ГлавнаяБаза уязвимостей БДУ → BDU:2020-04799
3.3средняя

BDU:2020-04799 (CVE-2020-24490)

Уязвимость компонента net/bluetooth/hci_event.c ядра операционных систем Linux, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2020-10-22
Описание

Уязвимость компонента net/bluetooth/hci_event.c ядра операционных систем Linux связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании с помощью специально сформированных пакетов L2CAP

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)OpenSUSE Leap (15.2)BlueZLinux (от 4.15 до 4.19.136 включительно)Linux (от 4.20 до 5.4.55 включительно)Linux (от 4.5 до 4.9.239 включительно)Linux (от 4.10 до 4.14.201 включительно)Linux (от 5.5 до 5.7.12 включительно)Linux (от 3.6 до 4.4.239 включительно)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=a2ec905d1e160a33b2e210e45ad30445ef26ce0e
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a2ec905d1e160a33b2e210e45ad30445ef26ce0e
https://github.com/google/security-research/security/advisories/GHSA-ccx2-w2r4-x649
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.202
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.137
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.240
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.240
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.56
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.7.13

Для программных продуктов Intel Corp.:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4592-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-24490

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-24490/

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Оценка CVSS
Балл3.3 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2020-24490https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24490https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=a2ec905d1e160a33b2e210e45ad30445ef26ce0ehttps://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a2ec905d1e160a33b2e210e45ad30445ef26ce0ehttps://github.com/google/security-research/security/advisories/GHSA-ccx2-w2r4-x649https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.202https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.137https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.240
Проверьте безопасность своего сайта и почты → Полная проверка домена