ГлавнаяБаза уязвимостей БДУ → BDU:2021-01218
7.5высокая

BDU:2021-01218 (CVE-2021-27365)

Уязвимость функции show_transport_handle ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2021-03-15
Описание

Уязвимость функции show_transport_handle (/scsi/scsi_transport_iscsi.c) ядра операционной системы Linux связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Ubuntu (14.04 LTS)Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.5 «Смоленск»)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Enterprise Linux (7.6 Extended Update Support)Red Hat Enterprise Linux (7.2 Advanced Update Support)Red Hat Enterprise Linux (7.3 Advanced Update Support)Red Hat Enterprise Linux (7.4 Telco Extended Update Support)Red Hat Enterprise Linux (7.4 Advanced Update Support)Ubuntu (20.04 LTS)Red Hat Enterprise Linux (8.1 Extended Update Support)Red Hat Enterprise Linux (7.7 Extended Update Support)Red Hat Enterprise Linux (8.2 Extended Update Support)Red Hat Enterprise Linux (6 Extended Lifecycle Support)Linux (до 5.11.3 включительно)Red Hat Enterprise Linux (7.4 Update Services for SAP Solutions)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)ОСОН ОСнова Оnyx (до 2.1)Red Hat Virtualization (4.2 for RHEL 7.6 EUS)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f9dbdf97a5bd92b1a49cee3d591b55b11fd7a6d5
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ec98ea7070e94cc25a422ec97d1421e28d97b7ee

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-27365

Для Ubuntu:
https://ubuntu.com/security/CVE-2021-27365

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-27365

Для Astra Linux:
Использование методических указаний по нейтрализации угроз эксплуатации уязвимостей
— БЮЛЛЕТЕНЬ № 20210317SE16MD (https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210317SE16MD)
Использование методических указаний по нейтрализации угроз эксплуатации уязвимостей
— БЮЛЛЕТЕНЬ № 20210317SE15MD (https://wiki.astralinux.ru/astra-linux-se15-bulletin-20210317SE15MD)
Использование методических указаний по нейтрализации угроз эксплуатации уязвимостей
— БЮЛЛЕТЕНЬ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16)

Для ОСОН Основа:
Обновление программного обеспечения linux до версии 5.4.123-1~bpo10+1.osnova164

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет linux до 4.15.3-141.astra26+ci19 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2021-27365https://blog.grimm-co.com/2021/03/new-old-bugs-in-linux-kernel.htmlhttps://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f9dbdf97a5bd92b1a49cee3d591b55b11fd7a6d5https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ec98ea7070e94cc25a422ec97d1421e28d97b7eehttps://lists.debian.org/debian-lts-announce/2021/03/msg00010.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2021-27365https://security-tracker.debian.org/tracker/CVE-2021-27365https://wiki.astralinux.ru/astra-linux-se15-bulletin-20210317SE15MD
Проверьте безопасность своего сайта и почты → Полная проверка домена