Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00153

Опубликовано: 05 нояб. 2024
Источник: fstec
CVSS3: 7.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость функции __handle_ksmbd_work() в модуле fs/smb/server/server.c внутриядерного CIFS/SMB3-сервера ksmbd server ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»

Наименование ПО

Ubuntu
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Linux

Версия ПО

20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
22.04 LTS (Ubuntu)
24.04 LTS (Ubuntu)
1.8 (Astra Linux Special Edition)
24.10 (Ubuntu)
от 5.15.171 до 5.15.173 включительно (Linux)
от 6.1.114 до 6.1.116 включительно (Linux)
от 6.6.58 до 6.6.60 включительно (Linux)
от 6.11.5 до 6.11.7 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Canonical Ltd. Ubuntu 22.04 LTS
Canonical Ltd. Ubuntu 24.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Canonical Ltd. Ubuntu 24.10
Сообщество свободного программного обеспечения Linux от 5.15.171 до 5.15.173 включительно
Сообщество свободного программного обеспечения Linux от 6.1.114 до 6.1.116 включительно
Сообщество свободного программного обеспечения Linux от 6.6.58 до 6.6.60 включительно
Сообщество свободного программного обеспечения Linux от 6.11.5 до 6.11.7 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Linux:
https://git.kernel.org/stable/c/b8fc56fbca7482c1e5c0e3351c6ae78982e25ada
https://git.kernel.org/stable/c/c6cdc08c25a868a08068dfc319fa9fce982b8e7f
https://git.kernel.org/stable/c/cb645064e0811053c94e86677f2e58ed29359d62
https://git.kernel.org/stable/c/f7557bbca40d4ca8bb1c6c940ac6c95078bd0827
https://git.kernel.org/stable/c/1b6ad475d4ed577d34e0157eb507be00c588bf5c
https://lore.kernel.org/linux-cve-announce/2024111944-CVE-2024-50283-3aad@gregkh/
https://git.kernel.org/linus/b8fc56fbca7482c1e5c0e3351c6ae78982e25ada
https://git.linuxtesting.ru/pub/scm/linux/kernel/git/lvc/linux-stable.git/commit/?h=v6.1.118-lvc9&id=f7557bbca40d4ca8bb1c6c940ac6c95078bd0827
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.174
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.117
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.61
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.11.8
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-50283
Для Ubuntu:
https://ubuntu.com/security/CVE-2024-50283
Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 7%
0.00029
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-50283

CVSS3: 7.8
ubuntu
7 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: ksmbd: fix slab-use-after-free in smb3_preauth_hash_rsp ksmbd_user_session_put should be called under smb3_preauth_hash_rsp(). It will avoid freeing session before calling smb3_preauth_hash_rsp().

redhat логотип

CVE-2024-50283

CVSS3: 7.8
redhat
7 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: ksmbd: fix slab-use-after-free in smb3_preauth_hash_rsp ksmbd_user_session_put should be called under smb3_preauth_hash_rsp(). It will avoid freeing session before calling smb3_preauth_hash_rsp().

nvd логотип

CVE-2024-50283

CVSS3: 7.8
nvd
7 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: ksmbd: fix slab-use-after-free in smb3_preauth_hash_rsp ksmbd_user_session_put should be called under smb3_preauth_hash_rsp(). It will avoid freeing session before calling smb3_preauth_hash_rsp().

msrc логотип

CVE-2024-50283

CVSS3: 7.8
msrc
5 месяцев назад

Описание отсутствует

debian логотип

CVE-2024-50283

CVSS3: 7.8
debian
7 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: k ...

EPSS

Процентиль: 7%
0.00029
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2