Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03012

Опубликовано: 04 июн. 2024
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость функции io_register_iowq_max_workers() модуля io_uring/io_uring.c интерфейса асинхронного ввода/вывода ядра операционной системы Linux связана с возникновением взаимной блокировки. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
Linux

Версия ПО

11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.8 (Astra Linux Special Edition)
от 6.7 до 6.9.10 включительно (Linux)
от 5.16 до 6.1.117 включительно (Linux)
от 6.2 до 6.6.61 включительно (Linux)
от 5.15 до 5.15.172 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Сообщество свободного программного обеспечения Linux от 6.7 до 6.9.10 включительно
Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.117 включительно
Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.61 включительно
Сообщество свободного программного обеспечения Linux от 5.15 до 5.15.172 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Linux:
https://lore.kernel.org/linux-cve-announce/2024072926-CVE-2024-41080-6385@gregkh/
https://git.kernel.org/linus/73254a297c2dd094abec7c9efee32455ae875bdf
https://git.kernel.org/stable/c/950ac86cff338ab56e2eaf611f4936ee34893b63
https://git.kernel.org/stable/c/97ed7ff58de66c544692b3c2b988f3f594348de0
https://git.kernel.org/stable/c/fdacd09f2ddf7a00787291f08ee48c0421e5b709
https://git.kernel.org/stable/c/b17397a0a5c56e111f61cb5b77d162664dc00de9
https://git.kernel.org/stable/c/b571a367502c7ef94c688ef9c7f7d69a2ce3bcca
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.173
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.118
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.62
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.11
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-41080
Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 18%
0.00057
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-41080

CVSS3: 5.5
ubuntu
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: io_uring: fix possible deadlock in io_register_iowq_max_workers() The io_register_iowq_max_workers() function calls io_put_sq_data(), which acquires the sqd->lock without releasing the uring_lock. Similar to the commit 009ad9f0c6ee ("io_uring: drop ctx->uring_lock before acquiring sqd->lock"), this can lead to a potential deadlock situation. To resolve this issue, the uring_lock is released before calling io_put_sq_data(), and then it is re-acquired after the function call. This change ensures that the locks are acquired in the correct order, preventing the possibility of a deadlock.

redhat логотип

CVE-2024-41080

CVSS3: 5.5
redhat
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: io_uring: fix possible deadlock in io_register_iowq_max_workers() The io_register_iowq_max_workers() function calls io_put_sq_data(), which acquires the sqd->lock without releasing the uring_lock. Similar to the commit 009ad9f0c6ee ("io_uring: drop ctx->uring_lock before acquiring sqd->lock"), this can lead to a potential deadlock situation. To resolve this issue, the uring_lock is released before calling io_put_sq_data(), and then it is re-acquired after the function call. This change ensures that the locks are acquired in the correct order, preventing the possibility of a deadlock.

nvd логотип

CVE-2024-41080

CVSS3: 5.5
nvd
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: io_uring: fix possible deadlock in io_register_iowq_max_workers() The io_register_iowq_max_workers() function calls io_put_sq_data(), which acquires the sqd->lock without releasing the uring_lock. Similar to the commit 009ad9f0c6ee ("io_uring: drop ctx->uring_lock before acquiring sqd->lock"), this can lead to a potential deadlock situation. To resolve this issue, the uring_lock is released before calling io_put_sq_data(), and then it is re-acquired after the function call. This change ensures that the locks are acquired in the correct order, preventing the possibility of a deadlock.

debian логотип

CVE-2024-41080

CVSS3: 5.5
debian
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: i ...

github логотип

GHSA-hxr9-q428-7jhg

CVSS3: 5.5
github
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: io_uring: fix possible deadlock in io_register_iowq_max_workers() The io_register_iowq_max_workers() function calls io_put_sq_data(), which acquires the sqd->lock without releasing the uring_lock. Similar to the commit 009ad9f0c6ee ("io_uring: drop ctx->uring_lock before acquiring sqd->lock"), this can lead to a potential deadlock situation. To resolve this issue, the uring_lock is released before calling io_put_sq_data(), and then it is re-acquired after the function call. This change ensures that the locks are acquired in the correct order, preventing the possibility of a deadlock.

EPSS

Процентиль: 18%
0.00057
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2