BDU:2024-08995

Опубликовано: 22 авг. 2024

Источник: fstec

CVSS3: 7.8

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость функции efc_nport_vport_del() в модуле drivers/scsi/elx/libefc/efc_nport.c ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Canonical Ltd.

АО "НППКТ"

Наименование ПО

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

Ubuntu

Linux

ОСОН ОСнова Оnyx

Версия ПО

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

24.04 LTS (Ubuntu)

1.8 (Astra Linux Special Edition)

24.10 (Ubuntu)

от 5.16 до 6.1.112 включительно (Linux)

от 6.2 до 6.6.53 включительно (Linux)

от 6.7 до 6.10.12 включительно (Linux)

от 6.11 до 6.11.1 включительно (Linux)

от 5.14 до 5.15.167 включительно (Linux)

до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Canonical Ltd. Ubuntu 24.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Canonical Ltd. Ubuntu 24.10

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.112 включительно

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.53 включительно

Сообщество свободного программного обеспечения Linux от 6.7 до 6.10.12 включительно

Сообщество свободного программного обеспечения Linux от 6.11 до 6.11.1 включительно

Сообщество свободного программного обеспечения Linux от 5.14 до 5.15.167 включительно

АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/baeb8628ab7f4577740f00e439d3fdf7c876b0ff

https://git.kernel.org/stable/c/98752fcd076a8cbc978016eae7125b4971be1eec

https://git.kernel.org/stable/c/16a570f07d870a285b0c0b0d1ca4dff79e8aa5ff

https://git.kernel.org/stable/c/7c2908985e4ae0ea1b526b3916de9e5351650908

https://git.kernel.org/stable/c/2e4b02fad094976763af08fec2c620f4f8edd9ae

https://git.kernel.org/stable/c/abc71e89170ed32ecf0a5a29f31aa711e143e941

https://git.kernel.org/linus/2e4b02fad094976763af08fec2c620f4f8edd9ae

https://lore.kernel.org/linux-cve-announce/2024102152-CVE-2024-49852-875e@gregkh/

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.168

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.113

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.54

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.10.13

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.11.2

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-49852

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Для РЕД ОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Ubuntu:

https://ubuntu.com/security/CVE-2024-47752

Компенсирующие меры:

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Для ОС Astra Linux:

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 10%

0.00038

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2024-49852

CVSS3: 7.8

ubuntu

8 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: scsi: elx: libefc: Fix potential use after free in efc_nport_vport_del() The kref_put() function will call nport->release if the refcount drops to zero. The nport->release release function is _efc_nport_free() which frees "nport". But then we dereference "nport" on the next line which is a use after free. Re-order these lines to avoid the use after free.

CVE-2024-49852

CVSS3: 7.8

redhat

8 месяцев назад

CVE-2024-49852

CVSS3: 7.8

nvd

8 месяцев назад

CVE-2024-49852

CVSS3: 7.8

msrc

7 месяцев назад

Описание отсутствует

CVE-2024-49852

CVSS3: 7.8

debian

8 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: s ...

EPSS

Процентиль: 10%

0.00038

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2