BDU:2025-01667

Опубликовано: 11 июл. 2024

Источник: fstec

CVSS3: 7.1

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость компонента btrfs ядра операционной системы Linux связана с неправильной обработкой ошибок. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Наименование ПО

Ubuntu

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

Linux

Версия ПО

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

22.04 LTS (Ubuntu)

24.04 LTS (Ubuntu)

1.8 (Astra Linux Special Edition)

от 5.16 до 6.1.109 включительно (Linux)

от 6.2 до 6.6.50 включительно (Linux)

от 6.7 до 6.10.9 включительно (Linux)

от 2.6.12 до 5.15.166 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

Canonical Ltd. Ubuntu 22.04 LTS

Canonical Ltd. Ubuntu 24.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.110

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.51

Сообщество свободного программного обеспечения Linux до 6.11

Сообщество свободного программного обеспечения Linux от 6.7 до 6.11

Сообщество свободного программного обеспечения Linux до 5.15.167

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/b50857b96429a09fd3beed9f7f21b7bb7c433688

https://git.kernel.org/stable/c/0fbac73a97286a7ec72229cb9b42d760a2c717ac

https://git.kernel.org/stable/c/41a0f85e268d72fe04f731b8ceea4748c2d65491

https://git.kernel.org/stable/c/f895db00c65e5d77c437cce946da9ec29dcdf563

https://git.kernel.org/stable/c/b56329a782314fde5b61058e2a25097af7ccb675

Для РедоС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-46752

Для Ubuntu:

https://ubuntu.com/security/CVE-2024-46752

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-46752
CVE

EPSS

Процентиль: 33%

0.00128

Низкий

7.1 High

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2024-46752

ubuntu

9 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: btrfs: replace BUG_ON() with error handling at update_ref_for_cow() Instead of a BUG_ON() just return an error, log an error message and abort the transaction in case we find an extent buffer belonging to the relocation tree that doesn't have the full backref flag set. This is unexpected and should never happen (save for bugs or a potential bad memory).