BDU:2025-06102

Опубликовано: 29 нояб. 2024

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость функции mdelay() ядра операционной системы Linux связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

Red Hat Inc.

Наименование ПО

Ubuntu

Debian GNU/Linux

РЕД ОС

Red Hat Enterprise Linux

Linux

Версия ПО

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

24.04 LTS (Ubuntu)

24.10 (Ubuntu)

от 5.10 до 5.10.231 (Linux)

от 5.15 до 5.15.174 (Linux)

от 6.1 до 6.1.120 (Linux)

от 6.6 до 6.6.66 (Linux)

от 6.12 до 6.12.5 (Linux)

от 6.13 до 6.13 rc2 (Linux)

от 2.6.39 до 5.4.287 (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Canonical Ltd. Ubuntu 24.04 LTS

Canonical Ltd. Ubuntu 24.10

Сообщество свободного программного обеспечения Linux от 5.10 до 5.10.231

Сообщество свободного программного обеспечения Linux от 5.15 до 5.15.174

Сообщество свободного программного обеспечения Linux от 6.1 до 6.1.120

Сообщество свободного программного обеспечения Linux от 6.6 до 6.6.66

Сообщество свободного программного обеспечения Linux от 6.12 до 6.12.5

Сообщество свободного программного обеспечения Linux от 6.13 до 6.13 rc2

Сообщество свободного программного обеспечения Linux от 2.6.39 до 5.4.287

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/e5e2d3024753fdaca818b822e3827614bacbdccf

https://git.kernel.org/stable/c/6099b5d3e37145484fac4b8b4070c3f1abfb3519

https://git.kernel.org/stable/c/0e67805e805c1f3edd6f43adbe08ea14b552694b

https://git.kernel.org/stable/c/5bae60a933ba5d16eed55c6b279be51bcbbc79b0

https://git.kernel.org/stable/c/90bf312a6b6b3d6012137f6776a4052ee85e0340

https://git.kernel.org/stable/c/ba5e070f36682d07ca7ad2a953e6c9d96be19dca

https://git.kernel.org/stable/c/456f010bfaefde84d3390c755eedb1b0a5857c3c

Для РЕД ОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-56637

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2024-56637

Для Ubuntu:

https://ubuntu.com/security/CVE-2024-56637

Компенсирующие меры:

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-56637
CVE

EPSS

Процентиль: 22%

0.00069

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2024-56637

ubuntu

6 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: netfilter: ipset: Hold module reference while requesting a module User space may unload ip_set.ko while it is itself requesting a set type backend module, leading to a kernel crash. The race condition may be provoked by inserting an mdelay() right after the nfnl_unlock() call.