Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06501

Опубликовано: 10 апр. 2024
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость функции hci_req_sync_complete() в компоненте Bluetooth ядра операционной системы Linux связана с отсутствием освобождение предыдущего состояния запроса синхронизации перед назначением ссылки на новую. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Сообщество свободного программного обеспечения
АО "НППКТ"

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Альт 8 СП
Linux
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
от 5.5 до 5.10.215 включительно (Linux)
от 5.11 до 5.15.155 включительно (Linux)
от 5.16 до 6.1.86 включительно (Linux)
от 6.2 до 6.6.27 включительно (Linux)
от 6.7 до 6.8.6 включительно (Linux)
от 4.20 до 5.4.274 включительно (Linux)
до 2.11 (ОСОН ОСнова Оnyx)
от 4.1 до 4.19.312 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» Альт 8 СП -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11
Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.275
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.216
Сообщество свободного программного обеспечения Linux от 4.1 до 4.19.313
Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.156
Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.87
Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.28
Сообщество свободного программного обеспечения Linux от 6.7 до 6.8.7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Нет опасности уровень опасности (базовая оценка CVSS 4.0 составляет 0)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Linux:
https://git.kernel.org/linus/45d355a926ab40f3ae7bc0b0a00cb0e3e8a5a810
https://git.kernel.org/stable/c/45d355a926ab40f3ae7bc0b0a00cb0e3e8a5a810
https://git.kernel.org/stable/c/4beab84fbb50df3be1d8f8a976e6fe882ca65cb2
https://git.kernel.org/stable/c/66fab1e120b39f8f47a94186ddee36006fc02ca8
https://git.kernel.org/stable/c/75193678cce993aa959e7764b6df2f599886dd06
https://git.kernel.org/stable/c/8478394f76c748862ef179a16f651f752bdafaf0
https://git.kernel.org/stable/c/89a32741f4217856066c198a4a7267bcdd1edd67
https://git.kernel.org/stable/c/9ab5e44b9bac946bd49fd63264a08cd1ea494e76
https://git.kernel.org/stable/c/e4cb8382fff6706436b66eafd9c0ee857ff0a9f5
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.313
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.216
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.156
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.275
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.87
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.28
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.8.7
https://lore.kernel.org/linux-cve-announce/2024052025-CVE-2024-35978-adaa@gregkh/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения linux до версии 6.6.36-0.osnova233
Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-5.10 до 5.10.216-1.astra2+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-6.1 до 6.1.90-1.astra3+ci20 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-5.10 до 5.10.216-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-6.1 до 6.1.90-1.astra3+ci156 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 1%
0.0001
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-35978

CVSS3: 5.5
ubuntu
около 1 года назад

In the Linux kernel, the following vulnerability has been resolved: Bluetooth: Fix memory leak in hci_req_sync_complete() In 'hci_req_sync_complete()', always free the previous sync request state before assigning reference to a new one.

redhat логотип

CVE-2024-35978

CVSS3: 5.5
redhat
около 1 года назад

In the Linux kernel, the following vulnerability has been resolved: Bluetooth: Fix memory leak in hci_req_sync_complete() In 'hci_req_sync_complete()', always free the previous sync request state before assigning reference to a new one.

nvd логотип

CVE-2024-35978

CVSS3: 5.5
nvd
около 1 года назад

In the Linux kernel, the following vulnerability has been resolved: Bluetooth: Fix memory leak in hci_req_sync_complete() In 'hci_req_sync_complete()', always free the previous sync request state before assigning reference to a new one.

msrc логотип

CVE-2024-35978

CVSS3: 5.5
msrc
около 1 года назад

Описание отсутствует

debian логотип

CVE-2024-35978

CVSS3: 5.5
debian
около 1 года назад

In the Linux kernel, the following vulnerability has been resolved: B ...

EPSS

Процентиль: 1%
0.0001
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2