ГлавнаяБаза уязвимостей БДУ → BDU:2024-00738
7.8высокая

BDU:2024-00738 (CVE-2023-46838)

Уязвимость функции xenvif_get_requests() кроссплатформенного гипервизора Xen ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-01-29
Описание

Уязвимость функции xenvif_get_requests() в модуле drivers/net/xen-netback/netback.c кроссплатформенного гипервизора Xen ядра операционной системы Linux связана с разыменованием нулевого указателя в функции xenvif_get_requests(). Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)АЛЬТ СП 10Citrix Hypervisor (до 8.2 CU1 LTSR)Linux (от 5.16 до 6.1.74 включительно)Linux (от 6.2 до 6.6.13 включительно)Linux (от 6.7.0 до 6.7.1 включительно)Linux (от 5.5 до 5.10.208 включительно)Linux (от 5.11 до 5.15.147 включительно)Linux (от 4.20 до 5.4.267 включительно)ОСОН ОСнова Оnyx (до 2.10)Linux (от 4.14 до 4.19.305 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование PV (паравиртуализации) для обеспечения работы виртуальной машины (аналог 'qnic' драйвера qemu);
- использование выделенного сетевого домена для каждой виртуальной машины.

Использование рекомендаций:
Для Linux:
https://git.kernel.org/linus/c7ec4f2d684e17d69bbdd7c4324db0ef5daac26a
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=c7ec4f2d684e17d69bbdd7c4324db0ef5daac26a
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.306
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.209
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.148
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.268
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.75
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.14
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.7.2

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-46838

Для программных продуктов Citrix Systems Inc.:
https://support.citrix.com/article/CTX587605/citrix-hypervisor-security-bulletin-for-cve202346838

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения linux до версии 6.6.15-2.osnova226

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-186.astra2+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет linux-5.15 до 5.15.0-111.astra2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет linux-6.1 до 6.1.90-1.astra3+ci20 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет linux до 5.4.0-186.astra2+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет linux-5.10 до 5.10.216-1.astra2+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет linux-5.15 до 5.15.0-111.astra2+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет linux до 5.4.0-186.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет linux-5.10 до 5.10.216-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет linux-5.15 до 5.15.0-111.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет linux-6.1 до 6.1.90-1.astra3+ci156 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://altsp.su/obnovleniya-bezopasnosti/https://bugzilla.redhat.com/show_bug.cgi?id=2259701https://bugzilla.suse.com/show_bug.cgi?id=1218836https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46838https://git.kernel.org/linus/c7ec4f2d684e17d69bbdd7c4324db0ef5daac26ahttps://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=c7ec4f2d684e17d69bbdd7c4324db0ef5daac26ahttps://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.306https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.209
Проверьте безопасность своего сайта и почты → Полная проверка домена