Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-02792

Опубликовано: 07 дек. 2024
Источник: fstec
CVSS3: 7.1
CVSS2: 6.2
EPSS Низкий

Описание

Уязвимость функции iio_simple_dummy_trigger_h() драйвера drivers/iio/dummy/iio_simple_dummy_buffer.c поддержки драйверов-заглушек IIO ядра операционной системы Linux связана с использованием неинициализированного ресурса. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации.

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
АО "НППКТ"

Наименование ПО

Ubuntu
Debian GNU/Linux
РЕД ОС
Альт 8 СП
Linux
ОСОН ОСнова Оnyx

Версия ПО

18.04 LTS (Ubuntu)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
- (Альт 8 СП)
22.04 LTS (Ubuntu)
24.04 LTS (Ubuntu)
24.10 (Ubuntu)
от 5.11 до 5.15.176 включительно (Linux)
от 5.5 до 5.10.233 включительно (Linux)
от 5.16 до 6.1.124 включительно (Linux)
от 6.2 до 6.6.71 включительно (Linux)
от 6.7 до 6.12.9 включительно (Linux)
от 4.5 до 5.4.289 включительно (Linux)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 22.04 LTS
Canonical Ltd. Ubuntu 24.04 LTS
Canonical Ltd. Ubuntu 24.10
Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.176 включительно
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.233 включительно
Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.124 включительно
Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.71 включительно
Сообщество свободного программного обеспечения Linux от 6.7 до 6.12.9 включительно
Сообщество свободного программного обеспечения Linux от 4.5 до 5.4.289 включительно
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Linux:
https://lore.kernel.org/linux-cve-announce/2025011939-CVE-2024-57911-0e13@gregkh/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-57911
Для Ubuntu:
https://ubuntu.com/security/CVE-2024-57911
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-kernel-lt-140525/?sphrase_id=966562
Обновление программного обеспечения linux до версии 6.6.90-0.osnova2u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 4%
0.00021
Низкий

7.1 High

CVSS3

6.2 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-57911

CVSS3: 7.1
ubuntu
5 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: iio: dummy: iio_simply_dummy_buffer: fix information leak in triggered buffer The 'data' array is allocated via kmalloc() and it is used to push data to user space from a triggered buffer, but it does not set values for inactive channels, as it only uses iio_for_each_active_channel() to assign new values. Use kzalloc for the memory allocation to avoid pushing uninitialized information to userspace.

redhat логотип

CVE-2024-57911

CVSS3: 6
redhat
5 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: iio: dummy: iio_simply_dummy_buffer: fix information leak in triggered buffer The 'data' array is allocated via kmalloc() and it is used to push data to user space from a triggered buffer, but it does not set values for inactive channels, as it only uses iio_for_each_active_channel() to assign new values. Use kzalloc for the memory allocation to avoid pushing uninitialized information to userspace.

nvd логотип

CVE-2024-57911

CVSS3: 7.1
nvd
5 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: iio: dummy: iio_simply_dummy_buffer: fix information leak in triggered buffer The 'data' array is allocated via kmalloc() and it is used to push data to user space from a triggered buffer, but it does not set values for inactive channels, as it only uses iio_for_each_active_channel() to assign new values. Use kzalloc for the memory allocation to avoid pushing uninitialized information to userspace.

msrc логотип

CVE-2024-57911

CVSS3: 7.1
msrc
около 2 месяцев назад

Описание отсутствует

debian логотип

CVE-2024-57911

CVSS3: 7.1
debian
5 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: i ...

EPSS

Процентиль: 4%
0.00021
Низкий

7.1 High

CVSS3

6.2 Medium

CVSS2