BDU:2025-05137

Опубликовано: 02 сент. 2024

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость функции ocfs2_journal_shutdown() компонента ocfs2 ядра операционной системы Linux связана с разыменованием указателя NULL. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Novell Inc.

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

АО «ИВК»

АО "НППКТ"

Наименование ПО

OpenSUSE Leap

SUSE Linux Enterprise Live Patching

openSUSE Tumbleweed

Ubuntu

Debian GNU/Linux

РЕД ОС

Альт 8 СП

SUSE Linux Enterprise Server for SAP Applications

Suse Linux Enterprise Server

Suse Linux Enterprise Desktop

SUSE Linux Enterprise High Performance Computing

SUSE Linux Enterprise Module for Basesystem

SUSE Linux Enterprise Module for Development Tools

SUSE Linux Enterprise Module for Public Cloud

SUSE Linux Enterprise Real Time

SUSE Linux Enterprise Workstation Extension

SUSE Linux Enterprise Micro

openSUSE Leap Micro

SUSE Real Time Module

SUSE Linux Enterprise High Availability Extension

SUSE Linux Enterprise Module for Confidential Computing Technical Preview

Linux

SUSE Linux Enterprise Module for Legacy

SUSE Linux Enterprise Server LTSS Extended Security

ОСОН ОСнова Оnyx

Версия ПО

15.5 (OpenSUSE Leap)

12 SP5 (SUSE Linux Enterprise Live Patching)

- (openSUSE Tumbleweed)

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

- (Альт 8 СП)

22.04 LTS (Ubuntu)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Basesystem)

15 SP5 (SUSE Linux Enterprise Module for Development Tools)

15 SP5 (SUSE Linux Enterprise Module for Public Cloud)

15 SP5 (SUSE Linux Enterprise Real Time)

15 SP5 (SUSE Linux Enterprise Live Patching)

15 SP5 (SUSE Linux Enterprise Workstation Extension)

5.5 (SUSE Linux Enterprise Micro)

5.5 (openSUSE Leap Micro)

15 SP5 (SUSE Real Time Module)

15 SP6 (Suse Linux Enterprise Desktop)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15 SP6 (SUSE Linux Enterprise High Performance Computing)

15 SP6 (SUSE Linux Enterprise Module for Basesystem)

24.04 LTS (Ubuntu)

15 SP6 (SUSE Linux Enterprise Workstation Extension)

15.6 (OpenSUSE Leap)

15 SP6 (SUSE Linux Enterprise Module for Development Tools)

15 SP5 (SUSE Linux Enterprise High Availability Extension)

15 SP6 (SUSE Linux Enterprise High Availability Extension)

15 SP6 (SUSE Linux Enterprise Live Patching)

15 SP6 (SUSE Linux Enterprise Module for Public Cloud)

15 SP6 (SUSE Linux Enterprise Real Time)

15 SP6 (SUSE Real Time Module)

12 SP5-LTSS (Suse Linux Enterprise Server)

24.10 (Ubuntu)

15 SP6 (SUSE Linux Enterprise Module for Confidential Computing Technical Preview)

до 6.12 rc1 (Linux)

15 SP5 (SUSE Linux Enterprise Module for Legacy)

15 SP6 (SUSE Linux Enterprise Module for Legacy)

12 SP5 (SUSE Linux Enterprise Server LTSS Extended Security)

от 5.10.0 до 5.10.227 (Linux)

от 5.15.0 до 5.15.168 (Linux)

от 6.1.0 до 6.1.113 (Linux)

до 2.12 (ОСОН ОСнова Оnyx)

от 6.10.0 до 6.10.14 (Linux)

от 6.11.0 до 6.11.3 (Linux)

от 6.6.0 до 6.6.55 (Linux)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.5

Novell Inc. openSUSE Tumbleweed -

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

АО «ИВК» Альт 8 СП -

Canonical Ltd. Ubuntu 22.04 LTS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Novell Inc. SUSE Linux Enterprise Real Time 15 SP5

Novell Inc. openSUSE Leap Micro 5.5

Novell Inc. Suse Linux Enterprise Desktop 15 SP6

Novell Inc. Suse Linux Enterprise Server 15 SP6

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Canonical Ltd. Ubuntu 24.04 LTS

Novell Inc. OpenSUSE Leap 15.6

Novell Inc. SUSE Linux Enterprise Real Time 15 SP6

Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS

Canonical Ltd. Ubuntu 24.10

Сообщество свободного программного обеспечения Linux до 6.12 rc1

Сообщество свободного программного обеспечения Linux от 5.10.0 до 5.10.227

Сообщество свободного программного обеспечения Linux от 5.15.0 до 5.15.168

Сообщество свободного программного обеспечения Linux от 6.1.0 до 6.1.113

АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Сообщество свободного программного обеспечения Linux от 6.10.0 до 6.10.14

Сообщество свободного программного обеспечения Linux от 6.11.0 до 6.11.3

Сообщество свободного программного обеспечения Linux от 6.6.0 до 6.6.55

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/bf605ae98dab5c15c5b631d4d7f88898cb41b649

https://git.kernel.org/stable/c/ff55291fb36779819211b596da703389135f5b05

https://git.kernel.org/stable/c/82dfdd1e31e774578f76ce6dc90c834f96403a0f

https://git.kernel.org/stable/c/86a89e75e9e4dfa768b97db466ad6bedf2e7ea5b

https://git.kernel.org/stable/c/f60e94a83db799bde625ac8671a5b4a6354e7120

https://git.kernel.org/stable/c/387bf565cc03e2e8c720b8b4798efea4aacb6962

https://git.kernel.org/stable/c/5784d9fcfd43bd853654bb80c87ef293b9e8e80a

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2024-49957.html

Для программных продуктов Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-49957

Для программных продуктов Ubuntu:

https://ubuntu.com/security/CVE-2024-49957

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-49957
CVE

EPSS

Процентиль: 9%

0.00035

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2024-49957

CVSS3: 5.5

ubuntu

8 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: ocfs2: fix null-ptr-deref when journal load failed. During the mounting process, if journal_reset() fails because of too short journal, then lead to jbd2_journal_load() fails with NULL j_sb_buffer. Subsequently, ocfs2_journal_shutdown() calls jbd2_journal_flush()->jbd2_cleanup_journal_tail()-> __jbd2_update_log_tail()->jbd2_journal_update_sb_log_tail() ->lock_buffer(journal->j_sb_buffer), resulting in a null-pointer dereference error. To resolve this issue, we should check the JBD2_LOADED flag to ensure the journal was properly loaded. Additionally, use journal instead of osb->journal directly to simplify the code.

CVE-2024-49957

CVSS3: 5.5

redhat

8 месяцев назад

CVE-2024-49957

CVSS3: 5.5

nvd

8 месяцев назад

CVE-2024-49957

CVSS3: 5.5

msrc

7 месяцев назад

Описание отсутствует

CVE-2024-49957

CVSS3: 5.5

debian

8 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: o ...

EPSS

Процентиль: 9%

0.00035

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2