ГлавнаяБаза уязвимостей БДУ → BDU:2024-10096
6.8высокая

BDU:2024-10096 (CVE-2024-50127)

Уязвимость функции taprio_change() компонента net/sched ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-11-22
Описание

Уязвимость функции taprio_change() в модуле net/sched/sch_taprio.c компонента net/sched ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (1.8)Linux (от 6.2 до 6.6.58 включительно)Linux (от 6.7 до 6.11.5 включительно)Linux (от 5.2 до 5.4.284 включительно)Linux (от 5.5 до 5.10.228 включительно)Linux (от 5.11 до 5.15.169 включительно)Linux (от 5.16 до 6.1.114 включительно)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Linux:
https://git.kernel.org/stable/c/2f868ce6013548a713c431c679ef73747a66fcf3
https://git.kernel.org/stable/c/999612996df28d81f163dad530d7f8026e03aec6
https://git.kernel.org/stable/c/0d4c0d2844e4eac3aed647f948fd7e60eea56a61
https://git.kernel.org/stable/c/2240f9376f20f8b6463232b4ca7292569217237f
https://git.kernel.org/stable/c/fe371f084073e8672a2d7d46b335c3c060d1e301
https://git.kernel.org/stable/c/8a283a19026aaae8a773fd8061263cfa315b127f
https://git.kernel.org/stable/c/f504465970aebb2467da548f7c1efbbf36d0f44b
https://www.cve.org/CVERecord?id=CVE-2024-50127
https://lore.kernel.org/linux-cve-announce/2024110557-CVE-2024-50127-c0b5@gregkh/
https://git.kernel.org/linus/f504465970aebb2467da548f7c1efbbf36d0f44b
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.285
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.229
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.170
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.115
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.59
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.11.6

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-50127

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-50127

Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-5.15 до 5.15.0-142.astra1+ci172 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.15 до 5.15.0-142.astra1+ci172 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://git.kernel.org/stable/c/2f868ce6013548a713c431c679ef73747a66fcf3https://git.kernel.org/stable/c/999612996df28d81f163dad530d7f8026e03aec6https://git.kernel.org/stable/c/0d4c0d2844e4eac3aed647f948fd7e60eea56a61https://git.kernel.org/stable/c/2240f9376f20f8b6463232b4ca7292569217237fhttps://git.kernel.org/stable/c/fe371f084073e8672a2d7d46b335c3c060d1e301https://git.kernel.org/stable/c/8a283a19026aaae8a773fd8061263cfa315b127fhttps://git.kernel.org/stable/c/f504465970aebb2467da548f7c1efbbf36d0f44bhttps://www.cve.org/CVERecord?id=CVE-2024-50127
Проверьте безопасность своего сайта и почты → Полная проверка домена