Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-07345

Опубликовано: 19 окт. 2022
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость функции постановки в очередь sch_sfb ядра операционных систем Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Red Hat Inc.
Сообщество свободного программного обеспечения
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
Red Hat Enterprise Linux
Debian GNU/Linux
Linux
ОСОН ОСнова Оnyx

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
9 (Red Hat Enterprise Linux)
6.0 rc1 (Linux)
6.0 rc2 (Linux)
6.0 rc3 (Linux)
6.0 rc4 (Linux)
4.7 (Astra Linux Special Edition)
6.0 (Linux)
от 4.15 до 4.19.257 включительно (Linux)
от 4.20 до 5.4.212 включительно (Linux)
от 4.0 до 4.9.327 включительно (Linux)
от 4.10 до 4.14.292 включительно (Linux)
от 5.16 до 5.19.8 включительно (Linux)
до 2.7 (ОСОН ОСнова Оnyx)
от 5.5 до 5.10.142 включительно (Linux)
от 5.11 до 5.15.67 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Red Hat Inc. Red Hat Enterprise Linux 9
Сообщество свободного программного обеспечения Linux 6.0 rc1
Сообщество свободного программного обеспечения Linux 6.0 rc2
Сообщество свободного программного обеспечения Linux 6.0 rc3
Сообщество свободного программного обеспечения Linux 6.0 rc4
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Сообщество свободного программного обеспечения Linux 6.0
Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.257 включительно
Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.212 включительно
Сообщество свободного программного обеспечения Linux от 4.0 до 4.9.327 включительно
Сообщество свободного программного обеспечения Linux от 4.10 до 4.14.292 включительно
Сообщество свободного программного обеспечения Linux от 5.16 до 5.19.8 включительно
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.142 включительно
Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.67 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Linux:
https://github.com/torvalds/linux/commit/9efd23297cca
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.328
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.293
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.258
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.213
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.143
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.68
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.19.9
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-3586
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-3586
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения linux до версии 5.15.86-1.osnova211
Для ОС Astra Linux Special Edition 1.7:
- обновить пакет linux до 5.4.0-162.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.10 до 5.10.176-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.15 до 5.15.0-70.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux Special Edition 4.7:
- обновить пакет linux до 5.4.0-162.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет linux-5.10 до 5.10.176-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет linux до 5.4.0-162.astra1+ci21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет linux-5.10 до 5.10.190-1.astra1+ci17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci36 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 29%
0.00104
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-3586

CVSS3: 5.5
ubuntu
почти 3 года назад

A flaw was found in the Linux kernel’s networking code. A use-after-free was found in the way the sch_sfb enqueue function used the socket buffer (SKB) cb field after the same SKB had been enqueued (and freed) into a child qdisc. This flaw allows a local, unprivileged user to crash the system, causing a denial of service.

redhat логотип

CVE-2022-3586

CVSS3: 5.5
redhat
около 3 лет назад

A flaw was found in the Linux kernel’s networking code. A use-after-free was found in the way the sch_sfb enqueue function used the socket buffer (SKB) cb field after the same SKB had been enqueued (and freed) into a child qdisc. This flaw allows a local, unprivileged user to crash the system, causing a denial of service.

nvd логотип

CVE-2022-3586

CVSS3: 5.5
nvd
почти 3 года назад

A flaw was found in the Linux kernel’s networking code. A use-after-free was found in the way the sch_sfb enqueue function used the socket buffer (SKB) cb field after the same SKB had been enqueued (and freed) into a child qdisc. This flaw allows a local, unprivileged user to crash the system, causing a denial of service.

msrc логотип

CVE-2022-3586

CVSS3: 5.5
msrc
почти 3 года назад

Описание отсутствует

debian логотип

CVE-2022-3586

CVSS3: 5.5
debian
почти 3 года назад

A flaw was found in the Linux kernel\u2019s networking code. A use-aft ...

EPSS

Процентиль: 29%
0.00104
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2