BDU:2024-09931

Опубликовано: 24 янв. 2024

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость компонента mvpp2 ядра операционной системы Linux связана с использованием неинициализированного ресурса. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения

Canonical Ltd.

ООО «Ред Софт»

Наименование ПО

Debian GNU/Linux

Ubuntu

РЕД ОС

Linux

Версия ПО

10 (Debian GNU/Linux)

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

22.04 LTS (Ubuntu)

от 6.2 до 6.6.14 включительно (Linux)

от 5.11 до 5.15.148 включительно (Linux)

от 5.16 до 6.1.75 включительно (Linux)

от 6.7 до 6.7.2 включительно (Linux)

от 3.17 до 5.10.209 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

Canonical Ltd. Ubuntu 22.04 LTS

Сообщество свободного программного обеспечения Linux 6.8 rc1

Сообщество свободного программного обеспечения Linux от 6.6 до 6.6.15

Сообщество свободного программного обеспечения Linux от 6.7 до 6.7.3

Сообщество свободного программного обеспечения Linux от 6.1 до 6.1.76

Сообщество свободного программного обеспечения Linux от 5.15 до 5.15.149

Сообщество свободного программного обеспечения Linux от 3.17 до 5.10.210

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Нет опасности уровень опасности (оценка CVSS 4.0 составляет 0)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://lore.kernel.org/linux-cve-announce/2024051731-CVE-2024-35837-3159@gregkh/T/#u

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-35837

Для Ubuntu:

https://ubuntu.com/security/CVE-2024-35837

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-35837
CVE

EPSS

Процентиль: 36%

0.00145

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2024-35837

ubuntu

около 1 года назад

In the Linux kernel, the following vulnerability has been resolved: net: mvpp2: clear BM pool before initialization Register value persist after booting the kernel using kexec which results in kernel panic. Thus clear the BM pool registers before initialisation to fix the issue.