9.3высокая
BDU:2019-02826 (CVE-2018-20836)
Уязвимость функций smp_task_timedout () и smp_task_done () в файле drivers/scsi/libsas/sas_expander.c ядра операционной системы Linux, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2019-08-08
Описание
Уязвимость функций smp_task_timedout () и smp_task_done () в файле drivers/scsi/libsas/sas_expander.c ядра операционной системы Linux связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать влияние на конфиденциальность, целостность и доступность защищаемой информации
Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Enterprise Storage (4)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Module for Basesystem (15 SP1)SUSE CaaS Platform (3.0)SUSE Enterprise Storage (5)SUSE Linux Enterprise Module for Development Tools (15)SUSE Linux Enterprise Module for Development Tools (15 SP1)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)SUSE Linux Enterprise Build System Kit (12 SP3)SUSE Linux Enterprise Build System Kit (12 SP4)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise High Availability (12 SP2)SUSE Linux Enterprise High Availability (12 SP3)SUSE Linux Enterprise High Availability (12 SP4)SUSE Linux Enterprise High Availability (15)SUSE Linux Enterprise High Availability (15 SP1)SUSE Linux Enterprise Live Patching (12 SP4)SUSE Linux Enterprise Module for Legacy Software (15 SP1)SUSE Linux Enterprise Module for Legacy Software (15)SUSE Linux Enterprise Module for Live Patching (15)SUSE Linux Enterprise Module for Public Cloud (12)SUSE Linux Enterprise Module for Public Cloud (15)
Способ устранения
Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b90cd6f2b905905fb42671009dc0e27c310a16ae
https://github.com/torvalds/linux/commit/b90cd6f2b905905fb42671009dc0e27c310a16ae
https://github.com/torvalds/linux/commit/b90cd6f2b905905fb42671009dc0e27c310a16ae
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.118
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.42
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.180
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.175
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2018-20836/
Для программных продуктов Canonical Ltd.: https://usn.ubuntu.com/4076-1/
Для Debian:
Обновление программного обеспечения (пакета linux) до 4.19.37-5+deb10u2 или более поздней версии
Оценка CVSS
| Балл | 9.3 — высокая опасность |
Источники и патчи