BDU:2024-04680

ООО «Ред Софт», Canonical Ltd., Red Hat Inc., АО «ИВК», Сообщество свободного программного обеспечен Astra Linux Special Edition для «Эльбрус», Red Hat Enterprise Linux, АЛЬТ СП 10, Astra Linux Special

НЕ ОЦЕНЕНО

Дата обнаружения

2024-06-05

Официальное описание

Уязвимость функции multiq_tune компонента sch_multiq ядра операционной системы Linux связана с записью за границами буфера динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в режиме ядра путем выполнения специально сформированных сетевых запросов.

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры: - ограничение доступа к программному средству из общедоступных сетей (Интернет); - использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников; - использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций производителя: https://git.kernel.org/stable/c/affc18fdc694190ca7575b9a86632a73b9fe043d\r\nhttps://lore.kernel.org/linux-cve-announce/2024061926-CVE-2024-36978-b4b8@gregkh/ https://git.kernel.org/linus/affc18fdc694190ca7575b9a86632a73b9fe043d https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.221 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.162 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.279 https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.95 https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.35 https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.9.6 Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/DSA-5730-1 https://security-tracker.debian.org/tracker/DSA-5731-1 https://security-tracker.debian.org/tracker/DLA-4008-1

Для программных продуктов Red Hat Inc.: https://access.redhat.com/errata/RHSA-2024:5102 https://access.redhat.com/errata/RHSA-2024:5101 https://access.redhat.com/errata/RHSA-2024:6993 https://access.redhat.com/errata/RHSA-2024:8162 https://access.redhat.com/errata/RHSA-2024:4823 https://access.redhat.com/errata/RHSA-2024:4831

Для Ubuntu: https://ubuntu.com/security/CVE-2024-36978

Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для ОС Astra Linux: - обновить пакет linux до 5.4.0-202.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17 - обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17 - обновить пакет linux-5.15 до 5.15.0-127.astra1+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17 - обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux: - обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18 - обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux: - обновить пакет linux до 5.4.0-202.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47 - обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47 - обновить пакет linux-5.15 до 5.15.0-127.astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47 - обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2862

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей