BDU:2025-05126

Опубликовано: 21 окт. 2024

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость компонента mailbox ядра операционной системы Linux связана с ошибками управления ресурсами. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Novell Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

АО «ИВК»

АО "НППКТ"

Наименование ПО

OpenSUSE Leap

SUSE Linux Enterprise Live Patching

openSUSE Tumbleweed

Debian GNU/Linux

РЕД ОС

Альт 8 СП

SUSE Linux Enterprise Server for SAP Applications

Suse Linux Enterprise Server

Suse Linux Enterprise Desktop

SUSE Linux Enterprise High Performance Computing

SUSE Linux Enterprise Module for Basesystem

SUSE Linux Enterprise Module for Development Tools

SUSE Linux Enterprise Module for Public Cloud

SUSE Linux Enterprise Real Time

SUSE Linux Enterprise Workstation Extension

SUSE Linux Enterprise Micro

openSUSE Leap Micro

SUSE Real Time Module

SUSE Linux Enterprise High Availability Extension

SUSE Linux Enterprise Module for Confidential Computing Technical Preview

Linux

SUSE Linux Enterprise Module for Legacy

ОСОН ОСнова Оnyx

Версия ПО

15.5 (OpenSUSE Leap)

12 SP5 (SUSE Linux Enterprise Live Patching)

- (openSUSE Tumbleweed)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

- (Альт 8 СП)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Basesystem)

15 SP5 (SUSE Linux Enterprise Module for Development Tools)

15 SP5 (SUSE Linux Enterprise Module for Public Cloud)

15 SP5 (SUSE Linux Enterprise Real Time)

15 SP5 (SUSE Linux Enterprise Live Patching)

15 SP5 (SUSE Linux Enterprise Workstation Extension)

5.5 (SUSE Linux Enterprise Micro)

5.5 (openSUSE Leap Micro)

15 SP5 (SUSE Real Time Module)

15 SP6 (Suse Linux Enterprise Desktop)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15 SP6 (SUSE Linux Enterprise High Performance Computing)

15 SP6 (SUSE Linux Enterprise Module for Basesystem)

15 SP6 (SUSE Linux Enterprise Workstation Extension)

15.6 (OpenSUSE Leap)

15 SP6 (SUSE Linux Enterprise Module for Development Tools)

15 SP5 (SUSE Linux Enterprise High Availability Extension)

6.0 (SUSE Linux Enterprise Micro)

15 SP6 (SUSE Linux Enterprise High Availability Extension)

15 SP6 (SUSE Linux Enterprise Live Patching)

15 SP6 (SUSE Linux Enterprise Module for Public Cloud)

15 SP6 (SUSE Linux Enterprise Real Time)

15 SP6 (SUSE Real Time Module)

12 SP5-LTSS (Suse Linux Enterprise Server)

12 SP5 LTSS Extended Security (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Module for Confidential Computing Technical Preview)

6.1 (SUSE Linux Enterprise Micro)

от 6.11 до 6.11.3 (Linux)

до 6.12 rc1 (Linux)

15 SP5 (SUSE Linux Enterprise Module for Legacy)

15 SP6 (SUSE Linux Enterprise Module for Legacy)

15 SP5 (SUSE Linux Enterprise Module for Confidential Computing Technical Preview)

от 6.1 до 6.1.113 (Linux)

от 6.10 до 6.10.14 (Linux)

от 6.6 до 6.6.55 (Linux)

от 5.15 до 5.15.168 (Linux)

до 2.12 (ОСОН ОСнова Оnyx)

от 4.2 до 5.10.227 (Linux)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.5

Novell Inc. openSUSE Tumbleweed -

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

АО «ИВК» Альт 8 СП -

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Novell Inc. SUSE Linux Enterprise Real Time 15 SP5

Novell Inc. openSUSE Leap Micro 5.5

Novell Inc. Suse Linux Enterprise Desktop 15 SP6

Novell Inc. Suse Linux Enterprise Server 15 SP6

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Novell Inc. OpenSUSE Leap 15.6

Novell Inc. SUSE Linux Enterprise Real Time 15 SP6

Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP5 LTSS Extended Security

Сообщество свободного программного обеспечения Linux от 6.11 до 6.11.3

Сообщество свободного программного обеспечения Linux до 6.12 rc1

Сообщество свободного программного обеспечения Linux от 6.1 до 6.1.113

Сообщество свободного программного обеспечения Linux от 6.10 до 6.10.14

Сообщество свободного программного обеспечения Linux от 6.6 до 6.6.55

Сообщество свободного программного обеспечения Linux от 5.15 до 5.15.168

АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Сообщество свободного программного обеспечения Linux от 4.2 до 5.10.227

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://lore.kernel.org/linux-cve-announce/2024102132-CVE-2024-49963-a198@gregkh/

https://git.kernel.org/stable/c/32ee78823dea2d54adaf6e05f86622eba359e091

https://git.kernel.org/stable/c/df293ea78740a41384d648041f38f645700288e1

https://git.kernel.org/stable/c/90320cfc07b7d6e7a58fd8168f6380ec52ff0251

https://git.kernel.org/stable/c/10a58555e0bb5cc4673c8bb73b8afc5fa651f0ac

https://git.kernel.org/stable/c/e65a9af05a0b59ebeba28e5e82265a233db7bc27

https://git.kernel.org/stable/c/dfeb67b2194ecc55ef8065468c5adda3cdf59114

https://git.kernel.org/stable/c/dc09f007caed3b2f6a3b6bd7e13777557ae22bfd

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-49963

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2024-49963.html

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-49963
CVE

EPSS

Процентиль: 15%

0.00047

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2024-49963

CVSS3: 5.5

ubuntu

8 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: mailbox: bcm2835: Fix timeout during suspend mode During noirq suspend phase the Raspberry Pi power driver suffer of firmware property timeouts. The reason is that the IRQ of the underlying BCM2835 mailbox is disabled and rpi_firmware_property_list() will always run into a timeout [1]. Since the VideoCore side isn't consider as a wakeup source, set the IRQF_NO_SUSPEND flag for the mailbox IRQ in order to keep it enabled during suspend-resume cycle. [1] PM: late suspend of devices complete after 1.754 msecs WARNING: CPU: 0 PID: 438 at drivers/firmware/raspberrypi.c:128 rpi_firmware_property_list+0x204/0x22c Firmware transaction 0x00028001 timeout Modules linked in: CPU: 0 PID: 438 Comm: bash Tainted: G C 6.9.3-dirty #17 Hardware name: BCM2835 Call trace: unwind_backtrace from show_stack+0x18/0x1c show_stack from dump_stack_lvl+0x34/0x44 dump_stack_lvl from __warn+0x88/0xec __warn from warn_slowpat...

CVE-2024-49963

CVSS3: 5.5

redhat

8 месяцев назад

CVE-2024-49963

CVSS3: 5.5

nvd

8 месяцев назад

CVE-2024-49963

CVSS3: 5.5

msrc

7 месяцев назад

Описание отсутствует

CVE-2024-49963

CVSS3: 5.5

debian

8 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: m ...

EPSS

Процентиль: 15%

0.00047

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2