Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08329

Опубликовано: 06 июл. 2024
Источник: fstec
CVSS3: 7.1
CVSS2: 6.2
EPSS Низкий

Описание

Уязвимость функции hfsplus_listxattr() в модуле fs/hfsplus/xattr.c файловой системы HFS+ ядра операционной системы Linux связана с использованием неинициализированной памяти. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»

Наименование ПО

Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Linux

Версия ПО

11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
1.8 (Astra Linux Special Edition)
от 4.20 до 5.4.280 включительно (Linux)
от 5.5 до 5.10.222 включительно (Linux)
от 5.11 до 5.15.163 включительно (Linux)
от 5.16 до 6.1.100 включительно (Linux)
от 6.2 до 6.6.41 включительно (Linux)
от 6.7 до 6.9.10 включительно (Linux)
от 3.16 до 4.19.318 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Сообщество свободного программного обеспечения Linux от 4.0 до 4.19.318 включительно
Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.280 включительно
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.222 включительно
Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.163 включительно
Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.100 включительно
Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.41 включительно
Сообщество свободного программного обеспечения Linux от 6.7 до 6.9.10 включительно
Сообщество свободного программного обеспечения Linux от 3.16 до 4.19.318 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

Для Linux:
https://git.kernel.org/stable/c/0570730c16307a72f8241df12363f76600baf57d
https://git.kernel.org/stable/c/34f8efd2743f2d961e92e8e994de4c7a2f9e74a0
https://git.kernel.org/stable/c/22999936b91ba545ce1fbbecae6895127945e91c
https://git.kernel.org/stable/c/c733e24a61cbcff10f660041d6d84d32bb7e4cb4
https://git.kernel.org/stable/c/d02d8c1dacafb28930c39e16d48e40bb6e4cbc70
https://git.kernel.org/stable/c/72805debec8f7aa342da194fe0ed7bc8febea335
https://git.kernel.org/stable/c/ad57dc2caf1e0a3c0a9904400fae7afbc9f74bb2
https://git.kernel.org/stable/c/f08956d8e0f80fd0d4ad84ec917302bb2f3a9c6a
https://lore.kernel.org/linux-cve-announce/2024072905-CVE-2024-41059-30cc@gregkh/
https://git.kernel.org/linus/0570730c16307a72f8241df12363f76600baf57d
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.319
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.281
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.223
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.164
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.101
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.42
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.11
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-41059
Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 11%
0.00038
Низкий

7.1 High

CVSS3

6.2 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250122-02

CVSS3: 7.8
redos
5 месяцев назад

Множественные уязвимости kernel-lt

ubuntu логотип

CVE-2024-41059

CVSS3: 7.1
ubuntu
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: hfsplus: fix uninit-value in copy_name [syzbot reported] BUG: KMSAN: uninit-value in sized_strscpy+0xc4/0x160 sized_strscpy+0xc4/0x160 copy_name+0x2af/0x320 fs/hfsplus/xattr.c:411 hfsplus_listxattr+0x11e9/0x1a50 fs/hfsplus/xattr.c:750 vfs_listxattr fs/xattr.c:493 [inline] listxattr+0x1f3/0x6b0 fs/xattr.c:840 path_listxattr fs/xattr.c:864 [inline] __do_sys_listxattr fs/xattr.c:876 [inline] __se_sys_listxattr fs/xattr.c:873 [inline] __x64_sys_listxattr+0x16b/0x2f0 fs/xattr.c:873 x64_sys_call+0x2ba0/0x3b50 arch/x86/include/generated/asm/syscalls_64.h:195 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcf/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Uninit was created at: slab_post_alloc_hook mm/slub.c:3877 [inline] slab_alloc_node mm/slub.c:3918 [inline] kmalloc_trace+0x57b/0xbe0 mm/slub.c:4065 kmalloc include/linux/slab.h:628 [inline] hfsplus_listxattr+0x4cc/0x1a50 fs...

redhat логотип

CVE-2024-41059

CVSS3: 7.1
redhat
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: hfsplus: fix uninit-value in copy_name [syzbot reported] BUG: KMSAN: uninit-value in sized_strscpy+0xc4/0x160 sized_strscpy+0xc4/0x160 copy_name+0x2af/0x320 fs/hfsplus/xattr.c:411 hfsplus_listxattr+0x11e9/0x1a50 fs/hfsplus/xattr.c:750 vfs_listxattr fs/xattr.c:493 [inline] listxattr+0x1f3/0x6b0 fs/xattr.c:840 path_listxattr fs/xattr.c:864 [inline] __do_sys_listxattr fs/xattr.c:876 [inline] __se_sys_listxattr fs/xattr.c:873 [inline] __x64_sys_listxattr+0x16b/0x2f0 fs/xattr.c:873 x64_sys_call+0x2ba0/0x3b50 arch/x86/include/generated/asm/syscalls_64.h:195 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcf/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Uninit was created at: slab_post_alloc_hook mm/slub.c:3877 [inline] slab_alloc_node mm/slub.c:3918 [inline] kmalloc_trace+0x57b/0xbe0 mm/slub.c:4065 kmalloc include/linux/slab.h:628 [inline] hfsplus_listxattr+0x4cc/0x1a50 fs/hf...

nvd логотип

CVE-2024-41059

CVSS3: 7.1
nvd
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: hfsplus: fix uninit-value in copy_name [syzbot reported] BUG: KMSAN: uninit-value in sized_strscpy+0xc4/0x160 sized_strscpy+0xc4/0x160 copy_name+0x2af/0x320 fs/hfsplus/xattr.c:411 hfsplus_listxattr+0x11e9/0x1a50 fs/hfsplus/xattr.c:750 vfs_listxattr fs/xattr.c:493 [inline] listxattr+0x1f3/0x6b0 fs/xattr.c:840 path_listxattr fs/xattr.c:864 [inline] __do_sys_listxattr fs/xattr.c:876 [inline] __se_sys_listxattr fs/xattr.c:873 [inline] __x64_sys_listxattr+0x16b/0x2f0 fs/xattr.c:873 x64_sys_call+0x2ba0/0x3b50 arch/x86/include/generated/asm/syscalls_64.h:195 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcf/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Uninit was created at: slab_post_alloc_hook mm/slub.c:3877 [inline] slab_alloc_node mm/slub.c:3918 [inline] kmalloc_trace+0x57b/0xbe0 mm/slub.c:4065 kmalloc include/linux/slab.h:628 [inline] hfsplus_listxattr+

debian логотип

CVE-2024-41059

CVSS3: 7.1
debian
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: h ...

EPSS

Процентиль: 11%
0.00038
Низкий

7.1 High

CVSS3

6.2 Medium

CVSS2