ГлавнаяБаза уязвимостей БДУ → BDU:2021-02587
8.5высокая

BDU:2021-02587 (CVE-2020-28374)

Уязвимость драйверов drivers/target/target_core_xcopy.c ядра операционной системы Linux, позволяющая нарушителю получить доступ на чтение, изменение, добавление или удаление данных
Опубликовано: 2021-05-19
Описание

Уязвимость драйверов drivers/target/target_core_xcopy.c ядра операционной системы Linux связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение, изменение, добавление или удаление данных с помощью специально сформированных XCOPY-запросов

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Virtualization (4)Альт 8 СП СерверRed Hat Enterprise Linux (8)Debian GNU/Linux (8)Debian GNU/Linux (10)Red Hat Enterprise Linux (7.6 Extended Update Support)Fedora (32)Red Hat Enterprise Linux (7.7 Extended Update Support)Fedora (33)ОСОН ОСнова Оnyx (до 2.4)Linux (от 4.0 до 4.4.251 включительно)Linux (от 4.5 до 4.9.251 включительно)Linux (от 4.10 до 4.14.214 включительно)Linux (от 4.15 до 4.19.166 включительно)Linux (от 4.20 до 5.4.88 включительно)Linux (от 5.5 до 5.10.6 включительно)
Способ устранения

Использование рекомендаций:
Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.215
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.167
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.252
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.252
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.7
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.89
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2896c93811e39d63a4d9b63ccf12a8fbc226e5e4

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-28374

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LTGQDYIEO2GOCOOKADBHEITF44GY55QF/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HK7SRTITN5ABAUOOIGFVR7XE5YKYYAVO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FZEUPID5DZYLZBIO4BEVLHFUDZZIFL57/

Для 8 СП:
https://cve.basealt.ru/tag/cve-2020-28374.html

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-28374

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для ОСОН Основа:
Обновление программного обеспечения linux до версии 5.14.9-2.osnova179.1

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
http://packetstormsecurity.com/files/161229/Kernel-Live-Patch-Security-Notice-LSN-0074-1.htmlhttp://www.openwall.com/lists/oss-security/2021/01/13/2http://www.openwall.com/lists/oss-security/2021/01/13/5https://access.redhat.com/security/cve/CVE-2020-28374https://bugzilla.suse.com/attachment.cgi?id=844938https://bugzilla.suse.com/show_bug.cgi?id=1178372https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.7https://cve.basealt.ru/tag/cve-2020-28374.html
Проверьте безопасность своего сайта и почты → Полная проверка домена