5.5 до 5.10.66 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Сообщество свободного программного обеспечения Linux от 4.12 rc1 до 4.14.247
Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.207
Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.148
Сообщество свободного программного обеспечения Linux от 5.11 до 5.13.19
Сообщество свободного программного обеспечения Linux от 5.14 до 5.14.6
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.67
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Linux:
https://git.kernel.org/linus/b49a0e69a7b1a68c8d3f64097d06dabb770fec96
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b49a0e69a7b1a68c8d3f64097d06dabb770fec96
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.247
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.207
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.67
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.13.19
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.14.6
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-42252
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет linux до 5.4.0-110.astra35+ci74 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
- обновить пакет linux до 4.15.3-177.astra28+ci21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 26%
0.00087
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-42252

CVSS3: 7.8
ubuntu
почти 4 года назад

An issue was discovered in aspeed_lpc_ctrl_mmap in drivers/soc/aspeed/aspeed-lpc-ctrl.c in the Linux kernel before 5.14.6. Local attackers able to access the Aspeed LPC control interface could overwrite memory in the kernel and potentially execute privileges, aka CID-b49a0e69a7b1. This occurs because a certain comparison uses values that are not memory sizes.

redhat логотип

CVE-2021-42252

CVSS3: 7.8
redhat
почти 4 года назад

An issue was discovered in aspeed_lpc_ctrl_mmap in drivers/soc/aspeed/aspeed-lpc-ctrl.c in the Linux kernel before 5.14.6. Local attackers able to access the Aspeed LPC control interface could overwrite memory in the kernel and potentially execute privileges, aka CID-b49a0e69a7b1. This occurs because a certain comparison uses values that are not memory sizes.

nvd логотип

CVE-2021-42252

CVSS3: 7.8
nvd
почти 4 года назад

An issue was discovered in aspeed_lpc_ctrl_mmap in drivers/soc/aspeed/aspeed-lpc-ctrl.c in the Linux kernel before 5.14.6. Local attackers able to access the Aspeed LPC control interface could overwrite memory in the kernel and potentially execute privileges, aka CID-b49a0e69a7b1. This occurs because a certain comparison uses values that are not memory sizes.

msrc логотип

CVE-2021-42252

CVSS3: 7.8
msrc
почти 4 года назад

Описание отсутствует

debian логотип

CVE-2021-42252

CVSS3: 7.8
debian
почти 4 года назад

An issue was discovered in aspeed_lpc_ctrl_mmap in drivers/soc/aspeed/ ...

EPSS

Процентиль: 26%
0.00087
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2