BDU:2023-06751

Опубликовано: 29 июн. 2023

Источник: fstec

CVSS3: 4.4

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость функции xfrm_dump_sa() модуля net/xfrm/xfrm_user.c подсистемы XFRM ядра операционной системы Linux связана с чтением за пределами выделенного буфера. Эксплуатация уязвимости может позволить нарушителю получить доступ к защищаемой информации

Вендор

ООО «РусБИТех-Астра»

АО «ИВК»

Сообщество свободного программного обеспечения

Наименование ПО

Astra Linux Special Edition

Альт 8 СП

Linux

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)

1.7 (Astra Linux Special Edition)

- (Альт 8 СП)

4.7 (Astra Linux Special Edition)

от 6.2 до 6.4.11 включительно (Linux)

от 5.16 до 6.1.46 включительно (Linux)

от 4.0 до 4.14.323 включительно (Linux)

от 4.15 до 4.19.292 включительно (Linux)

от 4.20 до 5.4.254 включительно (Linux)

от 5.5 до 5.10.191 включительно (Linux)

от 5.11 до 5.15.127 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

АО «ИВК» Альт 8 СП -

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Сообщество свободного программного обеспечения Linux от 6.2 до 6.4.11 включительно

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.46 включительно

Сообщество свободного программного обеспечения Linux от 4.0 до 4.14.323 включительно

Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.292 включительно

Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.254 включительно

Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.191 включительно

Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.127 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Linux:

https://git.kernel.org/linus/dfa73c17d55b921e1d4e154976de35317e43a93a

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.324

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.293

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.255

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.192

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.128

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.47

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.4.12

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:

- обновить пакет linux до 5.4.0-186.astra2+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

- обновить пакет linux-5.15 до 5.15.0-111.astra2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::

- обновить пакет linux до 5.4.0-186.astra2+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

- обновить пакет linux-5.10 до 5.10.216-1.astra2+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

- обновить пакет linux-5.15 до 5.15.0-111.astra2+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:

- обновить пакет linux до 5.4.0-186.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

- обновить пакет linux-5.10 до 5.10.216-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

- обновить пакет linux-5.15 до 5.15.0-111.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-39194
CVE

EPSS

Процентиль: 0%

0.00008

Низкий

4.4 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2023-39194

CVSS3: 3.2

ubuntu

больше 1 года назад

A flaw was found in the XFRM subsystem in the Linux kernel. The specific flaw exists within the processing of state filters, which can result in a read past the end of an allocated buffer. This flaw allows a local privileged (CAP_NET_ADMIN) attacker to trigger an out-of-bounds read, potentially leading to an information disclosure.

CVE-2023-39194

CVSS3: 3.2

redhat

больше 1 года назад

CVE-2023-39194

CVSS3: 3.2

nvd

больше 1 года назад

CVE-2023-39194

CVSS3: 3.2

debian

больше 1 года назад

A flaw was found in the XFRM subsystem in the Linux kernel. The specif ...

GHSA-3qhf-qr39-9c9w

CVSS3: 3.2

github

больше 1 года назад

EPSS

Процентиль: 0%

0.00008

Низкий

4.4 Medium

CVSS3

4.6 Medium

CVSS2