ГлавнаяБаза уязвимостей БДУ → BDU:2023-00380
6.8высокая

BDU:2023-00380 (CVE-2023-23559)

Уязвимость драйвера drivers/net/wireless/rndis_wlan.c ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2023-01-25
Описание

Уязвимость драйвера drivers/net/wireless/rndis_wlan.c ядра операционной системы Linux связана с целочисленным переполнением буфера в функции rndis_query_oid() при сложении. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)Linux (от 5.11 до 5.15.90 включительно)Linux (от 4.0 до 4.14.304 включительно)Linux (от 4.15 до 4.19.271 включительно)Linux (от 4.20 до 5.4.230 включительно)Linux (от 5.5 до 5.10.165 включительно)Linux (от 5.16 до 6.1.8 включительно)ОС Аврора (до 4.0.2.209 включительно)ОСОН ОСнова Оnyx (до 2.9)Oracle Exadata (до 21.2.23.0.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к программному средству из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение удаленного доступа к операционной системе недоверенных пользователей (SSH и проч.);
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.

Использование рекомендаций:
https://patchwork.kernel.org/project/linux-wireless/patch/20230110173007.57110-1-szymon.heidrich@gmail.com
https://patchwork.kernel.org/project/linux-wireless/patch/20230110173007.57110-1-szymon.heidrich@gmail.com
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.305
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.272
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.231
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.166
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.91
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.9

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Аврора:
https://cve.omprussia.ru/bb22402

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет linux до 5.4.0-162.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.10 до 5.10.176-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.15 до 5.15.0-70.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения linux до версии 5.15.140-1.oasnova221

Для Astra Linux Special Edition 4.7:
- обновить пакет linux до 5.4.0-162.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет linux-5.10 до 5.10.176-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для программных продуктов Oracle Corp.:
Обновление до версии 21.2.23.0.0

Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет linux до 5.4.0-162.astra1+ci21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет linux-5.10 до 5.10.190-1.astra1+ci17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci36 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://patchwork.kernel.org/project/linux-wireless/patch/20230110173007.57110-1-szymon.heidrich@gmail.com/https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23559https://altsp.su/obnovleniya-bezopasnosti/https://cve.omprussia.ru/bb22402https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47https://login.oracle.com/
Проверьте безопасность своего сайта и почты → Полная проверка домена