ГлавнаяБаза уязвимостей БДУ → BDU:2024-08315
6.8высокая

BDU:2024-08315 (CVE-2024-41073)

Уязвимость функции nvme_cleanup_cmd() драйвера NVMe ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-10-23
Описание

Уязвимость функции nvme_cleanup_cmd() в модуле drivers/nvme/host/core.c драйвера NVMe ядра операционной системы Linux связана с повторным освобождением ранее освобожденной памяти. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (1.8)Linux (от 5.16 до 6.1.100 включительно)Linux (от 6.2 до 6.6.41 включительно)Linux (от 6.7 до 6.9.10 включительно)Linux (от 4.10 до 5.15.163 включительно)ОСОН ОСнова Оnyx (до 2.14)
Способ устранения

Для Linux:
https://git.kernel.org/stable/c/1b9fd1265fac85916f90b4648de02adccdb7220b
https://git.kernel.org/stable/c/ae84383c96d6662c24697ab6b44aae855ab670aa
https://git.kernel.org/stable/c/c5942a14f795de957ae9d66027aac8ff4fe70057
https://git.kernel.org/stable/c/e5d574ab37f5f2e7937405613d9b1a724811e5ad
https://git.kernel.org/stable/c/f3ab45aacd25d957547fb6d115c1574c20964b3b
https://www.cve.org/CVERecord?id=CVE-2024-41073
https://lore.kernel.org/linux-cve-announce/2024072909-CVE-2024-41073-1fb9@gregkh/
https://git.kernel.org/linus/e5d574ab37f5f2e7937405613d9b1a724811e5ad
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.164
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.101
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.42
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.11

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-41073

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-41073

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.

Для ОС Astra Linux:
- обновить пакет linux-6.6 до 6.6.28-1.astra2+ci96 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
- обновить пакет linux-6.1 до 6.1.90-1.astra2+ci78 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Обновление программного обеспечения linux до версии 6.6.108-0.osnova2u1

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-202.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.10 до 5.10.239-1.astra1+ci38 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2024-41073https://git.kernel.org/linus/e5d574ab37f5f2e7937405613d9b1a724811e5adhttps://git.kernel.org/stable/c/1b9fd1265fac85916f90b4648de02adccdb7220bhttps://git.kernel.org/stable/c/ae84383c96d6662c24697ab6b44aae855ab670aahttps://git.kernel.org/stable/c/c5942a14f795de957ae9d66027aac8ff4fe70057https://git.kernel.org/stable/c/e5d574ab37f5f2e7937405613d9b1a724811e5adhttps://git.kernel.org/stable/c/f3ab45aacd25d957547fb6d115c1574c20964b3bhttps://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.164
Проверьте безопасность своего сайта и почты → Полная проверка домена