ГлавнаяБаза уязвимостей БДУ → BDU:2024-08308
6.8высокая

BDU:2024-08308 (CVE-2024-38588)

Уязвимость функции ftrace_location() ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-10-23
Описание

Уязвимость функции ftrace_location() в модуле kernel/trace/ftrace.c ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПUbuntu (22.04 LTS)Red Hat Enterprise Linux (9)Ubuntu (24.04 LTS)Linux (от 5.11 до 5.15.161 включительно)Linux (от 6.2 до 6.6.32 включительно)Linux (от 5.16 до 6.1.92 включительно)Linux (от 6.7 до 6.8.11 включительно)ОСОН ОСнова Оnyx (до 2.11)Astra Linux Special Edition (1.8)Linux (от 6.9 до 6.9.2 включительно)Linux (от 3.7 до 5.10.226 включительно)ОС Аврора (до 5.1.5 включительно)
Способ устранения

Для Linux:
https://git.kernel.org/stable/c/7b4881da5b19f65709f5c18c1a4d8caa2e496461
https://git.kernel.org/stable/c/66df065b3106964e667b37bf8f7e55ec69d0c1f6
https://git.kernel.org/stable/c/dbff5f0bfb2416b8b55c105ddbcd4f885e98fada
https://git.kernel.org/stable/c/31310e373f4c8c74e029d4326b283e757edabc0b
https://git.kernel.org/stable/c/8ea8ef5e42173560ac510e92a1cc797ffeea8831
https://git.kernel.org/stable/c/e60b613df8b6253def41215402f72986fee3fc8d
https://git.kernel.org/linus/e60b613df8b6253def41215402f72986fee3fc8d
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.162
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.93
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.33
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.8.12
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.3

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-38588

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-38588

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6955-1
https://ubuntu.com/security/notices/USN-7009-2
https://ubuntu.com/security/notices/USN-6949-1
https://ubuntu.com/security/notices/USN-6952-1
https://ubuntu.com/security/notices/USN-6949-2
https://ubuntu.com/security/notices/USN-6952-2
https://ubuntu.com/security/notices/USN-7007-1
https://ubuntu.com/security/notices/USN-7009-1
https://ubuntu.com/security/notices/USN-7019-1
https://ubuntu.com/security/notices/USN-7007-2
https://ubuntu.com/security/notices/USN-7007-3

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Обновление программного обеспечения linux до версии 6.6.36-0.osnova233

Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для ОС Аврора: https://cve.omp.ru/bb30515

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2024-38588https://git.kernel.org/linus/e60b613df8b6253def41215402f72986fee3fc8dhttps://git.kernel.org/stable/c/1880a324af1c95940a7c954b6b937e86844a33bdhttps://git.kernel.org/stable/c/31310e373f4c8c74e029d4326b283e757edabc0bhttps://git.kernel.org/stable/c/66df065b3106964e667b37bf8f7e55ec69d0c1f6https://git.kernel.org/stable/c/7b4881da5b19f65709f5c18c1a4d8caa2e496461https://git.kernel.org/stable/c/8ea8ef5e42173560ac510e92a1cc797ffeea8831https://git.kernel.org/stable/c/dbff5f0bfb2416b8b55c105ddbcd4f885e98fada
Проверьте безопасность своего сайта и почты → Полная проверка домена