ГлавнаяБаза уязвимостей БДУ → BDU:2024-08519
6.8высокая

BDU:2024-08519 (CVE-2024-46853)

Уязвимость функции nxp_fspi_fill_txfifo() драйвера Serial Peripheral Interface (SPI) ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-10-24
Описание

Уязвимость функции nxp_fspi_fill_txfifo() в модуле drivers/spi/spi-nxp-fspi.c драйвера Serial Peripheral Interface (SPI) ядра операционной системы Linux связана с записью памяти за пределами выделенного буфера. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПRed Hat Enterprise Linux (9)Astra Linux Special Edition (1.8)Linux (от 6.2 до 6.6.51 включительно)Linux (от 6.7 до 6.10.10 включительно)Linux (от 5.11 до 5.15.167 включительно)Linux (от 5.16 до 6.1.110 включительно)Linux (от 5.5 до 5.10.226 включительно)Linux (от 5.1 до 5.4.284 включительно)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Использование рекомендаций:
Для Linux:
https://git.kernel.org/linus/2a8787c1cdc7be24fdd8953ecd1a8743a1006235
https://git.kernel.org/stable/c/09af8b0ba70072be831f3ec459f4063d570f9e24
https://git.kernel.org/stable/c/2a8787c1cdc7be24fdd8953ecd1a8743a1006235
https://git.kernel.org/stable/c/491f9646f7ac31af5fca71be1a3e5eb8aa7663ad
https://git.kernel.org/stable/c/609260542cf86b459c57618b8cdec8020394b7ad
https://git.kernel.org/stable/c/aa05db44db5f409f6d91c27b5737efb49fb45d9f
https://git.kernel.org/stable/c/af9ca9ca3e44f48b2a191e100d452fbf850c3d87
https://git.kernel.org/stable/c/d1a1dfcec77c57b1181da93d11a3db1bc4eefa97
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.227
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.168
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.285
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.111
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.10.11
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.52

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-46853

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-46853

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- минимизация пользовательских привилегий;
- включение функции безопасной загрузки в уязвимой операционной системе;
- принудительная смена паролей пользователей;
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2024-46853https://git.kernel.org/linus/2a8787c1cdc7be24fdd8953ecd1a8743a1006235https://git.kernel.org/stable/c/09af8b0ba70072be831f3ec459f4063d570f9e24https://git.kernel.org/stable/c/2a8787c1cdc7be24fdd8953ecd1a8743a1006235https://git.kernel.org/stable/c/491f9646f7ac31af5fca71be1a3e5eb8aa7663adhttps://git.kernel.org/stable/c/609260542cf86b459c57618b8cdec8020394b7adhttps://git.kernel.org/stable/c/aa05db44db5f409f6d91c27b5737efb49fb45d9fhttps://git.kernel.org/stable/c/af9ca9ca3e44f48b2a191e100d452fbf850c3d87
Проверьте безопасность своего сайта и почты → Полная проверка домена