BDU:2025-00170

Опубликовано: 28 сент. 2024

Источник: fstec

CVSS3: 7.8

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость функции sisfb_search_mode() в модуле drivers/video/fbdev/sis/sis_main.c ядра операционной системы Linux связана с записью памяти за пределами выделенного буфера. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Наименование ПО

Ubuntu

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

Linux

Версия ПО

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

22.04 LTS (Ubuntu)

24.04 LTS (Ubuntu)

1.8 (Astra Linux Special Edition)

24.10 (Ubuntu)

от 5.11 до 5.15.167 включительно (Linux)

от 5.16 до 6.1.112 включительно (Linux)

от 6.7 до 6.11.3 включительно (Linux)

от 6.2 до 6.6.56 включительно (Linux)

от 4.20 до 5.4.284 включительно (Linux)

от 5.5 до 5.10.226 включительно (Linux)

от 4.0 до 4.19.322 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

Canonical Ltd. Ubuntu 22.04 LTS

Canonical Ltd. Ubuntu 24.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Canonical Ltd. Ubuntu 24.10

Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.167 включительно

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.112 включительно

Сообщество свободного программного обеспечения Linux от 6.7 до 6.11.3 включительно

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.56 включительно

Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.284 включительно

Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.226 включительно

Сообщество свободного программного обеспечения Linux от 4.0 до 4.19.322 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/9cf14f5a2746c19455ce9cb44341b5527b5e19c3

https://git.kernel.org/stable/c/57c4f4db0a194416da237fd09dad9527e00cb587

https://git.kernel.org/stable/c/889304120ecb2ca30674d89cd4ef15990b6a571c

https://git.kernel.org/stable/c/41cf6f26abe4f491b694c54bd1aa2530369b7510

https://git.kernel.org/stable/c/688872c4ea4a528cd6a057d545c83506b533ee1f

https://git.kernel.org/stable/c/252f147b1826cbb30ae0304cf86b66d3bb12b743

https://git.kernel.org/stable/c/433c84c8495008922534c5cafdae6ff970fb3241

https://git.kernel.org/stable/c/11c0d49093b82f6c547fd419c41a982d26bdf5ef

https://lore.kernel.org/linux-cve-announce/2024110832-CVE-2024-50180-40c4@gregkh/

https://git.kernel.org/linus/9cf14f5a2746c19455ce9cb44341b5527b5e19c3

https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.323

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.285

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.227

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.168

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.113

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.57

https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.11.4

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-50180

Для Ubuntu:

https://ubuntu.com/security/CVE-2024-50180

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-50180
CVE

EPSS

Процентиль: 7%

0.0003

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2024-50180

CVSS3: 7.8

ubuntu

7 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: fbdev: sisfb: Fix strbuf array overflow The values of the variables xres and yres are placed in strbuf. These variables are obtained from strbuf1. The strbuf1 array contains digit characters and a space if the array contains non-digit characters. Then, when executing sprintf(strbuf, "%ux%ux8", xres, yres); more than 16 bytes will be written to strbuf. It is suggested to increase the size of the strbuf array to 24. Found by Linux Verification Center (linuxtesting.org) with SVACE.

CVE-2024-50180

CVSS3: 7.8

redhat

7 месяцев назад

CVE-2024-50180

CVSS3: 7.8

nvd

7 месяцев назад

CVE-2024-50180

CVSS3: 7.8

msrc

6 месяцев назад

Описание отсутствует

CVE-2024-50180

CVSS3: 7.8

debian

7 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: f ...

EPSS

Процентиль: 7%

0.0003

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2