Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03024

Опубликовано: 21 мар. 2024
Источник: fstec
CVSS3: 5.5
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость функции ext4_xattr_set_entry() модуля fs/ext4/xattr.c файловой системы Ext4 ядра операционной системы Linux связана с недостаточной блокировкой ресурса. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Linux
Astra Linux Special Edition

Версия ПО

8 (Red Hat Enterprise Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
9 (Red Hat Enterprise Linux)
от 6.7 до 6.9.6 включительно (Linux)
1.8 (Astra Linux Special Edition)
от 6.2 до 6.6.46 включительно (Linux)
от 2.6.12 до 6.1.106 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Red Hat Inc. Red Hat Enterprise Linux 9
Сообщество свободного программного обеспечения Linux от 6.7 до 6.9.6 включительно
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.46 включительно
Сообщество свободного программного обеспечения Linux от 2.6.12 до 6.1.106 включительно

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Linux:
https://lore.kernel.org/linux-cve-announce/2024071229-CVE-2024-40972-1569@gregkh/
https://git.kernel.org/linus/0a46ef234756dca04623b7591e8ebb3440622f0b
https://git.kernel.org/stable/c/0752e7fb549d90c33b4d4186f11cfd25a556d1dd
https://git.kernel.org/stable/c/737fb7853acd5bc8984f6f42e4bfba3334be8ae1
https://git.kernel.org/stable/c/111103907234bffd0a34fba070ad9367de058752
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.107
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.47
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.7
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-40972
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-40972
Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 12%
0.00042
Низкий

5.5 Medium

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-40972

CVSS3: 5.5
ubuntu
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: ext4: do not create EA inode under buffer lock ext4_xattr_set_entry() creates new EA inodes while holding buffer lock on the external xattr block. This is problematic as it nests all the allocation locking (which acquires locks on other buffers) under the buffer lock. This can even deadlock when the filesystem is corrupted and e.g. quota file is setup to contain xattr block as data block. Move the allocation of EA inode out of ext4_xattr_set_entry() into the callers.

redhat логотип

CVE-2024-40972

CVSS3: 4.1
redhat
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: ext4: do not create EA inode under buffer lock ext4_xattr_set_entry() creates new EA inodes while holding buffer lock on the external xattr block. This is problematic as it nests all the allocation locking (which acquires locks on other buffers) under the buffer lock. This can even deadlock when the filesystem is corrupted and e.g. quota file is setup to contain xattr block as data block. Move the allocation of EA inode out of ext4_xattr_set_entry() into the callers.

nvd логотип

CVE-2024-40972

CVSS3: 5.5
nvd
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: ext4: do not create EA inode under buffer lock ext4_xattr_set_entry() creates new EA inodes while holding buffer lock on the external xattr block. This is problematic as it nests all the allocation locking (which acquires locks on other buffers) under the buffer lock. This can even deadlock when the filesystem is corrupted and e.g. quota file is setup to contain xattr block as data block. Move the allocation of EA inode out of ext4_xattr_set_entry() into the callers.

debian логотип

CVE-2024-40972

CVSS3: 5.5
debian
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: e ...

github логотип

GHSA-934p-m4fh-22q3

CVSS3: 5.5
github
11 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: ext4: do not create EA inode under buffer lock ext4_xattr_set_entry() creates new EA inodes while holding buffer lock on the external xattr block. This is problematic as it nests all the allocation locking (which acquires locks on other buffers) under the buffer lock. This can even deadlock when the filesystem is corrupted and e.g. quota file is setup to contain xattr block as data block. Move the allocation of EA inode out of ext4_xattr_set_entry() into the callers.

EPSS

Процентиль: 12%
0.00042
Низкий

5.5 Medium

CVSS3

7.5 High

CVSS2