ГлавнаяБаза уязвимостей БДУ → BDU:2022-06550
8.3высокая

BDU:2022-06550 (CVE-2022-3640)

Уязвимость функции l2cap_conn_del() (net/bluetooth/l2cap_core.c) ядра операционных систем Linux, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-10-31
Описание

Уязвимость функции l2cap_conn_del() (net/bluetooth/l2cap_core.c) ядра операционных систем Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Fedora (35)Fedora (36)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Fedora (37)Ubuntu (22.10)ОС Аврора (до 4.0.2.249 включительно)Linux (от 4.9.326 до 4.9.332 включительно)Linux (от 4.14.291 до 4.14.298 включительно)Linux (от 4.19.255 до 4.19.264 включительно)Linux (от 5.4.209 до 5.4.223 включительно)Linux (от 5.10.135 до 5.10.153 включительно)Linux (от 5.15.59 до 5.15.77 включительно)Linux (от 5.18.16 до 6.0.7 включительно)ОСОН ОСнова Оnyx (до 2.9)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=42cf46dea905a80f6de218e837ba4d4cc33d6979
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.299
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.265
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.333
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.154
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.78
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.224
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.0.8

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-3640

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-3640

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5850-1
https://ubuntu.com/security/notices/USN-5851-1
https://ubuntu.com/security/notices/USN-5853-1
https://ubuntu.com/security/notices/USN-5860-1
https://ubuntu.com/security/notices/USN-5874-1
https://ubuntu.com/security/notices/USN-5875-1
https://ubuntu.com/security/notices/USN-5876-1
https://ubuntu.com/security/notices/USN-5877-1
https://ubuntu.com/security/notices/USN-5878-1
https://ubuntu.com/security/notices/USN-5879-1
https://ubuntu.com/security/notices/USN-5883-1

Для ОС Аврора:
https://cve.omp.ru/bb23402

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DGOIRR72OAFE53XZRUDZDP7INGLIC3E3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OD7VWUT7YAU4CJ247IF44NGVOAODAJGC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XG2UPX3MQ7RKRJEUMGEH2TLPKZJCBU5C/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения linux до версии 5.15.140-1.oasnova221

Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет linux до 5.4.0-162.astra1+ci21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет linux-5.10 до 5.10.190-1.astra1+ci17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci36 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2861

Оценка CVSS
Балл8.3 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2022-3640https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3640https://cve.omp.ru/bb23402https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=42cf46dea905a80f6de218e837ba4d4cc33d6979https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.299https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.265https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.333https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.154
Проверьте безопасность своего сайта и почты → Полная проверка домена