BDU:2024-08312

Опубликовано: 24 июл. 2024

Источник: fstec

CVSS3: 6.7

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость функции fcntl_setlk() в модуле fs/locks.c ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

Linux

ОСОН ОСнова Оnyx

Версия ПО

8 (Red Hat Enterprise Linux)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

9 (Red Hat Enterprise Linux)

1.8 (Astra Linux Special Edition)

от 4.20 до 5.4.280 включительно (Linux)

от 5.5 до 5.10.222 включительно (Linux)

от 5.11 до 5.15.163 включительно (Linux)

от 5.16 до 6.1.101 включительно (Linux)

от 6.2 до 6.6.42 включительно (Linux)

от 6.7 до 6.9.11 включительно (Linux)

от 6.10 до 6.10.1 включительно (Linux)

от 2.6.13 до 4.19.318 включительно (Linux)

до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Red Hat Inc. Red Hat Enterprise Linux 9

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Сообщество свободного программного обеспечения Linux от 4.0 до 4.19.318 включительно

Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.280 включительно

Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.222 включительно

Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.163 включительно

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.101 включительно

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.42 включительно

Сообщество свободного программного обеспечения Linux от 6.7 до 6.9.11 включительно

Сообщество свободного программного обеспечения Linux от 6.10.0 до 6.10.1 включительно

Сообщество свободного программного обеспечения Linux от 6.10 до 6.10.1 включительно

Сообщество свободного программного обеспечения Linux от 2.6.13 до 4.19.318 включительно

АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению уязвимости

Для Linux:

https://git.kernel.org/stable/c/a561145f3ae973ebf3e0aee41624e92a6c5cb38d

https://git.kernel.org/stable/c/4c43ad4ab41602201d34c66ac62130fe339d686f

https://git.kernel.org/stable/c/911cc83e56a2de5a40758766c6a70d6998248860

https://git.kernel.org/stable/c/53e21cfa68a7d12de378b7116c75571f73e0dfa2

https://git.kernel.org/stable/c/f4d0775c6e2f1340ca0725f0337de149aaa989ca

https://git.kernel.org/stable/c/73ae349534ebc377328e7d21891e589626c6e82c

https://git.kernel.org/stable/c/5b0af8e4c70e4b884bb94ff5f0cd49ecf1273c02

https://git.kernel.org/stable/c/ed898f9ca3fa32c56c858b463ceb9d9936cc69c4

https://git.kernel.org/stable/c/f8138f2ad2f745b9a1c696a05b749eabe44337ea

https://lore.kernel.org/linux-cve-announce/2024072927-CVE-2024-41020-52c6@gregkh/

https://git.kernel.org/linus/f8138f2ad2f745b9a1c696a05b749eabe44337ea

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.319

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.281

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.223

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.164

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.102

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.43

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.12

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.10.2

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-41020

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2024-41020

Компенсирующие меры:

- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;

- принудительная смена паролей пользователей;

- ограничение доступа к командной строке для недоверенных пользователей;

- использование антивирусных средств защиты;

- мониторинг действий пользователей.

Для РЕД ОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-kernel-lt-2001252/?sphrase_id=646349

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Для ОС Astra Linux:

- обновить пакет linux до 5.4.0-202.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:

- обновить пакет linux до 5.4.0-202.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-41020
CVE

EPSS

Процентиль: 59%

0.00389

Низкий

6.7 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2024-41020

ubuntu

11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: filelock: Fix fcntl/close race recovery compat path When I wrote commit 3cad1bc01041 ("filelock: Remove locks reliably when fcntl/close race is detected"), I missed that there are two copies of the code I was patching: The normal version, and the version for 64-bit offsets on 32-bit kernels. Thanks to Greg KH for stumbling over this while doing the stable backport... Apply exactly the same fix to the compat path for 32-bit kernels.