BDU:2025-00151

Опубликовано: 27 сент. 2024

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость функции hci_user_confirm_request_evt() в модуле net/bluetooth/hci_event.c ядра операционной системы Linux связана с некорректной авторизацией. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность защищаемой информации

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

Red Hat Inc.

ООО «РусБИТех-Астра»

АО "НППКТ"

ООО «Открытая мобильная платформа»

Наименование ПО

Ubuntu

Debian GNU/Linux

Red Hat Enterprise Linux

Astra Linux Special Edition

Linux

ОСОН ОСнова Оnyx

ОС Аврора

Версия ПО

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

24.04 LTS (Ubuntu)

1.8 (Astra Linux Special Edition)

24.10 (Ubuntu)

от 6.11 до 6.11.2 включительно (Linux)

от 6.2 до 6.6.54 включительно (Linux)

от 6.7 до 6.10.13 включительно (Linux)

от 3.16 до 6.1.112 включительно (Linux)

до 2.13 (ОСОН ОСнова Оnyx)

до 5.1.4 включительно (ОС Аврора)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Canonical Ltd. Ubuntu 24.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Canonical Ltd. Ubuntu 24.10

Сообщество свободного программного обеспечения Linux от 6.11 до 6.11.2 включительно

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.54 включительно

Сообщество свободного программного обеспечения Linux от 6.7 до 6.10.13 включительно

Сообщество свободного программного обеспечения Linux от 3.16 до 6.1.112 включительно

АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

ООО «Открытая мобильная платформа» ОС Аврора до 5.1.4 включительно

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/linus/b25e11f978b63cb7857890edb3a698599cddb10e

https://git.kernel.org/stable/c/5291ff856d2c5177b4fe9c18828312be30213193

https://git.kernel.org/stable/c/830c03e58beb70b99349760f822e505ecb4eeb7e

https://git.kernel.org/stable/c/ad7adfb95f64a761e4784381e47bee1a362eb30d

https://git.kernel.org/stable/c/b25e11f978b63cb7857890edb3a698599cddb10e

https://git.kernel.org/stable/c/d17c631ba04e960eb6f8728b10d585de20ac4f71

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.113

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.55

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.10.14

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.11.3

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-53144

Для Ubuntu:

https://ubuntu.com/security/CVE-2024-53144

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2024-53144

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Обновление программного обеспечения linux до версии 6.6.90-0.osnova2u1

Для ОС Аврора: https://cve.omp.ru/bb27514

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-53144
CVE

EPSS

Процентиль: 2%

0.00014

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ROS-20260113-7384

CVSS3: 7.5

redos

27 дней назад

Уязвимость kernel-lt

CVE-2024-53144

CVSS3: 5.5

ubuntu

около 1 года назад

In the Linux kernel, the following vulnerability has been resolved: Bluetooth: hci_event: Align BR/EDR JUST_WORKS paring with LE This aligned BR/EDR JUST_WORKS method with LE which since 92516cd97fd4 ("Bluetooth: Always request for user confirmation for Just Works") always request user confirmation with confirm_hint set since the likes of bluetoothd have dedicated policy around JUST_WORKS method (e.g. main.conf:JustWorksRepairing). CVE: CVE-2024-8805

CVE-2024-53144

CVSS3: 5.5

redhat

около 1 года назад

CVE-2024-53144

CVSS3: 5.5

nvd

около 1 года назад

CVE-2024-53144

CVSS3: 5.5

debian

около 1 года назад

In the Linux kernel, the following vulnerability has been resolved: B ...

EPSS

Процентиль: 2%

0.00014

Низкий

7.5 High

CVSS3

7.8 High

CVSS2