ГлавнаяБаза уязвимостей БДУ → BDU:2023-06750
10критическая

BDU:2023-06750 (CVE-2023-5178)

Уязвимость функции nvmet_tcp_free_crypto файла drivers/nvme/target/tcp.c подсистемы NVMe-oF/TCP ядра операционных систем Linux, позволяющая нарушителю повысить свои привилегии или выполнить произвольный код
Опубликовано: 2023-10-16
Описание

Уязвимость функции nvmet_tcp_free_crypto файла drivers/nvme/target/tcp.c подсистемы NVMe-oF/TCP ядра операционных систем Linux связана с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии или выполнить произвольный код

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)РОСА Кобальт (7.9)АЛЬТ СП 10Linux (от 5.11 до 5.15.136 включительно)Linux (от 5.16 до 6.1.59 включительно)Linux (от 6.2 до 6.5.8 включительно)Linux (от 5.5 до 5.10.198 включительно)Linux (от 5.0 до 5.4.259 включительно)ОСОН ОСнова Оnyx (до 2.9)ROSA Virtualization 3.0 (3.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа.

Использование рекомендаций производителя:
Для Linux:
https://lore.kernel.org/all/20231004173226.5992-1-sj@kernel.org/T
https://git.kernel.org/linus/d920abd1e7c4884f9ecd0749d1921b7ab19ddfbd
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.260
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.199
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.137
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.60
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.5.9

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-5178

Для Astra Linux 1.6 «Смоленск»:
- обновить пакет linux до 5.4.0-162.astra1+ci21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет linux-5.10 до 5.10.190-1.astra1+ci17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci36 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения linux до версии 5.15.140-1.oasnova221

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС РОСА "КОБАЛЬТ":
https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2383
https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2384
https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2385

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет linux до 5.4.0-162.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
- обновить пакет linux-5.10 до 5.10.190-1.astra1+ci32 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci50 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
- обновить пакет linux-6.1 до 6.1.50-1.astra4+ci68 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет linux до 5.4.0-186.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет linux-5.10 до 5.10.216-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет linux-5.15 до 5.15.0-111.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет linux-6.1 до 6.1.90-1.astra3+ci156 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2861

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2023-5178https://vuldb.com/ru/?id.242191http://www.opennet.ru/opennews/art.shtml?num=59940https://www.openwall.com/lists/oss-security/2023/10/15/1https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2023-5178https://lore.kernel.org/all/20231004173226.5992-1-sj@kernel.org/T/https://git.kernel.org/linus/d920abd1e7c4884f9ecd0749d1921b7ab19ddfbdhttps://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.260
Проверьте безопасность своего сайта и почты → Полная проверка домена