ГлавнаяБаза уязвимостей БДУ → BDU:2024-07743
6высокая

BDU:2024-07743 (CVE-2022-48790)

Уязвимость функции nvme_async_event_work() драйвера NVMe ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-10-04
Описание

Уязвимость функции nvme_async_event_work() в модуле drivers/nvme/host/core.c драйвера NVMe ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (11)Debian GNU/Linux (12)Linux (от 5.11 до 5.15.24 включительно)Linux (от 5.16.0 до 5.16.10 включительно)Linux (от 4.20 до 5.4.180 включительно)Linux (от 5.5 до 5.10.101 включительно)Linux (от 4.0 до 4.19.230 включительно)
Способ устранения

Для Linux:
https://git.kernel.org/stable/c/0ead57ceb21bbf15963b4874c2ac67143455382f
https://git.kernel.org/stable/c/0fa0f99fc84e41057cbdd2efbfe91c6b2f47dd9d
https://git.kernel.org/stable/c/70356b756a58704e5c8818cb09da5854af87e765
https://git.kernel.org/stable/c/9e956a2596ae276124ef0d96829c013dd0faf861
https://git.kernel.org/stable/c/a25e460fbb0340488d119fb2e28fe3f829b7417e
https://git.kernel.org/stable/c/e043fb5a0336ee74614e26f0d9f36f1f5bb6d606
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.231
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.181
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.102
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.25
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.11

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-48790

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-48790

Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.

Оценка CVSS
Балл6 — высокая опасность
Источники и патчи
https://git.kernel.org/stable/c/0ead57ceb21bbf15963b4874c2ac67143455382fhttps://git.kernel.org/stable/c/0fa0f99fc84e41057cbdd2efbfe91c6b2f47dd9dhttps://git.kernel.org/stable/c/70356b756a58704e5c8818cb09da5854af87e765https://git.kernel.org/stable/c/9e956a2596ae276124ef0d96829c013dd0faf861https://git.kernel.org/stable/c/a25e460fbb0340488d119fb2e28fe3f829b7417ehttps://git.kernel.org/stable/c/e043fb5a0336ee74614e26f0d9f36f1f5bb6d606https://www.cve.org/CVERecord?id=CVE-2022-48790https://git.kernel.org/linus/0fa0f99fc84e41057cbdd2efbfe91c6b2f47dd9d
Проверьте безопасность своего сайта и почты → Полная проверка домена