BDU:2024-10406

Опубликовано: 20 нояб. 2023

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость компонентов virtio/vsock ядра операционной системы Linux связана с использованием неинициализированного ресурса в функции virtio_transport_alloc_skb(). Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения

ООО «Ред Софт»

Red Hat Inc.

Наименование ПО

Debian GNU/Linux

РЕД ОС

Red Hat Enterprise Linux

Linux

Версия ПО

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

9 (Red Hat Enterprise Linux)

от 6.3 до 6.6.1 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

Red Hat Inc. Red Hat Enterprise Linux 9

Сообщество свободного программного обеспечения Linux 6.7 rc1

Сообщество свободного программного обеспечения Linux от 6.3 до 6.9.2

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Нет опасности уровень опасности (базовая оценка CVSS 4.0 составляет 0)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/0b8906fb48b99e993d6e8a12539f618f4854dd26

https://git.kernel.org/stable/c/34c4effacfc329aeca5635a69fd9e0f6c90b4101

https://git.kernel.org/stable/c/cd12535b97dd7d18cf655ec78ce1cf1f29a576be

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2023-52842

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2023-52842

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-52842
CVE

EPSS

Процентиль: 12%

0.00041

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2023-52842

CVSS3: 7.1

ubuntu

около 1 года назад

In the Linux kernel, the following vulnerability has been resolved: virtio/vsock: Fix uninit-value in virtio_transport_recv_pkt() KMSAN reported the following uninit-value access issue: ===================================================== BUG: KMSAN: uninit-value in virtio_transport_recv_pkt+0x1dfb/0x26a0 net/vmw_vsock/virtio_transport_common.c:1421 virtio_transport_recv_pkt+0x1dfb/0x26a0 net/vmw_vsock/virtio_transport_common.c:1421 vsock_loopback_work+0x3bb/0x5a0 net/vmw_vsock/vsock_loopback.c:120 process_one_work kernel/workqueue.c:2630 [inline] process_scheduled_works+0xff6/0x1e60 kernel/workqueue.c:2703 worker_thread+0xeca/0x14d0 kernel/workqueue.c:2784 kthread+0x3cc/0x520 kernel/kthread.c:388 ret_from_fork+0x66/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x11/0x20 arch/x86/entry/entry_64.S:304 Uninit was stored to memory at: virtio_transport_space_update net/vmw_vsock/virtio_transport_common.c:1274 [inline] virtio_transport_recv_pkt+0x1ee8/0x26a0 net/vmw_vsock/virtio_...

CVE-2023-52842

CVSS3: 4.4

redhat

около 1 года назад

CVE-2023-52842

CVSS3: 7.1

nvd

около 1 года назад

CVE-2023-52842

CVSS3: 7.1

debian

около 1 года назад

In the Linux kernel, the following vulnerability has been resolved: v ...

GHSA-gw29-2hc7-pv7h

CVSS3: 7.1

github

около 1 года назад

EPSS

Процентиль: 12%

0.00041

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2