ГлавнаяБаза уязвимостей БДУ → BDU:2020-01891
6.8высокая

BDU:2020-01891 (CVE-2019-13272)

Уязвимость функции ptrace_link ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии
Опубликовано: 2020-04-29
Описание

Уязвимость функции ptrace_link ядра операционных систем Linux связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или повысить свои привилегии, используя системный вызов execve

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Fedora (29)Ubuntu (19.04)Red Hat Enterprise Linux (8)Debian GNU/Linux (8)Debian GNU/Linux (10)ОС Аврора (3.2.3.10)Linux (от 4.15 до 4.19.57 включительно)Linux (от 4.20 до 5.1.16 включительно)ОС ОН «Стрелец» (до 16.01.2023)Linux (от 4.1.39 до 4.2)Linux (от 4.4.40 до 4.4.184 включительно)Linux (от 4.8.16 до 4.14.132 включительно)
Способ устранения

Использование рекомендаций:
Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.133
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.58
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.185
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.1.17
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=6994eefb0053799d2e07cd140df6c2ea106c41ee

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OGRK5LYWBJ4E4SRI4DKX367NHYSI3VOH/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/07/msg00022.html
https://lists.debian.org/debian-lts-announce/2019/07/msg00023.html
https://www.debian.org/security/2019/dsa-4484

Для Ubuntu:
https://usn.ubuntu.com/4093-1/
https://usn.ubuntu.com/4094-1/
https://usn.ubuntu.com/4095-1/
https://usn.ubuntu.com/4117-1/
https://usn.ubuntu.com/4118-1/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-13272

Для ОС Аврора:
https://cve.omprussia.ru/bb6323

Для ОС ОН «Стрелец»:
Обновление программного обеспечения linux до версии 5.4.123-1~bpo10+1.osnova162.strelets

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
http://packetstormsecurity.com/files/153663/Linux-PTRACE_TRACEME-Broken-Permission-Object-Lifetime-Handling.htmlhttp://packetstormsecurity.com/files/153702/Slackware-Security-Advisory-Slackware-14.2-kernel-Updates.htmlhttp://packetstormsecurity.com/files/154245/Kernel-Live-Patch-Security-Notice-LSN-0054-1.htmlhttp://packetstormsecurity.com/files/154957/Linux-Polkit-pkexec-Helper-PTRACE_TRACEME-Local-Root.htmlhttp://packetstormsecurity.com/files/156929/Linux-PTRACE_TRACEME-Local-Root.htmlhttp://packetstormsecurity.com/files/165051/Linux-Kernel-5.1.x-PTRACE_TRACEME-pkexec-Local-Privilege-Escalation.htmlhttps://access.redhat.com/errata/RHSA-2019:2405https://access.redhat.com/errata/RHSA-2019:2411
Проверьте безопасность своего сайта и почты → Полная проверка домена