BDU:2024-08998

Опубликовано: 30 авг. 2024

Источник: fstec

CVSS3: 7

CVSS2: 6

EPSS Низкий

Описание

Уязвимость функции nbd_requeue_cmd() в модуле drivers/block/nbd.c ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Red Hat Inc.

АО "НППКТ"

Наименование ПО

Ubuntu

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

Red Hat Enterprise Linux

Linux

ОСОН ОСнова Оnyx

Версия ПО

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

24.04 LTS (Ubuntu)

1.8 (Astra Linux Special Edition)

24.10 (Ubuntu)

от 6.2 до 6.6.53 включительно (Linux)

от 6.7 до 6.10.12 включительно (Linux)

от 6.11 до 6.11.1 включительно (Linux)

5.17.15 (Linux)

от 5.18.4 до 6.1.112 включительно (Linux)

до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Canonical Ltd. Ubuntu 24.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Canonical Ltd. Ubuntu 24.10

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.53 включительно

Сообщество свободного программного обеспечения Linux от 6.7 до 6.10.12 включительно

Сообщество свободного программного обеспечения Linux от 6.11 до 6.11.1 включительно

Сообщество свободного программного обеспечения Linux 5.17.15

Сообщество свободного программного обеспечения Linux от 5.18.4 до 6.1.112 включительно

АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/9a74c3e6c0d686c26ba2aab66d15ddb89dc139cc

https://git.kernel.org/stable/c/9c25faf72d780a9c71081710cd48759d61ff6e9b

https://git.kernel.org/stable/c/6e73b946a379a1dfbb62626af93843bdfb53753d

https://git.kernel.org/stable/c/5236ada8ebbd9e7461f17477357582f5be4f46f7

https://git.kernel.org/stable/c/c9ea57c91f03bcad415e1a20113bdb2077bcf990

https://lore.kernel.org/linux-cve-announce/2024102153-CVE-2024-49855-8997@gregkh/

https://git.kernel.org/linus/c9ea57c91f03bcad415e1a20113bdb2077bcf990

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.17.16

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.113

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.54

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.10.13

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.11.2

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-49855

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2024-49855

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Для Ubuntu:

https://ubuntu.com/security/CVE-2024-49855

Для РЕД ОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Для ОС Astra Linux:

обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:

обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 14%

0.00045

Низкий

7 High

CVSS3

6 Medium

CVSS2

Связанные уязвимости

CVE-2024-49855

CVSS3: 7

ubuntu

10 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: nbd: fix race between timeout and normal completion If request timetout is handled by nbd_requeue_cmd(), normal completion has to be stopped for avoiding to complete this requeued request, other use-after-free can be triggered. Fix the race by clearing NBD_CMD_INFLIGHT in nbd_requeue_cmd(), meantime make sure that cmd->lock is grabbed for clearing the flag and the requeue.

CVE-2024-49855

CVSS3: 6.4

redhat

10 месяцев назад

CVE-2024-49855

CVSS3: 7

nvd

10 месяцев назад

CVE-2024-49855

CVSS3: 7

msrc

9 месяцев назад

Описание отсутствует

CVE-2024-49855

CVSS3: 7

debian

10 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: n ...

EPSS

Процентиль: 14%

0.00045

Низкий

7 High

CVSS3

6 Medium

CVSS2