BDU:2022-02564
CVE-2022-0435
Уязвимость реализации сетевого протокола TIPC (net/tipc/monitor.c) операционной системы Linux связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или повысить свои привилегии с помощью специально оформленного сетевого пакета
Уязвимое ПО:
9 (Debian GNU/Linux), 18.04 LTS (Ubuntu), 8 (Red Hat Enterprise Linux), 14.04 ESM (Ubuntu), 10 (Debian GNU/Linux), 20.04 LTS (Ubuntu), 8.2 Extended Update Support (Red Hat Enterprise Linux), 34 (Fedora), 16.04 ESM (Ubuntu), 15.3 (OpenSUSE Leap), 11 (Debian GNU/Linux), 35 (Fedora), 21.10 (Ubuntu), 8.4 Extended Update Support (Red Hat Enterprise Linux), 15.4 (OpenSUSE Leap), до 5.17 (Linux), от 4.8 до 4.9.301 (Linux), от 4.10 до 4.14.266 (Linux), от 4.15 до 4.19.229 (Linux), от 4.20 до 5.4.179 (Linux), от 5.5 до 5.10.100 (Linux), от 5.11 до 5.15.23 (Linux), от 5.16 до 5.16.9 (Linux), 5.17rc1 (Linux), 5.17rc2 (Linux), 5.17rc3 (Linux)
Дата выявления: 2022-03-25
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Использование рекомендаций
Для Linux
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9aa422ad326634b76309e8ff342c246800621216
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.266
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.229
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.301
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.100
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.23
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.9
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.179
Компенсирующие меры:
запрет явной загрузки модуля TIPC путем выполнения следующих команд:
# echo "install tipc /bin/true"
>> /etc/modprobe.d/disable-tipc.conf.
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-0435
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-0435.xml
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-0435
Для Fedora:
https://lists.fedoraproject.org/archives/search?mlist=package-announce%40lists.fedoraproject.org&q=CVE-2022-0435
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-0435
CVE-2022-0435
Уязвимость реализации сетевого протокола TIPC (net/tipc/monitor.c) операционной системы Linux связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или повысить свои привилегии с помощью специально оформленного сетевого пакета
Уязвимое ПО:
9 (Debian GNU/Linux), 18.04 LTS (Ubuntu), 8 (Red Hat Enterprise Linux), 14.04 ESM (Ubuntu), 10 (Debian GNU/Linux), 20.04 LTS (Ubuntu), 8.2 Extended Update Support (Red Hat Enterprise Linux), 34 (Fedora), 16.04 ESM (Ubuntu), 15.3 (OpenSUSE Leap), 11 (Debian GNU/Linux), 35 (Fedora), 21.10 (Ubuntu), 8.4 Extended Update Support (Red Hat Enterprise Linux), 15.4 (OpenSUSE Leap), до 5.17 (Linux), от 4.8 до 4.9.301 (Linux), от 4.10 до 4.14.266 (Linux), от 4.15 до 4.19.229 (Linux), от 4.20 до 5.4.179 (Linux), от 5.5 до 5.10.100 (Linux), от 5.11 до 5.15.23 (Linux), от 5.16 до 5.16.9 (Linux), 5.17rc1 (Linux), 5.17rc2 (Linux), 5.17rc3 (Linux)
Дата выявления: 2022-03-25
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Использование рекомендаций
Для Linux
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9aa422ad326634b76309e8ff342c246800621216
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.266
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.229
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.301
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.100
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.23
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.9
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.179
Компенсирующие меры:
запрет явной загрузки модуля TIPC путем выполнения следующих команд:
# echo "install tipc /bin/true"
>> /etc/modprobe.d/disable-tipc.conf.
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-0435
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2022-0435.xml
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-0435
Для Fedora:
https://lists.fedoraproject.org/archives/search?mlist=package-announce%40lists.fedoraproject.org&q=CVE-2022-0435
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-0435