ГлавнаяБаза уязвимостей БДУ → BDU:2024-07961
6.8высокая

BDU:2024-07961 (CVE-2024-40994)

Уязвимость функции max_vclocks_store() (drivers/ptp/ptp_sysfs.c) реализации протокола Precision Time Protocol (PTP) ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-10-11
Описание

Уязвимость функции max_vclocks_store() (drivers/ptp/ptp_sysfs.c) реализации протокола Precision Time Protocol (PTP) ядра операционной системы Linux связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)Ubuntu (20.04 LTS)Debian GNU/Linux (12)РЕД ОС (7.3)OpenSUSE Leap (15.4)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)openSUSE Leap Micro (5.5)Suse Linux Enterprise Server (15 SP4-LTSS)Suse Linux Enterprise Desktop (15 SP6)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)Ubuntu (24.04 LTS)OpenSUSE Leap (15.6)Linux (от 5.16 до 6.1.95 включительно)Linux (от 6.2 до 6.6.35 включительно)Linux (от 6.7 до 6.9.6 включительно)Linux (от 5.14 до 5.15.161 включительно)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Использование рекомендаций:

Для Linux:
https://git.kernel.org/stable/c/666e934d749e50a37f3796caaf843a605f115b6f
https://git.kernel.org/stable/c/4b03da87d0b7074c93d9662c6e1a8939f9b8b86e
https://git.kernel.org/stable/c/81d23d2a24012e448f651e007fac2cfd20a45ce0
https://git.kernel.org/stable/c/d50d62d5e6ee6aa03c00bddb91745d0b632d3b0f
https://git.kernel.org/stable/c/e1fccfb4638ee6188377867f6015d0ce35764a8e
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.162
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.96
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.36
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.7

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-40994

Для программных продуктов Ubuntu:
https://ubuntu.com/security/CVE-2024-40994
https://usn.ubuntu.com/USN-6999-1
https://usn.ubuntu.com/USN-7004-1
https://usn.ubuntu.com/USN-7005-1
https://usn.ubuntu.com/USN-7007-1
https://usn.ubuntu.com/USN-7008-1
https://usn.ubuntu.com/USN-7005-2
https://usn.ubuntu.com/USN-7009-1
https://usn.ubuntu.com/USN-7019-1
https://usn.ubuntu.com/USN-7007-2
https://usn.ubuntu.com/USN-6999-2
https://usn.ubuntu.com/USN-7029-1
https://usn.ubuntu.com/USN-7007-3
https://usn.ubuntu.com/USN-7009-2

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-40994

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-40994.html

Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-kernel-lt-1701251/?sphrase_id=646396

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://git.kernel.org/linus/81d23d2a24012e448f651e007fac2cfd20a45ce0https://git.kernel.org/stable/c/4b03da87d0b7074c93d9662c6e1a8939f9b8b86ehttps://git.kernel.org/stable/c/666e934d749e50a37f3796caaf843a605f115b6fhttps://git.kernel.org/stable/c/81d23d2a24012e448f651e007fac2cfd20a45ce0https://git.kernel.org/stable/c/d50d62d5e6ee6aa03c00bddb91745d0b632d3b0fhttps://git.kernel.org/stable/c/e1fccfb4638ee6188377867f6015d0ce35764a8ehttps://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.162https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.96
Проверьте безопасность своего сайта и почты → Полная проверка домена