BDU:2025-01050

Опубликовано: 24 апр. 2024

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость компонента scsi ядра операционной системы Linux связана с ошибками управления ресурсами. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Novell Inc.

Red Hat Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Наименование ПО

OpenSUSE Leap

Red Hat Enterprise Linux

Suse Linux Enterprise Server

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE Linux Enterprise Workstation Extension

SUSE Linux Enterprise Live Patching

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

SUSE Linux Enterprise High Availability Extension

Suse Linux Enterprise Desktop

SUSE Linux Enterprise High Performance Computing

SUSE Linux Enterprise Module for Basesystem

SUSE Linux Enterprise Module for Development Tools

SUSE Linux Enterprise Module for Public Cloud

SUSE Linux Enterprise Real Time

SUSE Linux Enterprise Module for Legacy Software

SUSE Linux Enterprise Micro

openSUSE Leap Micro

SUSE Liberty Linux

SUSE Real Time Module

Linux

Версия ПО

15.5 (OpenSUSE Leap)

8 (Red Hat Enterprise Linux)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

12 SP5 (SUSE Linux Enterprise Workstation Extension)

12 SP5 (SUSE Linux Enterprise Live Patching)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

9 (Red Hat Enterprise Linux)

12 SP5 (SUSE Linux Enterprise High Availability Extension)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Basesystem)

15 SP5 (SUSE Linux Enterprise Module for Development Tools)

15 SP5 (SUSE Linux Enterprise Module for Public Cloud)

15 SP5 (SUSE Linux Enterprise Real Time)

15 SP5 (SUSE Linux Enterprise Module for Legacy Software)

12 SP5 (SUSE Linux Enterprise Real Time)

15 SP5 (SUSE Linux Enterprise Live Patching)

15 SP5 (SUSE Linux Enterprise Workstation Extension)

5.5 (SUSE Linux Enterprise Micro)

5.5 (openSUSE Leap Micro)

9 (SUSE Liberty Linux)

9.2 Extended Update Support (Red Hat Enterprise Linux)

8 (SUSE Liberty Linux)

15 SP5 (SUSE Real Time Module)

15 SP6 (Suse Linux Enterprise Desktop)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15 SP6 (SUSE Linux Enterprise High Performance Computing)

15 SP6 (SUSE Linux Enterprise Module for Basesystem)

15 SP6 (SUSE Linux Enterprise Workstation Extension)

15.6 (OpenSUSE Leap)

15 SP6 (SUSE Linux Enterprise Module for Development Tools)

9.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)

15 SP5 (SUSE Linux Enterprise High Availability Extension)

от 5.5 до 5.10.220 включительно (Linux)

от 5.11 до 5.15.161 включительно (Linux)

от 4.20 до 5.4.278 включительно (Linux)

от 5.16 до 6.1.95 включительно (Linux)

от 6.2 до 6.6.35 включительно (Linux)

от 6.7 до 6.9.6 включительно (Linux)

6.0 (SUSE Linux Enterprise Micro)

15 SP6 (SUSE Linux Enterprise Module for Legacy Software)

1.8 (Astra Linux Special Edition)

15 SP6 (SUSE Linux Enterprise High Availability Extension)

15 SP6 (SUSE Linux Enterprise Live Patching)

15 SP6 (SUSE Linux Enterprise Module for Public Cloud)

15 SP6 (SUSE Linux Enterprise Real Time)

15 SP6 (SUSE Real Time Module)

6.1 (SUSE Linux Enterprise Micro)

от 2.6.12 до 4.19.316 включительно (Linux)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Сообщество свободного программного обеспечения Linux до 6.1.96

Сообщество свободного программного обеспечения Linux до 5.10.221

Сообщество свободного программного обеспечения Linux до 4.19.317

Сообщество свободного программного обеспечения Linux до 5.15.162

Сообщество свободного программного обеспечения Linux до 6.10 rc1

Сообщество свободного программного обеспечения Linux до 6.6.36

Сообщество свободного программного обеспечения Linux до 6.9.7

Сообщество свободного программного обеспечения Linux до 5.4.279

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://lore.kernel.org/linux-cve-announce/2024071231-CVE-2024-40978-d135@gregkh/

https://git.kernel.org/stable/c/144d76a676b630e321556965011b00e2de0b40a7

https://git.kernel.org/stable/c/21c963de2e86e88f6a8ca556bcebb8e62ab8e901

https://git.kernel.org/stable/c/28027ec8e32ecbadcd67623edb290dad61e735b5

https://git.kernel.org/stable/c/397a8990c377ee4b61d6df768e61dff9e316d46b

https://git.kernel.org/stable/c/56bec63a7fc87ad50b3373a87517dc9770eef9e0

https://git.kernel.org/stable/c/e2f433ea7d0ff77998766a088a287337fb43ad75

https://git.kernel.org/stable/c/eaddb86637669f6bad89245ee63f8fb2bfb50241

https://git.kernel.org/stable/c/fa85b016a56b9775a3fe41e5d26e666945963b46

Для РедоС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-40978

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2024-40978

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2024-40978.html

Для ОС Astra Linux:

- обновить пакет linux до 5.4.0-202.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:

- обновить пакет linux до 5.4.0-202.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-40978
CVE

EPSS

Процентиль: 49%

0.00259

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2024-40978

ubuntu

11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: scsi: qedi: Fix crash while reading debugfs attribute The qedi_dbg_do_not_recover_cmd_read() function invokes sprintf() directly on a __user pointer, which results into the crash. To fix this issue, use a small local stack buffer for sprintf() and then call simple_read_from_buffer(), which in turns make the copy_to_user() call. BUG: unable to handle page fault for address: 00007f4801111000 PGD 8000000864df6067 P4D 8000000864df6067 PUD 864df7067 PMD 846028067 PTE 0 Oops: 0002 [#1] PREEMPT SMP PTI Hardware name: HPE ProLiant DL380 Gen10/ProLiant DL380 Gen10, BIOS U30 06/15/2023 RIP: 0010:memcpy_orig+0xcd/0x130 RSP: 0018:ffffb7a18c3ffc40 EFLAGS: 00010202 RAX: 00007f4801111000 RBX: 00007f4801111000 RCX: 000000000000000f RDX: 000000000000000f RSI: ffffffffc0bfd7a0 RDI: 00007f4801111000 RBP: ffffffffc0bfd7a0 R08: 725f746f6e5f6f64 R09: 3d7265766f636572 R10: ffffb7a18c3ffd08 R11: 0000000000000000 R12: 00007f4881110fff R...