ГлавнаяБаза уязвимостей БДУ → BDU:2022-03283
9высокая

BDU:2022-03283 (CVE-2022-32250)

Уязвимость функции nft_expr_init программного обеспечения фильтрации пакетов Netfilter ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии до уровня root
Опубликовано: 2022-06-03
Описание

Уязвимость функции nft_expr_init (net/netfilter/nf_tables_api.c) программного обеспечения фильтрации пакетов Netfilter ядра операционной системы Linux связана с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня root

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Enterprise Linux (7.4 Advanced Update Support)Red Hat Enterprise Linux (8.2 Extended Update Support)Red Hat Enterprise Linux (7.6 Telco Extended Update Support)Red Hat Enterprise Linux (7.6 Advanced Update Support)Red Hat Enterprise Linux (7.6 Update Services for SAP Solutions)Red Hat Enterprise Linux (7.7 Update Services for SAP Solutions)Red Hat Enterprise Linux (7.7 Advanced Update Support)Red Hat Enterprise Linux (7.7 Telco Extended Update Support)Debian GNU/Linux (11)Fedora (35)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПFedora (36)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)OpenShift Container Platform (4.11)ОСОН ОСнова Оnyx (до 2.7)Linux (от 4.1 до 4.9.317 включительно)Linux (от 4.10 до 4.14.282 включительно)Linux (от 4.15 до 4.19.246 включительно)Linux (от 4.20 до 5.4.197 включительно)Linux (от 5.5 до 5.10.119 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- запрет создания контейнеров через установку sysctl параметра user.max_user_namespaces в 0
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- использование входных данных только из доверенных источников;
- использование систем управления доступом.

Информация от разработчика:
https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/net/netfilter?id=520778042ccca019f3ffa136dd0ca565c486cedd
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.318
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.283
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.247
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.198
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.120
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.45
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.17.13
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.18.1

Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UIZTJOJCVVEJVOQSCHE6IJQKMPISHQ5L/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MO6Y3TC4WUUNKRP7OQA26OVTZTPCS6F2/

Ubuntu:
https://ubuntu.com/security/CVE-2022-32250

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-32250

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-32250
https://access.redhat.com/errata/RHSA-2022:6103

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения linux до версии 5.15.86-1.osnova211

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет linux до 5.4.0-162.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.10 до 5.10.142-1.astra6+ci24 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.15 до 5.15.0-70.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/net/netfilter?id=520778042ccca019f3ffa136dd0ca565c486ceddhttps://www.anti-malware.ru/news/2022-06-01-114534/38802https://seclists.org/oss-sec/2022/q2/159https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.318https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.283https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.247https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.198https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.120
Проверьте безопасность своего сайта и почты → Полная проверка домена