ГлавнаяБаза уязвимостей БДУ → BDU:2024-08306
6.8высокая

BDU:2024-08306 (CVE-2024-41049)

Уязвимость функции posix_lock_inode() ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-10-23
Описание

Уязвимость функции posix_lock_inode() в модуле fs/locks.c ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Ubuntu (18.04 ESM)Linux (от 6.7 до 6.9.9 включительно)Linux (от 5.4.257 до 5.4.279 включительно)Linux (от 5.10.197 до 5.10.221 включительно)Linux (от 5.15.133 до 5.15.162 включительно)Linux (от 6.1.55 до 6.1.99 включительно)Linux (от 6.5.5 до 6.6.40 включительно)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Для Linux:
https://git.kernel.org/stable/c/5cb36e35bc10ea334810937990c2b9023dacb1b0
https://git.kernel.org/stable/c/1b3ec4f7c03d4b07bad70697d7e2f4088d2cfe92
https://git.kernel.org/stable/c/7d4c14f4b511fd4c0dc788084ae59b4656ace58b
https://git.kernel.org/stable/c/432b06b69d1d354a171f7499141116536579eb6a
https://git.kernel.org/stable/c/1cbbb3d9475c403ebedc327490c7c2b991398197
https://git.kernel.org/stable/c/02a8964260756c70b20393ad4006948510ac9967
https://git.kernel.org/stable/c/116599f6a26906cf33f67975c59f0692ecf7e9b2
https://lore.kernel.org/linux-cve-announce/2024072927-CVE-2024-41049-bf28@gregkh/
https://git.kernel.org/linus/1b3ec4f7c03d4b07bad70697d7e2f4088d2cfe92
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.280
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.222
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.163
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.100
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.41
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.10

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-41049

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-41049

Для Ubuntu:
https://ubuntu.com/security/notices/USN-7003-1
https://ubuntu.com/security/notices/USN-7003-2
https://ubuntu.com/security/notices/USN-7006-1
https://ubuntu.com/security/notices/USN-7003-3
https://ubuntu.com/security/notices/USN-7007-1
https://ubuntu.com/security/notices/USN-7009-1
https://ubuntu.com/security/notices/USN-7019-1
https://ubuntu.com/security/notices/USN-7007-2
https://ubuntu.com/security/notices/USN-7007-3
https://ubuntu.com/security/notices/USN-7009-2
https://ubuntu.com/security/notices/USN-7003-4
https://ubuntu.com/security/notices/USN-7003-5

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://git.kernel.org/stable/c/5cb36e35bc10ea334810937990c2b9023dacb1b0https://git.kernel.org/stable/c/1b3ec4f7c03d4b07bad70697d7e2f4088d2cfe92https://git.kernel.org/stable/c/7d4c14f4b511fd4c0dc788084ae59b4656ace58bhttps://git.kernel.org/stable/c/432b06b69d1d354a171f7499141116536579eb6ahttps://git.kernel.org/stable/c/1cbbb3d9475c403ebedc327490c7c2b991398197https://git.kernel.org/stable/c/02a8964260756c70b20393ad4006948510ac9967https://git.kernel.org/stable/c/116599f6a26906cf33f67975c59f0692ecf7e9b2https://www.cve.org/CVERecord?id=CVE-2024-41049
Проверьте безопасность своего сайта и почты → Полная проверка домена