ГлавнаяБаза уязвимостей БДУ → BDU:2025-03126
4.6средняя

BDU:2025-03126 (CVE-2024-49867)

Уязвимость функции close_ctree() (fs/btrfs/disk-io.c) ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2025-03-24
Описание

Уязвимость функции close_ctree() (fs/btrfs/disk-io.c) ядра операционной системы Linux связана с возможностью использования памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Затрагиваемое ПО и версии
Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПUbuntu (22.04 LTS)Ubuntu (24.04 LTS)Astra Linux Special Edition (1.8)Ubuntu (24.10)Linux (до 5.10.227)Linux (до 5.15.168)Linux (до 6.1.113)Linux (до 6.10.14)Linux (до 6.11.3)Linux (до 6.6.55)Linux (до 6.12 rc2)ОСОН ОСнова Оnyx (до 2.14)
Способ устранения

Испольование рекомендаций:
Для Linux:
https://git.kernel.org/stable/c/70b60c8d9b42763d6629e44f448aa5d8ae477d61
https://git.kernel.org/stable/c/4c98fe0dfa2ae83c4631699695506d8941db4bfe
https://git.kernel.org/stable/c/9da40aea63f8769f28afb91aea0fac4cf6fbbb65
https://git.kernel.org/stable/c/ed87190e9d9c80aad220fb6b0b03a84d22e2c95b
https://git.kernel.org/stable/c/bf0de0f9a0544c11f96f93206da04ab87dcea1f4
https://git.kernel.org/stable/c/65d11eb276836d49003a8060cf31fa2284ad1047
https://git.kernel.org/stable/c/41fd1e94066a815a7ab0a7025359e9b40e4b3576
https://lore.kernel.org/linux-cve-announce/2024102113-CVE-2024-49867-b47a@gregkh/

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-49867

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-49867

Для ОС Альт 8 СП:
Установка обновления из публичного репозитория программного средства

Компенсирующие меры:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Обновление программного обеспечения linux до версии 6.6.108-0.osnova2u1

Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл4.6 — средняя опасность
Источники и патчи
https://git.kernel.org/stable/c/41fd1e94066a815a7ab0a7025359e9b40e4b3576https://git.kernel.org/stable/c/4c98fe0dfa2ae83c4631699695506d8941db4bfehttps://git.kernel.org/stable/c/65d11eb276836d49003a8060cf31fa2284ad1047https://git.kernel.org/stable/c/70b60c8d9b42763d6629e44f448aa5d8ae477d61https://git.kernel.org/stable/c/9da40aea63f8769f28afb91aea0fac4cf6fbbb65https://git.kernel.org/stable/c/bf0de0f9a0544c11f96f93206da04ab87dcea1f4https://git.kernel.org/stable/c/ed87190e9d9c80aad220fb6b0b03a84d22e2c95bhttps://lore.kernel.org/linux-cve-announce/2024102113-CVE-2024-49867-b47a@gregkh/
Проверьте безопасность своего сайта и почты → Полная проверка домена