Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-01218

CVSS: 7.3

07.03.2021

Уязвимость функции show_transport_handle ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Уязвимость функции show_transport_handle (/scsi/scsi_transport_iscsi.c) ядра операционной системы Linux связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	07.03.2021
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Данные уточняются
Способ устранения:	Нет данных
Меры по устранению:	В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года. Использование рекомендаций: Для Linux: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f9dbdf97a5bd92b1a49cee3d591b55b11fd7a6d5 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ec98ea7070e94cc25a422ec97d1421e28d97b7ee Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-27365 Для Ubuntu: https://ubuntu.com/security/CVE-2021-27365 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-27365 Для Astra Linux: Использование методических указаний по нейтрализации угроз эксплуатации уязвимостей — БЮЛЛЕТЕНЬ № 20210317SE16MD (https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210317SE16MD) Использование методических указаний по нейтрализации угроз эксплуатации уязвимостей — БЮЛЛЕТЕНЬ № 20210317SE15MD (https://wiki.astralinux.ru/astra-linux-se15-bulletin-20210317SE15MD) Использование методических указаний по нейтрализации угроз эксплуатации уязвимостей — БЮЛЛЕТЕНЬ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16) Для ОСОН Основа: Обновление программного обеспечения linux до версии 5.4.123-1~bpo10+1.osnova164 Для ОС Astra Linux 1.6 «Смоленск»: обновить пакет linux до 4.15.3-141.astra26+ci19 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-122	Переполнение буфера в динамической памяти
CWE-250	CWE-250 Execution with Unnecessary Privileges
CWE-787	Запись за границами буфера

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2021-27365	An issue was discovered in the Linux kernel through 5.11.3. Certain iSCSI data structures do not have appropriate length cons...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.5	HIGH	2.0	AV:N/AC:L/Au:N/C:P/I:P/A:P
7.3	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Идентификаторы других систем описаний уязвимостей

CVE-2021-27365

Вендор:	Red Hat Inc. Canonical Ltd. ООО «РусБИТех-Астра» Сообщество свободного программного обеспечения ООО «Ред Софт» АО "НППКТ"
Тип ПО:	Операционная система ПО виртуализации/ПО виртуального программно-аппаратного средства
Наименование ПО:	Red Hat Enterprise Linux Ubuntu Astra Linux Special Edition Debian GNU/Linux Linux РЕД ОС ОСОН ОСнова Оnyx Red Hat Virtualization
Версия ПО:	6 (Red Hat Enterprise Linux) 14.04 LTS (Ubuntu) 7 (Red Hat Enterprise Linux) 1.5 «Смоленск» (Astra Linux Special Edition) 16.04 LTS (Ubuntu) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 7.6 Extended Update Support (Red Hat Enterprise Linux) 7.2 Advanced Update Support (Red Hat Enterprise Linux) 7.3 Advanced Update Support (Red Hat Enterprise Linux) 7.4 Telco Extended Update Support (Red Hat Enterprise Linux) 7.4 Advanced Update Support (Red Hat Enterprise Linux) 20.04 LTS (Ubuntu) 8.1 Extended Update Support (Red Hat Enterprise Linux) 7.7 Extended Update Support (Red Hat Enterprise Linux) 8.2 Extended Update Support (Red Hat Enterprise Linux) 6 Extended Lifecycle Support (Red Hat Enterprise Linux) до 5.11.3 включительно (Linux) 7.4 Update Services for SAP Solutions (Red Hat Enterprise Linux) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 7.3 (РЕД ОС) до 2.1 (ОСОН ОСнова Оnyx) 4.2 for RHEL 7.6 EUS (Red Hat Virtualization)
ОС и аппаратные платформы:	Red Hat Enterprise Linux (6) Ubuntu (14.04 LTS) Red Hat Enterprise Linux (7) Astra Linux Special Edition (1.5 «Смоленск») Ubuntu (16.04 LTS) Debian GNU/Linux (9) Ubuntu (18.04 LTS) Astra Linux Special Edition (1.6 «Смоленск») Red Hat Enterprise Linux (8) Debian GNU/Linux (10) Red Hat Enterprise Linux (7.6 Extended Update Support) Red Hat Enterprise Linux (7.2 Advanced Update Support) Red Hat Enterprise Linux (7.3 Advanced Update Support) Red Hat Enterprise Linux (7.4 Telco Extended Update Support) Red Hat Enterprise Linux (7.4 Advanced Update Support) Ubuntu (20.04 LTS) Red Hat Enterprise Linux (8.1 Extended Update Support) Red Hat Enterprise Linux (7.7 Extended Update Support) Red Hat Enterprise Linux (8.2 Extended Update Support) Red Hat Enterprise Linux (6 Extended Lifecycle Support) Linux (до 5.11.3 включительно) Red Hat Enterprise Linux (7.4 Update Services for SAP Solutions) Debian GNU/Linux (11) Debian GNU/Linux (12) РЕД ОС (7.3) ОСОН ОСнова Оnyx (до 2.1)
Ссылки на источники:	https://access.redhat.com/security/cve/CVE-2021-27365 https://blog.grimm-co.com/2021/03/new-old-bugs-in-linux-kernel.html https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f9dbdf97a5bd92b1a49cee3d591b55b11fd7a6d5 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ec98ea7070e94cc25a422ec97d1421e28d97b7ee https://lists.debian.org/debian-lts-announce/2021/03/msg00010.html https://nvd.nist.gov/vuln/detail/CVE-2021-27365 https://security-tracker.debian.org/tracker/CVE-2021-27365 https://wiki.astralinux.ru/astra-linux-se15-bulletin-20210317SE15MD https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210317SE16MD https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://access.redhat.com/security/cve/cve-2021-27365 https://ubuntu.com/security/CVE-2021-27365 https://security-tracker.debian.org/tracker/CVE-2021-27365

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-01218

BDU:2021-01218

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей