BDU:2023-02994

Опубликовано: 12 апр. 2023

Источник: fstec

CVSS3: 9.3

CVSS2: 7.2

Описание

Уязвимость функции xfs_btree_lookup_get_block() ядра операционных систем Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения

ООО «Ред Софт»

АО «НТЦ ИТ РОСА»

АО "НППКТ"

Наименование ПО

Debian GNU/Linux

РЕД ОС

Linux

РОСА ХРОМ

ОСОН ОСнова Оnyx

Версия ПО

10 (Debian GNU/Linux)

11 (Debian GNU/Linux)

7.3 (РЕД ОС)

от 5.16 до 6.1.32 включительно (Linux)

от 6.2 до 6.3.6 включительно (Linux)

от 5.11 до 5.15.116 включительно (Linux)

от 5.5 до 5.10.183 включительно (Linux)

12.4 (РОСА ХРОМ)

от 4.0 до 5.4.248 включительно (Linux)

до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 11

ООО «Ред Софт» РЕД ОС 7.3

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.32 включительно

Сообщество свободного программного обеспечения Linux от 6.2 до 6.3.6 включительно

Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.116 включительно

Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.183 включительно

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Сообщество свободного программного обеспечения Linux от 4.0 до 5.4.248 включительно

АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Linux:

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.249

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.184

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.117

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.33

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.3.7

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2023-34255

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2206

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения linux до версии 5.15.140-1.oasnova221

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-34255
CVE

9.3 Critical

CVSS3

7.2 High

CVSS2

Связанные уязвимости

CVE-2023-34255

nvd

около 2 лет назад

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2023-2124. Reason: This candidate is a duplicate of CVE-2023-2124. Notes: All CVE users should reference CVE-2023-2124 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.

GHSA-xcr3-gpqj-cfwr

github

около 2 лет назад

An issue was discovered in the Linux kernel through 6.3.5. There is a use-after-free in xfs_btree_lookup_get_block in fs/xfs/libxfs/xfs_btree.c because fs/xfs/xfs_buf_item_recover.c does not perform buffer content verification when log replay is skipped.

ROS-20230904-02

CVSS3: 9.3

redos

почти 2 года назад

Множественные уязвимости ядра ОС

ROS-20230904-01

CVSS3: 9.3

redos

почти 2 года назад

Множественные уязвимости ядра ОС

9.3 Critical

CVSS3

7.2 High

CVSS2