Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08403

Опубликовано: 16 дек. 2023
Источник: fstec
CVSS3: 4.4
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость компонента mhi ядра операционной системы Linux связана с сбросом блокировки канала перед постановкой в очередь буферов. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»

Наименование ПО

Astra Linux Special Edition
Ubuntu
Debian GNU/Linux
РЕД ОС
Linux

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
22.04 LTS (Ubuntu)
4.7 (Astra Linux Special Edition)
23.10 (Ubuntu)
от 6.2 до 6.6.14 включительно (Linux)
от 5.11 до 5.15.148 включительно (Linux)
от 5.16 до 6.1.75 включительно (Linux)
от 6.7 до 6.7.2 включительно (Linux)
от 5.7 до 5.10.209 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Canonical Ltd. Ubuntu 22.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 23.10
Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.149
Сообщество свободного программного обеспечения Linux 6.8 rc1
Сообщество свободного программного обеспечения Linux от 6.6 до 6.6.15
Сообщество свободного программного обеспечения Linux от 6.7 до 6.7.3
Сообщество свободного программного обеспечения Linux от 6.1 до 6.1.76
Сообщество свободного программного обеспечения Linux от 5.7 до 5.10.210

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Linux:
https://lore.kernel.org/linux-cve-announce/20240229155245.1571576-34-lee@kernel.org/T/#u
https://git.kernel.org/linus/01bd694ac2f682fb8017e16148b928482bc8fa4b
https://git.kernel.org/stable/c/01bd694ac2f682fb8017e16148b928482bc8fa4b
https://git.kernel.org/stable/c/20a6dea2d1c68d4e03c6bb50bc12e72e226b5c0e
https://git.kernel.org/stable/c/3c5ec66b4b3f6816f3a6161538672e389e537690
https://git.kernel.org/stable/c/6e4c84316e2b70709f0d00c33ba3358d9fc8eece
https://git.kernel.org/stable/c/b8eff20d87092e14cac976d057cb0aea2f1d0830
https://git.kernel.org/stable/c/eaefb9464031215d63c0a8a7e2bfaa00736aa17e
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.210
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.149
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.76
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.15
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.7.3
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-52493
Для Ubuntu:
https://ubuntu.com/security/CVE-2023-52493
Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет linux-5.10 до 5.10.216-1.astra2+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет linux-5.15 до 5.15.0-111.astra2+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет linux-5.10 до 5.10.216-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет linux-5.15 до 5.15.0-111.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет linux-6.1 до 6.1.90-1.astra3+ci156 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 0%
0.00006
Низкий

4.4 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-52493

CVSS3: 5.5
ubuntu
больше 1 года назад

In the Linux kernel, the following vulnerability has been resolved: bus: mhi: host: Drop chan lock before queuing buffers Ensure read and write locks for the channel are not taken in succession by dropping the read lock from parse_xfer_event() such that a callback given to client can potentially queue buffers and acquire the write lock in that process. Any queueing of buffers should be done without channel read lock acquired as it can result in multiple locks and a soft lockup. [mani: added fixes tag and cc'ed stable]

redhat логотип

CVE-2023-52493

CVSS3: 4.4
redhat
больше 1 года назад

In the Linux kernel, the following vulnerability has been resolved: bus: mhi: host: Drop chan lock before queuing buffers Ensure read and write locks for the channel are not taken in succession by dropping the read lock from parse_xfer_event() such that a callback given to client can potentially queue buffers and acquire the write lock in that process. Any queueing of buffers should be done without channel read lock acquired as it can result in multiple locks and a soft lockup. [mani: added fixes tag and cc'ed stable]

nvd логотип

CVE-2023-52493

CVSS3: 5.5
nvd
больше 1 года назад

In the Linux kernel, the following vulnerability has been resolved: bus: mhi: host: Drop chan lock before queuing buffers Ensure read and write locks for the channel are not taken in succession by dropping the read lock from parse_xfer_event() such that a callback given to client can potentially queue buffers and acquire the write lock in that process. Any queueing of buffers should be done without channel read lock acquired as it can result in multiple locks and a soft lockup. [mani: added fixes tag and cc'ed stable]

debian логотип

CVE-2023-52493

CVSS3: 5.5
debian
больше 1 года назад

In the Linux kernel, the following vulnerability has been resolved: b ...

github логотип

GHSA-7vjh-prmq-cfm3

CVSS3: 5.5
github
больше 1 года назад

In the Linux kernel, the following vulnerability has been resolved: bus: mhi: host: Drop chan lock before queuing buffers Ensure read and write locks for the channel are not taken in succession by dropping the read lock from parse_xfer_event() such that a callback given to client can potentially queue buffers and acquire the write lock in that process. Any queueing of buffers should be done without channel read lock acquired as it can result in multiple locks and a soft lockup. [mani: added fixes tag and cc'ed stable]

EPSS

Процентиль: 0%
0.00006
Низкий

4.4 Medium

CVSS3

4.3 Medium

CVSS2