BDU:2025-03665

Опубликовано: 18 окт. 2021

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость функции do_set_mempolicy() модуля mm/mempolicy.c подсистемы управления памятью ядра операционной системы Linux связана с использованием неинициализированного ресурса. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании.

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

Linux

Версия ПО

8 (Red Hat Enterprise Linux)

12 (Debian GNU/Linux)

от 5.12 до 5.14.14 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Сообщество свободного программного обеспечения Linux от 5.12 до 5.14.14 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/9ee4e9ae98f1f262d6fae0d266cfdf3ba2c321d9

https://lore.kernel.org/linux-cve-announce/2024052225-CVE-2021-47462-f177@gregkh/

https://git.kernel.org/linus/6d2aec9e123bb9c49cb5c7fc654f25f81e688e8c

https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.14.15

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2021-47462

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2021-47462

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-47462
CVE

EPSS

Процентиль: 9%

0.00031

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2021-47462

CVSS3: 5.5

ubuntu

больше 1 года назад

In the Linux kernel, the following vulnerability has been resolved: mm/mempolicy: do not allow illegal MPOL_F_NUMA_BALANCING | MPOL_LOCAL in mbind() syzbot reported access to unitialized memory in mbind() [1] Issue came with commit bda420b98505 ("numa balancing: migrate on fault among multiple bound nodes") This commit added a new bit in MPOL_MODE_FLAGS, but only checked valid combination (MPOL_F_NUMA_BALANCING can only be used with MPOL_BIND) in do_set_mempolicy() This patch moves the check in sanitize_mpol_flags() so that it is also used by mbind() [1] BUG: KMSAN: uninit-value in __mpol_equal+0x567/0x590 mm/mempolicy.c:2260 __mpol_equal+0x567/0x590 mm/mempolicy.c:2260 mpol_equal include/linux/mempolicy.h:105 [inline] vma_merge+0x4a1/0x1e60 mm/mmap.c:1190 mbind_range+0xcc8/0x1e80 mm/mempolicy.c:811 do_mbind+0xf42/0x15f0 mm/mempolicy.c:1333 kernel_mbind mm/mempolicy.c:1483 [inline] __do_sys_mbind mm/mempolicy.c:1490 [inline] __se_sys_mbind+0x437/0xb80 mm/mempolicy.c:1486 __x64_sys_m...

CVE-2021-47462

CVSS3: 5.5

redhat

больше 1 года назад

CVE-2021-47462

CVSS3: 5.5

nvd

больше 1 года назад

CVE-2021-47462

CVSS3: 5.5

debian

больше 1 года назад

In the Linux kernel, the following vulnerability has been resolved: m ...

GHSA-5573-w6h2-wwx8

CVSS3: 5.5

github

больше 1 года назад

EPSS

Процентиль: 9%

0.00031

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2