ГлавнаяБаза уязвимостей БДУ → BDU:2024-08312
6.8средняя

BDU:2024-08312 (CVE-2024-41020)

Уязвимость функции fcntl_setlk() ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-10-23
Описание

Уязвимость функции fcntl_setlk() в модуле fs/locks.c ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (1.8)Linux (от 4.20 до 5.4.280 включительно)Linux (от 5.5 до 5.10.222 включительно)Linux (от 5.11 до 5.15.163 включительно)Linux (от 5.16 до 6.1.101 включительно)Linux (от 6.2 до 6.6.42 включительно)Linux (от 6.7 до 6.9.11 включительно)Linux (от 6.10 до 6.10.1 включительно)Linux (от 2.6.13 до 4.19.318 включительно)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Для Linux:
https://git.kernel.org/stable/c/a561145f3ae973ebf3e0aee41624e92a6c5cb38d
https://git.kernel.org/stable/c/4c43ad4ab41602201d34c66ac62130fe339d686f
https://git.kernel.org/stable/c/911cc83e56a2de5a40758766c6a70d6998248860
https://git.kernel.org/stable/c/53e21cfa68a7d12de378b7116c75571f73e0dfa2
https://git.kernel.org/stable/c/f4d0775c6e2f1340ca0725f0337de149aaa989ca
https://git.kernel.org/stable/c/73ae349534ebc377328e7d21891e589626c6e82c
https://git.kernel.org/stable/c/5b0af8e4c70e4b884bb94ff5f0cd49ecf1273c02
https://git.kernel.org/stable/c/ed898f9ca3fa32c56c858b463ceb9d9936cc69c4
https://git.kernel.org/stable/c/f8138f2ad2f745b9a1c696a05b749eabe44337ea
https://lore.kernel.org/linux-cve-announce/2024072927-CVE-2024-41020-52c6@gregkh/
https://git.kernel.org/linus/f8138f2ad2f745b9a1c696a05b749eabe44337ea
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.319
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.281
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.223
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.164
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.102
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.43
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.12
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.10.2

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-41020

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-41020

Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-kernel-lt-2001252/?sphrase_id=646349

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2024-41020https://git.kernel.org/linus/f8138f2ad2f745b9a1c696a05b749eabe44337eahttps://git.kernel.org/stable/c/4c43ad4ab41602201d34c66ac62130fe339d686fhttps://git.kernel.org/stable/c/53e21cfa68a7d12de378b7116c75571f73e0dfa2https://git.kernel.org/stable/c/5b0af8e4c70e4b884bb94ff5f0cd49ecf1273c02https://git.kernel.org/stable/c/73ae349534ebc377328e7d21891e589626c6e82chttps://git.kernel.org/stable/c/911cc83e56a2de5a40758766c6a70d6998248860https://git.kernel.org/stable/c/a561145f3ae973ebf3e0aee41624e92a6c5cb38d
Проверьте безопасность своего сайта и почты → Полная проверка домена