BDU:2023-00358

Опубликовано: 10 янв. 2023

Источник: fstec

CVSS3: 5.5

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость функции qdisc_graft (net/sched/sch_api.c) подсистемы управления трафиком ядра операционной системы Linux связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»

ООО «Ред Софт»

АО «ИВК»

Сообщество свободного программного обеспечения

АО "НППКТ"

Oracle Corp.

Наименование ПО

Astra Linux Special Edition

РЕД ОС

Альт 8 СП

Linux

ОСОН ОСнова Оnyx

Oracle Exadata

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

- (Альт 8 СП)

4.7 (Astra Linux Special Edition)

от 4.15 до 4.19.269 включительно (Linux)

от 4.20 до 5.4.228 включительно (Linux)

от 5.5 до 5.10.162 включительно (Linux)

от 4.3 до 4.14.302 включительно (Linux)

от 5.11 до 5.15.87 включительно (Linux)

от 5.16 до 6.1.5 включительно (Linux)

до 2.9 (ОСОН ОСнова Оnyx)

до 21.2.23.0.0 (Oracle Exadata)

Тип ПО

Операционная система

СУБД

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

АО «ИВК» Альт 8 СП -

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.269 включительно

Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.228 включительно

Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.162 включительно

Сообщество свободного программного обеспечения Linux от 4.3 до 4.14.302 включительно

Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.87 включительно

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.5 включительно

АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для РЕД ОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-yadra-os-cve-2022-47929/

Для Linux:

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=96398560f26aa07e8f2969d73c8197e6a6d10407

https://cdn.kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.6

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.303

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.270

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.229

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.163

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.88

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.6

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для ОС Astra Linux Special Edition 1.7:

- обновить пакет linux до 5.4.0-162.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

- обновить пакет linux-5.10 до 5.10.142-1.astra6+ci56 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

- обновить пакет linux-5.15 до 5.15.0-33.astra2+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения linux до версии 5.15.140-1.oasnova221

Для программных продуктов Oracle Corp.:

Обновление до версии 21.2.23.0.0

Для ОС Astra Linux 1.6 «Смоленск»:

- обновить пакет linux до 5.4.0-162.astra1+ci21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

- обновить пакет linux-5.10 до 5.10.190-1.astra1+ci17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci36 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-47929
CVE

EPSS

Процентиль: 5%

0.00025

Низкий

5.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ROS-20230416-10

CVSS3: 5.5

redos

больше 1 года назад

Уязвимость ядра ОС

CVE-2022-47929

CVSS3: 5.5

ubuntu

больше 2 лет назад

In the Linux kernel before 6.1.6, a NULL pointer dereference bug in the traffic control subsystem allows an unprivileged user to trigger a denial of service (system crash) via a crafted traffic control configuration that is set up with "tc qdisc" and "tc class" commands. This affects qdisc_graft in net/sched/sch_api.c.

CVE-2022-47929

CVSS3: 4.2

redhat

больше 2 лет назад

CVE-2022-47929

CVSS3: 5.5

nvd

больше 2 лет назад

CVE-2022-47929

CVSS3: 5.5

msrc

больше 2 лет назад

Описание отсутствует

EPSS

Процентиль: 5%

0.00025

Низкий

5.5 Medium

CVSS3

6.8 Medium

CVSS2