ГлавнаяБаза уязвимостей БДУ → BDU:2025-03117
4.6средняя

BDU:2025-03117 (CVE-2024-49858)

Уязвимость функции efi_retrieve_tpm2_eventlog() (drivers/firmware/efi/libstub/tpm.c) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-03-24
Описание

Уязвимость функции efi_retrieve_tpm2_eventlog() (drivers/firmware/efi/libstub/tpm.c) ядра операционной системы Linux связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Альт 8 СПUbuntu (22.04 LTS)Ubuntu (24.04 LTS)Astra Linux Special Edition (1.8)Ubuntu (24.10)Linux (до 6.12 rc1)Linux (до 5.10.227)Linux (до 5.15.168)Linux (до 6.1.113)Linux (до 6.10.13)Linux (до 6.11.2)Linux (до 6.6.54)ОСОН ОСнова Оnyx (до 2.14)
Способ устранения

Использование рекомендаций:
Для Linux:
https://git.kernel.org/stable/c/f76b69ab9cf04358266e3cea5748c0c2791fbb08
https://git.kernel.org/stable/c/11690d7e76842f29b60fbb5b35bc97d206ea0e83
https://git.kernel.org/stable/c/5b22c038fb2757c652642933de5664da471f8cb7
https://git.kernel.org/stable/c/19fd2f2c5fb36b61506d3208474bfd8fdf1cada3
https://git.kernel.org/stable/c/38d9b07d99b789efb6d8dda21f1aaad636c38993
https://git.kernel.org/stable/c/2e6871a632a99d9b9e2ce3a7847acabe99e5a26e
https://git.kernel.org/stable/c/77d48d39e99170b528e4f2e9fc5d1d64cdedd386
https://lore.kernel.org/linux-cve-announce/2024102123-CVE-2024-49858-b7c4@gregkh/

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-49858

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-49858

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-49858

Для ОС Альт 8 СП:
Установка обновления из публичного репозитория программного средства

Компенсирующие меры:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Обновление программного обеспечения linux до версии 6.6.108-0.osnova2u1

Оценка CVSS
Балл4.6 — средняя опасность
Источники и патчи
https://git.kernel.org/stable/c/11690d7e76842f29b60fbb5b35bc97d206ea0e83https://git.kernel.org/stable/c/19fd2f2c5fb36b61506d3208474bfd8fdf1cada3https://git.kernel.org/stable/c/2e6871a632a99d9b9e2ce3a7847acabe99e5a26ehttps://git.kernel.org/stable/c/38d9b07d99b789efb6d8dda21f1aaad636c38993https://git.kernel.org/stable/c/5b22c038fb2757c652642933de5664da471f8cb7https://git.kernel.org/stable/c/77d48d39e99170b528e4f2e9fc5d1d64cdedd386https://git.kernel.org/stable/c/f76b69ab9cf04358266e3cea5748c0c2791fbb08https://lore.kernel.org/linux-cve-announce/2024102123-CVE-2024-49858-b7c4@gregkh/
Проверьте безопасность своего сайта и почты → Полная проверка домена