ГлавнаяБаза уязвимостей БДУ → BDU:2021-02592
8.5высокая

BDU:2021-02592 (CVE-2021-3178)

Уязвимость компонента fs/nfsd/nfs3xdr.c ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-05-19
Описание

Уязвимость компонента fs/nfsd/nfs3xdr.c ядра операционной системы Linux связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код через вызов READDIRPLUS

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Альт 8 СП СерверUbuntu (14.04 ESM)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Ubuntu (20.10)Fedora (33)Ubuntu (16.04 ESM)Debian GNU/Linux (11)ОСОН ОСнова Оnyx (до 2.4)Linux (от 4.10 до 4.14.216 включительно)Linux (от 4.15 до 4.19.169 включительно)Linux (от 4.20 до 5.4.91 включительно)Linux (от 5.5 до 5.10.9 включительно)Linux (от 4.0 до 4.4.252 включительно)Linux (от 4.5 до 4.9.252 включительно)
Способ устранения

Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=51b2ee7d006a736a9126e8111d1f24e4fd0afaa6
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.217
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.170
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.253
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.253
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.10
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.92

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4876-1
https://ubuntu.com/security/notices/USN-4877-1
https://ubuntu.com/security/notices/USN-4878-1
https://ubuntu.com/security/notices/USN-4910-1
https://ubuntu.com/security/notices/USN-4912-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5SGB7TNDVQEOJ7NVTGX56UWHDNQM5TRC/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/03/msg00010.html
https://security-tracker.debian.org/tracker/CVE-2021-3178

Для 8 СП:
https://cve.basealt.ru/tag/cve-2021-3178.html
https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для ОСОН Основа:
Обновление программного обеспечения linux до версии 5.14.9-2.osnova179.1

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://altsp.su/obnovleniya-bezopasnosti/https://cve.basealt.ru/tag/cve-2021-3178.htmlhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3178https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=51b2ee7d006a736a9126e8111d1f24e4fd0afaa6https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.217https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.170https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.253https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.253
Проверьте безопасность своего сайта и почты → Полная проверка домена