BDU:2024-08306

Опубликовано: 05 июл. 2024

Источник: fstec

CVSS3: 7.8

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость функции posix_lock_inode() в модуле fs/locks.c ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Red Hat Inc.

АО "НППКТ"

Наименование ПО

Ubuntu

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

Red Hat Enterprise Linux

Linux

ОСОН ОСнова Оnyx

Версия ПО

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

18.04 ESM (Ubuntu)

от 6.7 до 6.9.9 включительно (Linux)

от 5.4.257 до 5.4.279 включительно (Linux)

от 5.10.197 до 5.10.221 включительно (Linux)

от 5.15.133 до 5.15.162 включительно (Linux)

от 6.1.55 до 6.1.99 включительно (Linux)

от 6.5.5 до 6.6.40 включительно (Linux)

до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Canonical Ltd. Ubuntu 18.04 ESM

Сообщество свободного программного обеспечения Linux от 6.7 до 6.9.9 включительно

Сообщество свободного программного обеспечения Linux от 5.4.257 до 5.4.279 включительно

Сообщество свободного программного обеспечения Linux от 5.10.197 до 5.10.221 включительно

Сообщество свободного программного обеспечения Linux от 5.15.133 до 5.15.162 включительно

Сообщество свободного программного обеспечения Linux от 6.1.55 до 6.1.99 включительно

Сообщество свободного программного обеспечения Linux от 6.5.5 до 6.6.40 включительно

АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Для Linux:

https://git.kernel.org/stable/c/5cb36e35bc10ea334810937990c2b9023dacb1b0

https://git.kernel.org/stable/c/1b3ec4f7c03d4b07bad70697d7e2f4088d2cfe92

https://git.kernel.org/stable/c/7d4c14f4b511fd4c0dc788084ae59b4656ace58b

https://git.kernel.org/stable/c/432b06b69d1d354a171f7499141116536579eb6a

https://git.kernel.org/stable/c/1cbbb3d9475c403ebedc327490c7c2b991398197

https://git.kernel.org/stable/c/02a8964260756c70b20393ad4006948510ac9967

https://git.kernel.org/stable/c/116599f6a26906cf33f67975c59f0692ecf7e9b2

https://lore.kernel.org/linux-cve-announce/2024072927-CVE-2024-41049-bf28@gregkh/

https://git.kernel.org/linus/1b3ec4f7c03d4b07bad70697d7e2f4088d2cfe92

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.280

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.222

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.163

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.100

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.41

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.10

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-41049

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2024-41049

Для Ubuntu:

https://ubuntu.com/security/notices/USN-7003-1

https://ubuntu.com/security/notices/USN-7003-2

https://ubuntu.com/security/notices/USN-7006-1

https://ubuntu.com/security/notices/USN-7003-3

https://ubuntu.com/security/notices/USN-7007-1

https://ubuntu.com/security/notices/USN-7009-1

https://ubuntu.com/security/notices/USN-7019-1

https://ubuntu.com/security/notices/USN-7007-2

https://ubuntu.com/security/notices/USN-7007-3

https://ubuntu.com/security/notices/USN-7009-2

https://ubuntu.com/security/notices/USN-7003-4

https://ubuntu.com/security/notices/USN-7003-5

Для РЕД ОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:

- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;

- принудительная смена паролей пользователей;

- ограничение доступа к командной строке для недоверенных пользователей;

- использование антивирусных средств защиты;

- мониторинг действий пользователей.

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Для ОС Astra Linux:

- обновить пакет linux до 5.4.0-202.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:

- обновить пакет linux до 5.4.0-202.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 15%

0.00048

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2024-41049

CVSS3: 7

ubuntu

11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: filelock: fix potential use-after-free in posix_lock_inode Light Hsieh reported a KASAN UAF warning in trace_posix_lock_inode(). The request pointer had been changed earlier to point to a lock entry that was added to the inode's list. However, before the tracepoint could fire, another task raced in and freed that lock. Fix this by moving the tracepoint inside the spinlock, which should ensure that this doesn't happen.

CVE-2024-41049

CVSS3: 7

redhat

11 месяцев назад

CVE-2024-41049

CVSS3: 7

nvd

11 месяцев назад

CVE-2024-41049

CVSS3: 7

msrc

9 месяцев назад

Описание отсутствует

CVE-2024-41049

CVSS3: 7

debian

11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: f ...

EPSS

Процентиль: 15%

0.00048

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2