ГлавнаяБаза уязвимостей БДУ → BDU:2024-08227
6.8высокая

BDU:2024-08227 (CVE-2024-40954)

Уязвимость функции sk_common_release() ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-10-18
Описание

Уязвимость функции sk_common_release() в модуле net/core/sock.c ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Ubuntu (20.04 LTS)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Ubuntu (24.04 LTS)Linux (от 5.16 до 6.1.95 включительно)Linux (от 6.2 до 6.6.35 включительно)Linux (от 6.7 до 6.9.6 включительно)Linux (от 5.12 до 5.15.161 включительно)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Для Linux:
https://git.kernel.org/stable/c/893eeba94c40d513cd0fe6539330ebdaea208c0e
https://git.kernel.org/stable/c/5dfe2408fd7dc4d2e7ac38a116ff0a37b1cfd3b9
https://git.kernel.org/stable/c/454c454ed645fed051216b79622f7cb69c1638f5
https://git.kernel.org/stable/c/78e4aa528a7b1204219d808310524344f627d069
https://git.kernel.org/stable/c/6cd4a78d962bebbaf8beb7d2ead3f34120e3f7b2
https://git.kernel.org/linus/6cd4a78d962bebbaf8beb7d2ead3f34120e3f7b2
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.162
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.96
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.36
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.7

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-40954

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-40954

Для Ubuntu:
https://ubuntu.com/security/notices/USN-7019-1
https://ubuntu.com/security/notices/USN-7007-2
https://ubuntu.com/security/notices/USN-6999-2
https://ubuntu.com/security/notices/USN-7007-3
https://ubuntu.com/security/notices/USN-7029-1
https://ubuntu.com/security/notices/USN-6999-1
https://ubuntu.com/security/notices/USN-7004-1
https://ubuntu.com/security/notices/USN-7005-1
https://ubuntu.com/security/notices/USN-7007-1
https://ubuntu.com/security/notices/USN-7008-1
https://ubuntu.com/security/notices/USN-7005-2
https://ubuntu.com/security/notices/USN-7009-1
https://ubuntu.com/security/notices/USN-7009-2

Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Для ОС Astra Linux:
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2862

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://git.kernel.org/stable/c/893eeba94c40d513cd0fe6539330ebdaea208c0ehttps://git.kernel.org/stable/c/5dfe2408fd7dc4d2e7ac38a116ff0a37b1cfd3b9https://git.kernel.org/stable/c/454c454ed645fed051216b79622f7cb69c1638f5https://git.kernel.org/stable/c/78e4aa528a7b1204219d808310524344f627d069https://git.kernel.org/stable/c/6cd4a78d962bebbaf8beb7d2ead3f34120e3f7b2https://www.cve.org/CVERecord?id=CVE-2024-40954https://lore.kernel.org/linux-cve-announce/2024071223-CVE-2024-40954-093b@gregkh/https://ubuntu.com/security/notices/USN-7019-1
Проверьте безопасность своего сайта и почты → Полная проверка домена