BDU:2026-01311

Опубликовано: 19 июл. 2022

Источник: fstec

CVSS3: 4.5

CVSS2: 3.5

EPSS Низкий

Описание

Уязвимость функции virtio_gpu_cmd_transfer_to_host_2d() ядра операционной системы Linux связана с разыменованием указателя NULL. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Red Hat Inc.

Canonical Ltd.

Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux

Ubuntu

Debian GNU/Linux

Linux

Версия ПО

7 (Red Hat Enterprise Linux)

16.04 LTS (Ubuntu)

18.04 LTS (Ubuntu)

8 (Red Hat Enterprise Linux)

20.04 LTS (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

от 5.16 до 5.19.16 включительно (Linux)

от 5.11 до 5.15.74 включительно (Linux)

от 5.7 до 5.10.149 включительно (Linux)

от 6.0 до 6.0.2 включительно (Linux)

13 (Debian GNU/Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Canonical Ltd. Ubuntu 16.04 LTS

Canonical Ltd. Ubuntu 18.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 8

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Сообщество свободного программного обеспечения Linux от 5.16 до 5.19.16 включительно

Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.74 включительно

Сообщество свободного программного обеспечения Linux от 5.7 до 5.10.149 включительно

Сообщество свободного программного обеспечения Linux от 6.0 до 6.0.2 включительно

Сообщество свободного программного обеспечения Debian GNU/Linux 13

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,5)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Linux:

https://git.kernel.org/stable/c/f134f261d76ae3d5ecf68db642eaa746ceb84cfb

https://git.kernel.org/stable/c/f122bcb34f1a4b02ef3d95058d8fd1316ea03785

https://git.kernel.org/stable/c/989164305b933af06d69bb91044dafbd01025371

https://git.kernel.org/stable/c/36e133af33ea54193378b190cf92c47c12a43d34

https://git.kernel.org/linus/e473216b42aa1fd9fc6b94b608b42c210c655908

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2022-50842

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2022-50842

Для Ubuntu:

https://ubuntu.com/security/CVE-2022-50842

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-50842
CVE

EPSS

Процентиль: 7%

0.00026

Низкий

4.5 Medium

CVSS3

3.5 Low

CVSS2

Связанные уязвимости

CVE-2022-50842

ubuntu

около 1 месяца назад

In the Linux kernel, the following vulnerability has been resolved: drm/virtio: Check whether transferred 2D BO is shmem Transferred 2D BO always must be a shmem BO. Add check for that to prevent NULL dereference if userspace passes a VRAM BO.