BDU:2025-01956

Опубликовано: 13 авг. 2024

Источник: fstec

CVSS3: 7.8

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость компонента char ядра операционной системы Linux связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Наименование ПО

Ubuntu

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

Linux

Версия ПО

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

22.04 LTS (Ubuntu)

24.04 LTS (Ubuntu)

1.8 (Astra Linux Special Edition)

от 5.16 до 6.1.106 включительно (Linux)

от 6.2 до 6.6.47 включительно (Linux)

от 6.7 до 6.10.6 включительно (Linux)

от 5.14 до 5.15.165 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

Canonical Ltd. Ubuntu 22.04 LTS

Canonical Ltd. Ubuntu 24.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.107

Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.48

Сообщество свободного программного обеспечения Linux от 6.7 до 6.11

Сообщество свободного программного обеспечения Linux до 5.15.166

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://lore.kernel.org/linux-cve-announce/2024090452-CVE-2024-45007-74c8@gregkh/

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-45007

Для Ubuntu:

https://ubuntu.com/security/CVE-2024-45007

Для ОС Astra Linux:

- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-45007
CVE

EPSS

Процентиль: 35%

0.00141

Низкий

7.8 High

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2024-45007

ubuntu

10 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: char: xillybus: Don't destroy workqueue from work item running on it Triggered by a kref decrement, destroy_workqueue() may be called from within a work item for destroying its own workqueue. This illegal situation is averted by adding a module-global workqueue for exclusive use of the offending work item. Other work items continue to be queued on per-device workqueues to ensure performance.