ГлавнаяБаза уязвимостей БДУ → BDU:2024-06991
7.2высокая

BDU:2024-06991 (CVE-2024-27407)

Уязвимость функции mi_enum_attr() компонента fs/ntfs3 ядра операционной системы Linux, связанная с копированием буфера без проверки входных данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2024-09-13
Описание

Уязвимость функции mi_enum_attr() компонента fs/ntfs3 ядра операционной системы Linux связана с копированием буфера без проверки входных данных. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)Linux (от 6.7.0 до 6.7.6 включительно)Astra Linux Special Edition (1.8)Linux (от 5.15 до 6.6.18 включительно)ОСОН ОСнова Оnyx (до 2.14)
Способ устранения

Для Linux:
использование рекомендаций производителя:
https://git.kernel.org/linus/652cfeb43d6b9aba5c7c4902bed7a7340df131fb
https://git.kernel.org/stable/c/1c0a95d99b1b2b5d842e5abc7ef7eed1193b60d7
https://git.kernel.org/stable/c/652cfeb43d6b9aba5c7c4902bed7a7340df131fb
https://git.kernel.org/stable/c/8c77398c72618101d66480b94b34fe9087ee3d08
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.19
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.7.7
https://lore.kernel.org/linux-cve-announce/2024051739-CVE-2024-27407-976d@gregkh/
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2024-27407
Для ОС Astra Linux Special Edition 1.8:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-kernel-lt-cve-2024-35870-cve-2024-35866-cve-2024-35790-cve-2024-27407/?sphrase_id=1327056

Обновление программного обеспечения linux до версии 6.6.108-0.osnova2u1

Для ОС Astra Linux:
- обновить пакет linux-5.15 до 5.15.0-158.astra1+ci183 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17

Для ОС Astra Linux:
- обновить пакет linux-5.10 до 5.10.142-1.astra6+ci24 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47
- обновить пакет linux-5.15 до 5.15.0-158.astra1+ci183 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47

Для ОС Astra Linux:
- обновить пакет linux-5.10 до 5.10.142-1.astra6+ci38 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
- обновить пакет linux-5.15 до 5.15.0-158.astra2+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://git.kernel.org/linus/652cfeb43d6b9aba5c7c4902bed7a7340df131fbhttps://git.kernel.org/stable/c/1c0a95d99b1b2b5d842e5abc7ef7eed1193b60d7https://git.kernel.org/stable/c/652cfeb43d6b9aba5c7c4902bed7a7340df131fbhttps://git.kernel.org/stable/c/8c77398c72618101d66480b94b34fe9087ee3d08https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.19https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.7.7https://lore.kernel.org/linux-cve-announce/2024051739-CVE-2024-27407-976d@gregkh/https://nvd.nist.gov/vuln/detail/CVE-2024-27407
Проверьте безопасность своего сайта и почты → Полная проверка домена