Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05830

Опубликовано: 14 мая 2024
Источник: fstec
CVSS3: 4.1
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость функции copy_to_user компонента s390 ядра операционной системы Linux связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
Astra Linux Special Edition
АЛЬТ СП 10
Linux

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (АЛЬТ СП 10)
от 4.20 до 5.4.279 включительно (Linux)
от 5.5 до 5.10.221 включительно (Linux)
от 5.11 до 5.15.162 включительно (Linux)
от 5.16 до 6.1.97 включительно (Linux)
от 6.2 до 6.6.38 включительно (Linux)
от 6.7 до 6.9.8 включительно (Linux)
1.8 (Astra Linux Special Edition)
от 4.11 до 4.19.317 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» АЛЬТ СП 10 -
Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.279 включительно
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.221 включительно
Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.162 включительно
Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.97 включительно
Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.38 включительно
Сообщество свободного программного обеспечения Linux от 6.7 до 6.9.8 включительно
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Сообщество свободного программного обеспечения Linux от 4.11 до 4.19.317 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.
Использование рекомендаций:
Для Linux:
https://git.kernel.org/stable/c/1d8c270de5eb74245d72325d285894a577a945d9
https://git.kernel.org/stable/c/4889f117755b2f18c23045a0f57977f3ec130581
https://git.kernel.org/stable/c/6e2e374403bf73140d0efc9541cb1b3bea55ac02
https://git.kernel.org/stable/c/90a01aefb84b09ccb6024d75d85bb8f620bd3487
https://git.kernel.org/stable/c/93c034c4314bc4c4450a3869cd5da298502346ad
https://git.kernel.org/stable/c/b5eb9176ebd4697bc248bf8d145e66d782cf5250
https://git.kernel.org/stable/c/c44a2151e5d21c66b070a056c26471f30719b575
https://git.kernel.org/stable/c/c51795885c801b6b7e976717e0d6d45b1e5be0f0
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.318
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.222
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.163
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.280
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.98
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.39
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.9
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 10%
0.00038
Низкий

4.1 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-42157

CVSS3: 4.1
ubuntu
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: s390/pkey: Wipe sensitive data on failure Wipe sensitive data from stack also if the copy_to_user() fails.

redhat логотип

CVE-2024-42157

CVSS3: 4.1
redhat
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: s390/pkey: Wipe sensitive data on failure Wipe sensitive data from stack also if the copy_to_user() fails.

nvd логотип

CVE-2024-42157

CVSS3: 4.1
nvd
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: s390/pkey: Wipe sensitive data on failure Wipe sensitive data from stack also if the copy_to_user() fails.

msrc логотип

CVE-2024-42157

CVSS3: 4.1
msrc
10 месяцев назад

Описание отсутствует

debian логотип

CVE-2024-42157

CVSS3: 4.1
debian
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: s ...

EPSS

Процентиль: 10%
0.00038
Низкий

4.1 Medium

CVSS3

4.9 Medium

CVSS2