Описание
Уязвимость функции inet6_create() модуля net/ipv6/af_inet6.c ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Red Hat Inc.
ООО «Открытая мобильная платформа»
АО "НППКТ"
Наименование ПО
Ubuntu
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Red Hat Enterprise Linux
Linux
ОС Аврора
ОСОН ОСнова Оnyx
Версия ПО
14.04 LTS (Ubuntu)
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
24.04 LTS (Ubuntu)
1.8 (Astra Linux Special Edition)
24.10 (Ubuntu)
от 5.5 до 5.10.230 включительно (Linux)
от 5.11 до 5.15.173 включительно (Linux)
от 5.16 до 6.1.119 включительно (Linux)
от 6.2 до 6.6.65 включительно (Linux)
от 6.7 до 6.12.4 включительно (Linux)
от 2.6.12 до 5.4.286 включительно (Linux)
до 5.1.4 включительно (ОС Аврора)
до 2.14 (ОСОН ОСнова Оnyx)
до 5.1.5 включительно (ОС Аврора)
Тип ПО
Операционная система
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 14.04 LTS
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Canonical Ltd. Ubuntu 24.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Canonical Ltd. Ubuntu 24.10
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.230 включительно
Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.173 включительно
Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.119 включительно
Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.65 включительно
Сообщество свободного программного обеспечения Linux от 6.7 до 6.12.4 включительно
Сообщество свободного программного обеспечения Linux от 2.6.12 до 5.4.286 включительно
ООО «Открытая мобильная платформа» ОС Аврора до 5.1.4 включительно
АО "НППКТ" ОСОН ОСнова Оnyx до 2.14
ООО «Открытая мобильная платформа» ОС Аврора до 5.1.5 включительно
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Linux:
https://git.kernel.org/stable/c/276a473c956fb55a6f3affa9ff232e10fffa7b43
https://git.kernel.org/stable/c/35360255ca30776dee34d9fa764cffa24d0a5f65
https://git.kernel.org/stable/c/706b07b7b37f886423846cb38919132090bc40da
https://git.kernel.org/stable/c/79e16a0d339532ea832d85798eb036fc4f9e0cea
https://git.kernel.org/stable/c/9df99c395d0f55fb444ef39f4d6f194ca437d884
https://git.kernel.org/stable/c/f2709d1271cfdf55c670ab5c5982139ab627ddc7
https://git.kernel.org/stable/c/f44fceb71d72d29fb00e0ac84cdf9c081b03cd06
https://lore.kernel.org/linux-cve-announce/2024122702-CVE-2024-56600-7867@gregkh/
https://git.kernel.org/linus/9df99c395d0f55fb444ef39f4d6f194ca437d884
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.287
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.231
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.174
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.120
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.66
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.12.5
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.287
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.231
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.174
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.120
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.66
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.12.5
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-56600
Для Ubuntu:
https://ubuntu.com/security/CVE-2024-56600
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-56600
Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОС Аврора: https://cve.omp.ru/bb27514
Для ОС Astra Linux:
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-5.15 до 5.15.0-142.astra1+ci172 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Обновление программного обеспечения linux до версии 6.6.108-0.osnova2u1
Для ОС Astra Linux:
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.15 до 5.15.0-142.astra1+ci172 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Для ОС Аврора: https://cve.omp.ru/bb30515
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 1%
0.0001
Низкий
7.8 High
CVSS3
6.8 Medium
CVSS2
Связанные уязвимости
CVSS3: 7.8
ubuntu
около 1 года назад
In the Linux kernel, the following vulnerability has been resolved: net: inet6: do not leave a dangling sk pointer in inet6_create() sock_init_data() attaches the allocated sk pointer to the provided sock object. If inet6_create() fails later, the sk object is released, but the sock object retains the dangling sk pointer, which may cause use-after-free later. Clear the sock sk pointer on error.
CVSS3: 7.3
redhat
около 1 года назад
In the Linux kernel, the following vulnerability has been resolved: net: inet6: do not leave a dangling sk pointer in inet6_create() sock_init_data() attaches the allocated sk pointer to the provided sock object. If inet6_create() fails later, the sk object is released, but the sock object retains the dangling sk pointer, which may cause use-after-free later. Clear the sock sk pointer on error.
CVSS3: 7.8
nvd
около 1 года назад
In the Linux kernel, the following vulnerability has been resolved: net: inet6: do not leave a dangling sk pointer in inet6_create() sock_init_data() attaches the allocated sk pointer to the provided sock object. If inet6_create() fails later, the sk object is released, but the sock object retains the dangling sk pointer, which may cause use-after-free later. Clear the sock sk pointer on error.
CVSS3: 7.8
debian
около 1 года назад
In the Linux kernel, the following vulnerability has been resolved: n ...
EPSS
Процентиль: 1%
0.0001
Низкий
7.8 High
CVSS3
6.8 Medium
CVSS2