BDU:2024-04680

Опубликовано: 05 июн. 2024

Источник: fstec

CVSS3: 7.8

CVSS2: 7.6

EPSS Низкий

Описание

Уязвимость функции multiq_tune компонента sch_multiq ядра операционной системы Linux связана с записью за границами буфера динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в режиме ядра путем выполнения специально сформированных сетевых запросов.

Вендор

Canonical Ltd.

Red Hat Inc.

ООО «РусБИТех-Астра»

Сообщество свободного программного обеспечения

ООО «Ред Софт»

АО «ИВК»

Наименование ПО

Ubuntu

Red Hat Enterprise Linux

Astra Linux Special Edition для «Эльбрус»

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

АЛЬТ СП 10

Linux

Версия ПО

18.04 LTS (Ubuntu)

8 (Red Hat Enterprise Linux)

8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

9 (Red Hat Enterprise Linux)

- (АЛЬТ СП 10)

8.8 Extended Update Support (Red Hat Enterprise Linux)

9.2 Extended Update Support (Red Hat Enterprise Linux)

24.04 LTS (Ubuntu)

от 6.2 до 6.6.34 включительно (Linux)

от 6.7 до 6.9.5 включительно (Linux)

от 5.5 до 5.10.220 включительно (Linux)

от 5.11 до 5.15.161 включительно (Linux)

от 5.16 до 6.1.94 включительно (Linux)

1.8 (Astra Linux Special Edition)

от 5.4 до 5.4.278 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 18.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 8

ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Red Hat Inc. Red Hat Enterprise Linux 9

АО «ИВК» АЛЬТ СП 10 -

Red Hat Inc. Red Hat Enterprise Linux 8.8 Extended Update Support

Red Hat Inc. Red Hat Enterprise Linux 9.2 Extended Update Support

Canonical Ltd. Ubuntu 24.04 LTS

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.34 включительно

Сообщество свободного программного обеспечения Linux от 6.7 до 6.9.5 включительно

Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.220 включительно

Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.161 включительно

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.94 включительно

Сообщество свободного программного обеспечения Linux от 5.4.0 до 5.4.278 включительно

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- ограничение доступа к программному средству из общедоступных сетей (Интернет);

- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;

- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций производителя:

https://git.kernel.org/stable/c/affc18fdc694190ca7575b9a86632a73b9fe043d\r\nhttps://lore.kernel.org/linux-cve-announce/2024061926-CVE-2024-36978-b4b8@gregkh/

https://git.kernel.org/linus/affc18fdc694190ca7575b9a86632a73b9fe043d

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.221

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.162

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.279

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.95

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.35

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.6

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/DSA-5730-1

https://security-tracker.debian.org/tracker/DSA-5731-1

https://security-tracker.debian.org/tracker/DLA-4008-1

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/errata/RHSA-2024:5102

https://access.redhat.com/errata/RHSA-2024:5101

https://access.redhat.com/errata/RHSA-2024:6993

https://access.redhat.com/errata/RHSA-2024:8162

https://access.redhat.com/errata/RHSA-2024:4823

https://access.redhat.com/errata/RHSA-2024:4831

Для Ubuntu:

https://ubuntu.com/security/CVE-2024-36978

Для ОС Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для ОС Astra Linux:

- обновить пакет linux до 5.4.0-202.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:

- обновить пакет linux до 5.4.0-202.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 7%

0.00031

Низкий

7.8 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ROS-20241108-03

CVSS3: 7.8

redos

7 месяцев назад

Уязвимость kernel-lt

CVE-2024-36978

CVSS3: 7.8

ubuntu

около 1 года назад

In the Linux kernel, the following vulnerability has been resolved: net: sched: sch_multiq: fix possible OOB write in multiq_tune() q->bands will be assigned to qopt->bands to execute subsequent code logic after kmalloc. So the old q->bands should not be used in kmalloc. Otherwise, an out-of-bounds write will occur.

CVE-2024-36978

CVSS3: 7

redhat

около 1 года назад

CVE-2024-36978

CVSS3: 7.8

nvd

около 1 года назад

CVE-2024-36978

CVSS3: 7.8

debian

около 1 года назад

In the Linux kernel, the following vulnerability has been resolved: n ...

EPSS

Процентиль: 7%

0.00031

Низкий

7.8 High

CVSS3

7.6 High

CVSS2