The OVAL Astra Linux 5.11.1 2026-05-19T06:38:12.041199+00:00 Astra Linux 1.8 liblivemedia In Live Networks, Inc., liblivemedia version 20200625, there is a potential buffer overflow bug in the server handling of a RTSP "PLAY" command, when the command specifies seeking by absolute time. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Отказаться от использования библиотеки liblivemedia - При использовании ПО, использующего библиотеку liblivemedia, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку liblivemedia, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 liblivemedia Vulnerability in the AC3AudioFileServerMediaSubsession, ADTSAudioFileServerMediaSubsession, and AMRAudioFileServerMediaSubsessionLive OnDemandServerMediaSubsession subclasses in Networks LIVE555 Streaming Media before 2021.3.16. [] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Отказаться от использования библиотеки liblivemedia - При использовании ПО, использующего библиотеку liblivemedia, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку liblivemedia, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 openjpeg2 A heap-based buffer overflow was found in openjpeg in color.c:379:42 in sycc420_to_rgb when decompressing a crafted .j2k file. An attacker could use this to execute arbitrary code with the permissions of the application compiled against openjpeg. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Используйте openjpeg2 с минимально необходимыми привилегиями - Активировать режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - При использовании ПО openjpeg2 выполнять обработку файлов, полученных только из доверенных источников Astra Linux 1.8 liblivemedia Live555 through 1.08 mishandles huge requests for the same MP3 stream, leading to recursion and s stack-based buffer over-read. An attacker can leverage this to launch a DoS attack. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Отказаться от использования библиотеки liblivemedia - При использовании ПО, использующего библиотеку liblivemedia, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку liblivemedia, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 liblivemedia Live555 through 1.08 does not handle MPEG-1 or 2 files properly. Sending two successive RTSP SETUP commands for the same track causes a Use-After-Free and daemon crash. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) - Отказаться от использования библиотеки liblivemedia - При использовании ПО, использующего библиотеку liblivemedia, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку liblivemedia, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 liblivemedia Live555 through 1.08 does not handle Matroska and Ogg files properly. Sending two successive RTSP SETUP commands for the same track causes a Use-After-Free and daemon crash. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) - Отказаться от использования библиотеки liblivemedia - При использовании ПО, использующего библиотеку liblivemedia, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку liblivemedia, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 liblivemedia Live555 through 1.08 has a memory leak in AC3AudioStreamParser for AC3 files. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Отказаться от использования библиотеки liblivemedia - При использовании ПО, использующего библиотеку liblivemedia, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку liblivemedia, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 liblivemedia liveMedia/FramedSource.cpp in Live555 through 1.08 allows an assertion failure and application exit via multiple SETUP and PLAY commands. [NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) - Отказаться от использования библиотеки liblivemedia - При использовании ПО, использующего библиотеку liblivemedia, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку liblivemedia, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 linux-6.1 A flaw was found in the filelock_init in fs/locks.c function in the Linux kernel. This issue can lead to host memory exhaustion due to memcg not limiting the number of Portable Operating System Interface (POSIX) file locks. [NistCWE(cwe='CWE-770'), NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 glusterfs In Gluster GlusterFS 11.0, there is an xlators/cluster/dht/src/dht-common.c dht_setxattr_mds_cbk use-after-free. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Отказаться от использования ПО glusterfs в пользу ПО ceph - При использовании ПО glusterfs выполнять обработку файлов, полученных только из доверенных источников - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 mongo-c-driver When calling bson_utf8_validate on some inputs a loop with an exit condition that cannot be reached may occur, i.e. an infinite loop. This issue affects All MongoDB C Driver versions prior to versions 1.25.0. [NistCWE(cwe='CWE-835'), NistCWE(cwe='CWE-835')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - Запускайте mongo-c-driver с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Настройте права доступа к конфигурационным файлам mongo-c-driver так, чтобы их могли изменять только администраторы системы. - Задействуйте контейнеризацию (например, Docker) Astra Linux 1.8 liblivemedia A heap-use-after-free vulnerability was found in live555 version 2023.05.10 while handling the SETUP. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Отказаться от использования библиотеки liblivemedia - При использовании ПО, использующего библиотеку liblivemedia, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку liblivemedia, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 exim4 Exim dnsdb Out-Of-Bounds Read Information Disclosure Vulnerability. This vulnerability allows network-adjacent attackers to disclose sensitive information on affected installations of Exim. Authentication is not required to exploit this vulnerability. The specific flaw exists within the smtp service, which listens on TCP port 25 by default. The issue results from the lack of proper validation of user-supplied data, which can result in a read past the end of an allocated buffer. An attacker can leverage this in conjunction with other vulnerabilities to execute arbitrary code in the context of the service account. . Was ZDI-CAN-17643. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N', score=3.1) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 ansible A flaw was found in the Ansible Automation Platform. When creating a new keypair, the ec2_key module prints out the private key directly to the standard output. This flaw allows an attacker to fetch those keys from the log files, compromising the system's confidentiality, integrity, and availability. [NistCWE(cwe='CWE-497')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H', score=7.3) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.8 exim4 Exim before 4.97.1 allows SMTP smuggling in certain PIPELINING/CHUNKING configurations. Remote attackers can use a published exploitation technique to inject e-mail messages with a spoofed MAIL FROM address, allowing bypass of an SPF protection mechanism. This occurs because Exim supports <LF>.<CR><LF> but some other popular e-mail servers do not. [NistCWE(cwe='CWE-345')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N', score=5.3) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 ghostscript An issue was discovered in Artifex Ghostscript before 10.03.1. psi/zmisc1.c, when SAFER mode is used, allows eexec seeds other than the Type 1 standard. [] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=5.5) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: gfs2: Fix slab-use-after-free in gfs2_qd_dealloc In gfs2_put_super(), whether withdrawn or not, the quota should be cleaned up by gfs2_quota_cleanup(). Otherwise, struct gfs2_sbd will be freed before gfs2_qd_dealloc (rcu callback) has run for all gfs2_quota_data objects, resulting in use-after-free. Also, gfs2_destroy_threads() and gfs2_quota_cleanup() is already called by gfs2_make_fs_ro(), so in gfs2_put_super(), after calling gfs2_make_fs_ro(), there is no need to call them again. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 A Speculative Race Condition (SRC) vulnerability that impacts modern CPU architectures supporting speculative execution (related to Spectre V1) has been disclosed. An unauthenticated attacker can exploit this vulnerability to disclose arbitrary data from the CPU using race conditions to access the speculative executable code paths. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N', score=5.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 mbedtls An issue was discovered in Mbed TLS 2.x before 2.28.7 and 3.x before 3.5.2. There was a timing side channel in RSA private operations. This side channel could be sufficient for a local attacker to recover the plaintext. It requires the attacker to send a large number of messages for decryption, as described in "Everlasting ROBOT: the Marvin Attack" by Hubert Kario. [NistCWE(cwe='CWE-203'), NistCWE(cwe='CWE-385')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Удалить ПО mbedtls, если оно не используется и не является зависимостью других пакетов - Обеспечить возможность запуска mbedtls только доверенными пользователями ОС - Рекомендуется с помощью межсетевого экрана (firewall) отключить доступ пользователям к небезопасным сайтам - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 mbedtls Integer Overflow vulnerability in Mbed TLS 2.x before 2.28.7 and 3.x before 3.5.2, allows attackers to cause a denial of service (DoS) via mbedtls_x509_set_extension(). [NistCWE(cwe='CWE-190'), NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Удалить ПО mbedtls, если оно не используется и не является зависимостью других пакетов - Обеспечить возможность запуска mbedtls только доверенными пользователями ОС - Рекомендуется с помощью межсетевого экрана (firewall) отключить доступ пользователям к небезопасным сайтам - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 libarchive Libarchive Remote Code Execution Vulnerability [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Запретить установку бита исполнения для каталогов с обрабатываемыми данными, включая права администраторов. - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды. - Обрабатывать данные только из доверенных источников, блокируя загрузку непроверенных строковых объектов. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Для непривилегированных пользователей активировать режим Киоск-2 с блокировкой интерпретаторов. - Ограничить редактирование конфигурационных файлов libarchive исключительно группой root. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: arm64/sme: Always exit sme_alloc() early with existing storage When sme_alloc() is called with existing storage and we are not flushing we will always allocate new storage, both leaking the existing storage and corrupting the state. Fix this by separating the checks for flushing and for existing storage as we do for SVE. Callers that reallocate (eg, due to changing the vector length) should call sme_free() themselves. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 mbedtls An issue was discovered in Mbed TLS 2.18.0 through 2.28.x before 2.28.8 and 3.x before 3.6.0, and Mbed Crypto. The PSA Crypto API mishandles shared memory. [NistCWE(cwe='CWE-284')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N', score=8.2) - Удалить ПО mbedtls, если оно не используется и не является зависимостью других пакетов - Обеспечить возможность запуска mbedtls только доверенными пользователями ОС - Рекомендуется с помощью межсетевого экрана (firewall) отключить доступ пользователям к небезопасным сайтам - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 ghostscript Artifex Ghostscript before 10.03.1 allows memory corruption, and SAFER sandbox bypass, via format string injection with a uniprint device. [NistCWE(cwe='CWE-693')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N', score=6.3) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 ghostscript An issue was discovered in Artifex Ghostscript before 10.03.1. Path traversal and command execution can occur (via a crafted PostScript document) because of path reduction in base/gpmisc.c. For example, restrictions on use of %pipe% can be bypassed via the aa/../%pipe%command# output filename. [NistCWE(cwe='CWE-22')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L', score=5.3) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 ghostscript An issue was discovered in Artifex Ghostscript before 10.03.1. There is path traversal (via a crafted PostScript document) to arbitrary files if the current directory is in the permitted paths. For example, there can be a transformation of ../../foo to ./../../foo and this will grant access if ./ is permitted. [NistCWE(cwe='CWE-22')] None NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L', score=6.3) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 ghostscript An issue was discovered in Artifex Ghostscript before 10.03.1. contrib/opvp/gdevopvp.c allows arbitrary code execution via a custom Driver library, exploitable via a crafted PostScript document. This occurs because the Driver parameter for opvp (and oprp) devices can have an arbitrary name for a dynamic library; this library is then loaded. [NistCWE(cwe='CWE-94')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 botan Botan is a C++ cryptography library. X.509 certificates can identify elliptic curves using either an object identifier or using explicit encoding of the parameters. Prior to versions 3.3.0 and 2.19.4, an attacker could present an ECDSA X.509 certificate using explicit encoding where the parameters are very large. The proof of concept used a 16Kbit prime for this purpose. When parsing, the parameter is checked to be prime, causing excessive computation. This was patched in 2.19.4 and 3.3.0 to allow the prime parameter of the elliptic curve to be at most 521 bits. No known workarounds are available. Note that support for explicit encoding of elliptic curve parameters is deprecated in Botan. [NistCWE(cwe='CWE-405')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.8 composer Composer is a dependency manager for PHP. On the 2.x branch prior to versions 2.2.24 and 2.7.7, the `status`, `reinstall` and `remove` commands with packages installed from source via git containing specially crafted branch names in the repository can be used to execute code. Patches for this issue are available in version 2.2.24 for 2.2 LTS or 2.7.7 for mainline. As a workaround, avoid installing dependencies via git by using `--prefer-dist` or the `preferred-install: dist` config setting. [NistCWE(cwe='CWE-77')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 composer Composer is a dependency manager for PHP. On the 2.x branch prior to versions 2.2.24 and 2.7.7, the `composer install` command running inside a git/hg repository which has specially crafted branch names can lead to command injection. This requires cloning untrusted repositories. Patches are available in version 2.2.24 for 2.2 LTS or 2.7.7 for mainline. As a workaround, avoid cloning potentially compromised repositories. [NistCWE(cwe='CWE-77')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: fix __dst_negative_advice() race __dst_negative_advice() does not enforce proper RCU rules when sk->dst_cache must be cleared, leading to possible UAF. RCU rules are that we must first clear sk->sk_dst_cache, then call dst_release(old_dst). Note that sk_dst_reset(sk) is implementing this protocol correctly, while __dst_negative_advice() uses the wrong order. Given that ip6_negative_advice() has special logic against RTF_CACHE, this means each of the three ->negative_advice() existing methods must perform the sk_dst_reset() themselves. Note the check against NULL dst is centralized in __dst_negative_advice(), there is no need to duplicate it in various callbacks. Many thanks to Clement Lecigne for tracking this issue. This old bug became visible after the blamed commit, using UDP sockets. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: dma-mapping: benchmark: handle NUMA_NO_NODE correctly cpumask_of_node() can be called for NUMA_NO_NODE inside do_map_benchmark() resulting in the following sanitizer report: UBSAN: array-index-out-of-bounds in ./arch/x86/include/asm/topology.h:72:28 index -1 is out of range for type 'cpumask [64][1]' CPU: 1 PID: 990 Comm: dma_map_benchma Not tainted 6.9.0-rc6 #29 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996) Call Trace: <TASK> dump_stack_lvl (lib/dump_stack.c:117) ubsan_epilogue (lib/ubsan.c:232) __ubsan_handle_out_of_bounds (lib/ubsan.c:429) cpumask_of_node (arch/x86/include/asm/topology.h:72) [inline] do_map_benchmark (kernel/dma/map_benchmark.c:104) map_benchmark_ioctl (kernel/dma/map_benchmark.c:246) full_proxy_unlocked_ioctl (fs/debugfs/file.c:333) __x64_sys_ioctl (fs/ioctl.c:890) do_syscall_64 (arch/x86/entry/common.c:83) entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:130) Use cpumask_of_node() in place when binding a kernel thread to a cpuset of a particular node. Note that the provided node id is checked inside map_benchmark_ioctl(). It's just a NUMA_NO_NODE case which is not handled properly later. Found by Linux Verification Center (linuxtesting.org). [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 exim4 Exim through 4.97.1 misparses a multiline RFC 2231 header filename, and thus remote attackers can bypass a $mime_filename extension-blocking protection mechanism, and potentially deliver executable attachments to the mailboxes of end users. [NistCWE(cwe='CWE-116')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N', score=5.4) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 qemu A flaw was found in the QEMU disk image utility (qemu-img) 'info' command. A specially crafted image file containing a `json:{}` value describing block devices in QMP could cause the qemu-img process on the host to consume large amounts of memory or CPU time, leading to denial of service or read/write to an existing external file. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Запускайте QEMU с минимально необходимыми привилегиями. Избегайте запуска QEMU от имени суперпользователя - Используйте виртуальные сети для изоляции трафика виртуальных машин от хост-системы и других сетей - Настройте брандмауэр для ограничения входящих и исходящих соединений, связанных с виртуальными машинами - Установите лимиты на использование CPU, памяти и других ресурсов для каждой виртуальной машины - Создайте отдельного пользователя и группу для управления QEMU, чтобы ограничить доступ к системным ресурсам - Используйте SSH для безопасного удаленного доступа к виртуальным машинам - Проверяйте образы виртуальных машин перед их загрузкой и выполнением - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: btrfs: fix race between direct IO write and fsync when using same fd If we have 2 threads that are using the same file descriptor and one of them is doing direct IO writes while the other is doing fsync, we have a race where we can end up either: 1) Attempt a fsync without holding the inode's lock, triggering an assertion failures when assertions are enabled; 2) Do an invalid memory access from the fsync task because the file private points to memory allocated on stack by the direct IO task and it may be used by the fsync task after the stack was destroyed. The race happens like this: 1) A user space program opens a file descriptor with O_DIRECT; 2) The program spawns 2 threads using libpthread for example; 3) One of the threads uses the file descriptor to do direct IO writes, while the other calls fsync using the same file descriptor. 4) Call task A the thread doing direct IO writes and task B the thread doing fsyncs; 5) Task A does a direct IO write, and at btrfs_direct_write() sets the file's private to an on stack allocated private with the member 'fsync_skip_inode_lock' set to true; 6) Task B enters btrfs_sync_file() and sees that there's a private structure associated to the file which has 'fsync_skip_inode_lock' set to true, so it skips locking the inode's VFS lock; 7) Task A completes the direct IO write, and resets the file's private to NULL since it had no prior private and our private was stack allocated. Then it unlocks the inode's VFS lock; 8) Task B enters btrfs_get_ordered_extents_for_logging(), then the assertion that checks the inode's VFS lock is held fails, since task B never locked it and task A has already unlocked it. The stack trace produced is the following: assertion failed: inode_is_locked(&inode->vfs_inode), in fs/btrfs/ordered-data.c:983 ------------[ cut here ]------------ kernel BUG at fs/btrfs/ordered-data.c:983! Oops: invalid opcode: 0000 [#1] PREEMPT SMP PTI CPU: 9 PID: 5072 Comm: worker Tainted: G U OE 6.10.5-1-default #1 openSUSE Tumbleweed 69f48d427608e1c09e60ea24c6c55e2ca1b049e8 Hardware name: Acer Predator PH315-52/Covini_CFS, BIOS V1.12 07/28/2020 RIP: 0010:btrfs_get_ordered_extents_for_logging.cold+0x1f/0x42 [btrfs] Code: 50 d6 86 c0 e8 (...) RSP: 0018:ffff9e4a03dcfc78 EFLAGS: 00010246 RAX: 0000000000000054 RBX: ffff9078a9868e98 RCX: 0000000000000000 RDX: 0000000000000000 RSI: ffff907dce4a7800 RDI: ffff907dce4a7800 RBP: ffff907805518800 R08: 0000000000000000 R09: ffff9e4a03dcfb38 R10: ffff9e4a03dcfb30 R11: 0000000000000003 R12: ffff907684ae7800 R13: 0000000000000001 R14: ffff90774646b600 R15: 0000000000000000 FS: 00007f04b96006c0(0000) GS:ffff907dce480000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f32acbfc000 CR3: 00000001fd4fa005 CR4: 00000000003726f0 Call Trace: <TASK> ? __die_body.cold+0x14/0x24 ? die+0x2e/0x50 ? do_trap+0xca/0x110 ? do_error_trap+0x6a/0x90 ? btrfs_get_ordered_extents_for_logging.cold+0x1f/0x42 [btrfs bb26272d49b4cdc847cf3f7faadd459b62caee9a] ? exc_invalid_op+0x50/0x70 ? btrfs_get_ordered_extents_for_logging.cold+0x1f/0x42 [btrfs bb26272d49b4cdc847cf3f7faadd459b62caee9a] ? asm_exc_invalid_op+0x1a/0x20 ? btrfs_get_ordered_extents_for_logging.cold+0x1f/0x42 [btrfs bb26272d49b4cdc847cf3f7faadd459b62caee9a] ? btrfs_get_ordered_extents_for_logging.cold+0x1f/0x42 [btrfs bb26272d49b4cdc847cf3f7faadd459b62caee9a] btrfs_sync_file+0x21a/0x4d0 [btrfs bb26272d49b4cdc847cf3f7faadd459b62caee9a] ? __seccomp_filter+0x31d/0x4f0 __x64_sys_fdatasync+0x4f/0x90 do_syscall_64+0x82/0x160 ? do_futex+0xcb/0x190 ? __x64_sys_futex+0x10e/0x1d0 ? switch_fpu_return+0x4f/0xd0 ? syscall_exit_to_user_mode+0x72/0x220 ? do_syscall_64+0x8e/0x160 ? syscall_exit_to_user_mod ---truncated--- [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 libarchive execute_filter_audio in archive_read_support_format_rar.c in libarchive before 3.7.5 allows out-of-bounds access via a crafted archive file because src can move beyond dst. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Запретить установку бита исполнения для каталогов с обрабатываемыми данными, включая права администраторов. - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды. - Обрабатывать данные только из доверенных источников, блокируя загрузку непроверенных строковых объектов. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Для непривилегированных пользователей активировать режим Киоск-2 с блокировкой интерпретаторов. - Ограничить редактирование конфигурационных файлов libarchive исключительно группой root. Astra Linux 1.8 libarchive execute_filter_delta in archive_read_support_format_rar.c in libarchive before 3.7.5 allows out-of-bounds access via a crafted archive file because src can move beyond dst. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Запретить установку бита исполнения для каталогов с обрабатываемыми данными, включая права администраторов. - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды. - Обрабатывать данные только из доверенных источников, блокируя загрузку непроверенных строковых объектов. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Для непривилегированных пользователей активировать режим Киоск-2 с блокировкой интерпретаторов. - Ограничить редактирование конфигурационных файлов libarchive исключительно группой root. Astra Linux 1.8 firefox, thunderbird If a garbage collection was triggered at the right time, a use-after-free could have occurred during object transplant. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.1) Astra Linux 1.8 firefox In addition to detecting when a user was taking a screenshot (XXX), a website was able to overlay the 'My Shots' button that appeared, and direct the user to a replica Firefox Screenshots page that could be used for phishing. This vulnerability affects Firefox < 127. [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird By monitoring the time certain operations take, an attacker could have guessed which external protocol handlers were functional on a user's system. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12. [NistCWE(cwe='CWE-203'), NistCWE(cwe='CWE-203')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) Astra Linux 1.8 firefox, thunderbird By tricking the browser with a `X-Frame-Options` header, a sandboxed iframe could have presented a button that, if clicked by a user, would bypass restrictions to open a new window. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12. [NistCWE(cwe='CWE-693')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N', score=4.7) Astra Linux 1.8 firefox, thunderbird Offscreen Canvas did not properly track cross-origin tainting, which could be used to access image data from another site in violation of same-origin policy. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12. [NistCWE(cwe='CWE-829')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) Astra Linux 1.8 firefox An attacker could have caused a use-after-free in the JavaScript engine to read memory in the JavaScript string section of the heap. This vulnerability affects Firefox < 127. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox If an out-of-memory condition occurs at a specific point using allocations in the probabilistic heap checker, an assertion could have been triggered, and in rarer situations, memory corruption could have occurred. This vulnerability affects Firefox < 127. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird By manipulating the text in an `&lt;input&gt;` tag, an attacker could have caused corrupt memory leading to a potentially exploitable crash. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H', score=8.6) Astra Linux 1.8 firefox A website was able to detect when a user took a screenshot of a page using the built-in Screenshot functionality in Firefox. This vulnerability affects Firefox < 127. [NistCWE(cwe='CWE-203')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox By manipulating the fullscreen feature while opening a data-list, an attacker could have overlaid a text box over the address bar. This could have led to user confusion and possible spoofing attacks. This vulnerability affects Firefox < 127. [NistCWE(cwe='CWE-1021'), NistCWE(cwe='CWE-451')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox In violation of spec, cookie prefixes such as `__Secure` were being ignored if they were not correctly capitalized - by spec they should be checked with a case-insensitive comparison. This could have resulted in the browser not correctly honoring the behaviors specified by the prefix. This vulnerability affects Firefox < 127. [NistCWE(cwe='CWE-178')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird Memory safety bugs present in Firefox 126, Firefox ESR 115.11, and Thunderbird 115.11. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12. [NistCWE(cwe='CWE-786')] None NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.0) Astra Linux 1.8 firefox Memory safety bugs present in Firefox 126. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 127. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 thunderbird Memory corruption in the networking stack could have led to a potentially exploitable crash. This vulnerability affects Firefox < 125, Firefox ESR < 115.12, and Thunderbird < 115.12. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to perform an out of bounds memory write via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Dawn in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Dawn in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to potentially perform out of bounds memory access via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Dawn in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to execute arbitrary code via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-94')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Heap buffer overflow in Tab Groups in Google Chrome prior to 126.0.6478.54 allowed a remote attacker who convinced a user to engage in specific UI gestures to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate Implementation in DevTools in Google Chrome prior to 126.0.6478.54 allowed an attacker who convinced a user to install a malicious extension to execute arbitrary code via a crafted Chrome Extension. (Chromium security severity: High) [NistCWE(cwe='CWE-474')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to potentially perform out of bounds memory access via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to perform out of bounds memory access via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate Implementation in Memory Allocator in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-474')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Policy bypass in CORS in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to bypass discretionary access control via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-284')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in V8 in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Browser UI in Google Chrome prior to 126.0.6478.54 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform an out of bounds memory read via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Downloads in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to obfuscate security UI via a malicious file. (Chromium security severity: Medium) [NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Heap buffer overflow in Tab Strip in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to perform an out of bounds memory read via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Audio in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to potentially exploit heap corruption via a crafted PDF file. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in PDFium in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to potentially exploit heap corruption via a crafted PDF file. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in PDFium in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to potentially exploit heap corruption via a crafted PDF file. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 126.0.6478.114 allowed a remote attacker to execute arbitrary code via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in V8 in Google Chrome prior to 126.0.6478.114 allowed a remote attacker to perform out of bounds memory access via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-358')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Out of bounds memory access in Dawn in Google Chrome prior to 126.0.6478.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Dawn in Google Chrome prior to 126.0.6478.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Dawn in Google Chrome prior to 126.0.6478.126 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Swiftshader in Google Chrome prior to 126.0.6478.126 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Dawn in Google Chrome prior to 126.0.6478.126 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Dawn in Google Chrome prior to 126.0.6478.126 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 openssh A security regression (CVE-2006-5051) was discovered in OpenSSH's server (sshd). There is a race condition which can lead sshd to handle some signals in an unsafe manner. An unauthenticated, remote attacker may be able to trigger it by failing to authenticate within a set time period. [NistCWE(cwe='CWE-364'), NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.1) - Не подключайтесь к ненадежным серверам с помощью агента SSH; - Не используйте опцию -A при использовании команды ssh для исключения возможности перенаправления соединения агента аутентификации; - Убедитесь, что опция ForwardAgent отключена глобальных и пользовательских конфигурационных файлах SSH-клиента (/etc/ssh/ssh_config и ~/.ssh/config). Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Ограничьте доступ к SSH-серверу только для доверенных пользователей. Для этого, используя полномочия администратора системы с высоким уровнем целостности, добавьте параметр AllowUsers в конфигурационные файлы SSH. Пример добавления пользователя: ` AllowUsers <username> ` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Настройте разграничение по сетевым интерфейсам, сетевым адресам и именам компьютера. Для этого, используя полномочия администратора системы с высоким уровнем целостности, добавьте параметр ListenAddress в конфигурационные файлы SSH. Пример конфигурации: ``` # Прослушивать на конкретном IP-адресе сервера ListenAddress 192.168.1.10 # Можно указать несколько строк ListenAddress 192.168.1.10 ListenAddress 10.0.0.5 ``` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Для защиты ключей следует выбирать надёжный пароль доступа к клиентским файлам ключей. При формировании ключа для увеличения числа итераций хэширования можно использовать опцию "ssh-keygen -o -a <число>", что усложнит подбор пароля. Также можно сохранить ключи только на внешнем носителе, подключая его только во время соединения по SSH. - Установите небольшое время ожидания для завершения аутентификации пользователя в конфигурационных файлах SSH, используя полномочия администратора системы с высоким уровнем целостности. Пример конфигурации: ` LoginGraceTime 10s ` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Ограничьте количество попыток авторизации в конфигурационных файлах SSH, используя полномочия администратора системы с высоким уровнем целостности. Пример конфигурации: ``` # Ограничение на две неудачные попытки, после чего произойдёт разрыв соединения MaxAuthTries 2 ``` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Включите аутентификацию с использованием ключей Запретите вход от имени root. Для этого, используя полномочия администратора системы с высоким уровнем целостности, в конфигурационных файлах SSH установите следующий параметр: ``` PermitRootLogin no ``` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Измените стандартный порт SSH. Для этого, используя полномочия администратора системы с высоким уровнем целостности, в конфигурационных файлах SSH установите следующий параметр: ``` Port <Новый порт SSH> ``` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Ограничьте доступ по IP-адресу для снижения возможности подключения к серверу с неразрешённых IP-адресов. Для этого, используя полномочия администратора системы с высоким уровнем целостности, в файле /etc/hosts.allow добавьте строки вида: ``` sshd: <разрешённый IP-адрес> ``` А также, используя полномочия администратора системы с высоким уровнем целостности, в файле /etc/hosts.deny добавьте следующую строку: ``` sshd: ALL ``` Astra Linux 1.8 firefox, thunderbird A race condition could lead to a cross-origin container obtaining permissions of the top-level origin. This vulnerability affects Firefox < 128, Firefox ESR < 115.13, Thunderbird < 115.13, and Thunderbird < 128. [NistCWE(cwe='CWE-367')] None NistCVSS3(cvss='AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L', score=4.7) Astra Linux 1.8 firefox, thunderbird, nss A mismatch between allocator and deallocator could have led to memory corruption. This vulnerability affects Firefox < 128, Firefox ESR < 115.13, Thunderbird < 115.13, and Thunderbird < 128. [NistCWE(cwe='CWE-94')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.8 firefox, thunderbird In an out-of-memory scenario an allocation could fail but free would have been called on the pointer afterwards leading to memory corruption. This vulnerability affects Firefox < 128, Firefox ESR < 115.13, Thunderbird < 115.13, and Thunderbird < 128. [NistCWE(cwe='CWE-823')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N', score=7.4) Astra Linux 1.8 firefox, thunderbird Memory safety bugs present in Firefox 127, Firefox ESR 115.12, and Thunderbird 115.12. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 128, Firefox ESR < 115.13, Thunderbird < 115.13, and Thunderbird < 128. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.5) Astra Linux 1.8 firefox, thunderbird Clipboard code failed to check the index on an array access. This could have led to an out-of-bounds read. This vulnerability affects Firefox < 128 and Thunderbird < 128. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:L', score=8.2) Astra Linux 1.8 firefox It was possible to prevent a user from exiting pointerlock when pressing escape and to overlay customValidity notifications from a `&lt;select&gt;` element over certain permission prompts. This could be used to confuse a user into giving a site unintended permissions. This vulnerability affects Firefox < 128 and Thunderbird < 128. [NistCWE(cwe='CWE-763')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox It was possible to move the cursor using pointerlock from an iframe. This allowed moving the cursor outside of the viewport and the Firefox window. This vulnerability affects Firefox < 128 and Thunderbird < 128. [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, nss When almost out-of-memory an elliptic curve key which was never allocated could have been freed again. This vulnerability affects Firefox < 128 and Thunderbird < 128. [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 firefox Form validation popups could capture escape key presses. Therefore, spamming form validation messages could be used to prevent users from exiting full-screen mode. This vulnerability affects Firefox < 128 and Thunderbird < 128. [NistCWE(cwe='CWE-451')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox A nested iframe, triggering a cross-site navigation, could send SameSite=Strict or Lax cookies. This vulnerability affects Firefox < 128 and Thunderbird < 128. [NistCWE(cwe='CWE-1275')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox CSP violations generated links in the console tab of the developer tools, pointing to the violating resource. This caused a DNS prefetch which leaked that a CSP violation happened. This vulnerability affects Firefox < 128 and Thunderbird < 128. [NistCWE(cwe='CWE-200')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox The frame iterator could get stuck in a loop when encountering certain wasm frames leading to incorrect stack traces. This vulnerability affects Firefox < 128 and Thunderbird < 128. [NistCWE(cwe='CWE-209')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox The frame iterator could get stuck in a loop when encountering certain wasm frames leading to incorrect stack traces. This vulnerability affects Firefox < 128 and Thunderbird < 128. [NistCWE(cwe='CWE-835')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox Memory safety bugs present in Firefox 127 and Thunderbird 127. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 128 and Thunderbird < 128. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in V8 in Google Chrome prior to 126.0.6478.54 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Low) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 qemu A flaw was found in the QEMU NBD Server. This vulnerability allows a denial of service (DoS) attack via improper synchronization during socket closure when a client keeps a socket open as the server is taken offline. [NistCWE(cwe='CWE-662')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Запускайте QEMU с минимально необходимыми привилегиями. Избегайте запуска QEMU от имени суперпользователя - Используйте виртуальные сети для изоляции трафика виртуальных машин от хост-системы и других сетей - Настройте брандмауэр для ограничения входящих и исходящих соединений, связанных с виртуальными машинами - Установите лимиты на использование CPU, памяти и других ресурсов для каждой виртуальной машины - Создайте отдельного пользователя и группу для управления QEMU, чтобы ограничить доступ к системным ресурсам - Используйте SSH для безопасного удаленного доступа к виртуальным машинам - Проверяйте образы виртуальных машин перед их загрузкой и выполнением - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 firefox, thunderbird An error in the ECMA-262 specification relating to Async Generators could have resulted in a type confusion, potentially leading to memory corruption and an exploitable crash. This vulnerability affects Firefox < 128, Firefox ESR < 115.13, Thunderbird < 115.13, and Thunderbird < 128. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.8 chromium Type confusion in WebAssembly in Google Chrome prior to 126.0.6478.126 allowed a remote attacker to execute arbitrary code via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 parsec Уязвимость утилиты pdp-ls подсистемы безопасности PARSEC связана с некорректным освобождением памяти после завершения её использования. Эксплуатация уязвимости позволяет нарушителю вызвать отказ в обслуживании CWE-401 AV:L/AC:L/Au:N/C:N/I:N/A:P AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L Astra Linux 1.8 parsec Уязвимость утилиты sumac подсистемы безопасности PARSEC связана с некорректным освобождением памяти после завершения её использования. Эксплуатация уязвимости позволяет нарушителю вызвать отказ в обслуживании CWE-401 AV:L/AC:L/Au:N/C:N/I:N/A:C AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H Astra Linux 1.8 parsec Уязвимость утилиты pdp-id подсистемы безопасности PARSEC связана с некорректным освобождением памяти после завершения её использования. Эксплуатация уязвимости позволяет нарушителю вызвать отказ в обслуживании CWE-401 AV:L/AC:L/Au:S/C:N/I:N/A:C AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: riscv: prevent pt_regs corruption for secondary idle threads Top of the kernel thread stack should be reserved for pt_regs. However this is not the case for the idle threads of the secondary boot harts. Their stacks overlap with their pt_regs, so both may get corrupted. Similar issue has been fixed for the primary hart, see c7cdd96eca28 ("riscv: prevent stack corruption by reserving task_pt_regs(p) early"). However that fix was not propagated to the secondary harts. The problem has been noticed in some CPU hotplug tests with V enabled. The function smp_callin stored several registers on stack, corrupting top of pt_regs structure including status field. As a result, kernel attempted to save or restore inexistent V context. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 openssl Issue summary: Calling the OpenSSL API function SSL_free_buffers may cause memory to be accessed that was previously freed in some situations Impact summary: A use after free can have a range of potential consequences such as the corruption of valid data, crashes or execution of arbitrary code. However, only applications that directly call the SSL_free_buffers function are affected by this issue. Applications that do not call this function are not vulnerable. Our investigations indicate that this function is rarely used by applications. The SSL_free_buffers function is used to free the internal OpenSSL buffer used when processing an incoming record from the network. The call is only expected to succeed if the buffer is not currently in use. However, two scenarios have been identified where the buffer is freed even when still in use. The first scenario occurs where a record header has been received from the network and processed by OpenSSL, but the full record body has not yet arrived. In this case calling SSL_free_buffers will succeed even though a record has only been partially processed and the buffer is still in use. The second scenario occurs where a full record containing application data has been received and processed by OpenSSL but the application has only read part of this data. Again a call to SSL_free_buffers will succeed even though the buffer is still in use. While these scenarios could occur accidentally during normal operation a malicious attacker could attempt to engineer a stituation where this occurs. We are not aware of this issue being actively exploited. The FIPS modules in 3.3, 3.2, 3.1 and 3.0 are not affected by this issue. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Использовать ПО pyopenssl только на низком или отдельно выделенном уровне целостности - При использовании ПО pyopenssl выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска py только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 gsl A buffer overflow can occur when calculating the quantile value using the Statistics Library of GSL (GNU Scientific Library), versions 2.5 and 2.6. Processing a maliciously crafted input data for gsl_stats_quantile_from_sorted_data of the library may lead to unexpected application termination or arbitrary code execution. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) - Отказаться от использования ПО gsl в пользу ПО armadillo, ПО boost-defaults или ПО eigen3 - При использовании ПО gsl выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска gsl только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 tidy-html5 An issue in HTACG HTML Tidy v5.7.28 allows attacker to execute arbitrary code via the -g option of the CleanNode() function in gdoc.c. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.8 p7zip 7-Zip 22.01 does not report an error for certain invalid xz files, involving block flags and reserved bits. Some later versions are unaffected. [NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N', score=2.5) - Запускайте p7zip с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Настройте права доступа к исполняемым файлам p7zip так, чтобы их могли изменять только администраторы системы. - Распаковывайте только архивы из надежных источников. Избегайте распаковки архивов, полученных из неизвестных или подозрительных источников. - Перед распаковкой архивов сканируйте их на наличие вредоносного ПО с помощью антивирусных программ. Astra Linux 1.8 p7zip 7-Zip 22.01 does not report an error for certain invalid xz files, involving stream flags and reserved bits. Some later versions are unaffected. [NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N', score=2.5) - Запускайте p7zip с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Настройте права доступа к исполняемым файлам p7zip так, чтобы их могли изменять только администраторы системы. - Распаковывайте только архивы из надежных источников. Избегайте распаковки архивов, полученных из неизвестных или подозрительных источников. - Перед распаковкой архивов сканируйте их на наличие вредоносного ПО с помощью антивирусных программ. Astra Linux 1.8 cloud-init Sensitive data could be exposed in logs of cloud-init before version 23.1.2. An attacker could use this information to find hashed passwords and possibly escalate their privilege. [NistCWE(cwe='CWE-532'), NistCWE(cwe='CWE-532')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) Astra Linux 1.8 python3.11 The email module of Python through 3.11.3 incorrectly parses e-mail addresses that contain a special character. The wrong portion of an RFC2822 header is identified as the value of the addr-spec. In some applications, an attacker can bypass a protection mechanism in which application access is granted only after verifying receipt of e-mail to a specific domain (e.g., only @company.example.com addresses may be used for signup). This occurs in email/_parseaddr.py in recent versions of Python. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-20')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N', score=5.3) - Удалить ПО python3.11, если оно не используется и не является зависимостью других пакетов - При использовании ПО python выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Python-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 bluez BlueZ Audio Profile AVRCP Improper Validation of Array Index Remote Code Execution Vulnerability. This vulnerability allows network-adjacent attackers to execute arbitrary code via Bluetooth on affected installations of BlueZ. User interaction is required to exploit this vulnerability in that the target must connect to a malicious device. The specific flaw exists within the handling of the AVRCP protocol. The issue results from the lack of proper validation of user-supplied data, which can result in a write past the end of an allocated buffer. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-19908. [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.1) - Выключите Bluetooth - По возможности избегать использования протокола bluetooth и использовать проводную периферию - Избегайте подключения к неизвестным устройствам - Настройте устройство на ручное подтверждение всех подключений: - В файле /etc/bluetooth/main.conf установите значение AutoEnable=false - Сохраните изменения в файле - Перезагрузите службу Bluetooth: ` sudo systemctl restart bluetooth ` Astra Linux 1.8 python-tornado Open redirect vulnerability in Tornado versions 6.3.1 and earlier allows a remote unauthenticated attacker to redirect a user to an arbitrary web site and conduct a phishing attack by having user access a specially crafted URL. [NistCWE(cwe='CWE-601'), NistCWE(cwe='CWE-601')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) - Использовать ПО python-tornado только на низком или отдельно выделенном уровне целостности - При использовании ПО python-tornado выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска python-tornado только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды Astra Linux 1.8 libheif A Segmentation fault caused by a floating point exception exists in libheif 1.15.1 using crafted heif images via the heif::Fraction::round() function in box.cc, which causes a denial of service. [NistCWE(cwe='CWE-369'), NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) Astra Linux 1.8 nodejs When an invalid public key is used to create an x509 certificate using the crypto.X509Certificate() API a non-expect termination occurs making it susceptible to DoS attacks when the attacker could force interruptions of application processing, as the process terminates when accessing public key info of provided certificates from user code. The current context of the users will be gone, and that will cause a DoS scenario. This vulnerability affects all active Node.js versions v16, v18, and, v20. [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - При использовании ПО NodeJS выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте NodeJS-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 python3.11 An issue was discovered in Python before 3.8.18, 3.9.x before 3.9.18, 3.10.x before 3.10.13, and 3.11.x before 3.11.5. It primarily affects servers (such as HTTP servers) that use TLS client authentication. If a TLS server-side socket is created, receives data into the socket buffer, and then is closed quickly, there is a brief window where the SSLSocket instance will detect the socket as "not connected" and won't initiate a handshake, but buffered data will still be readable from the socket buffer. This data will not be authenticated if the server-side TLS peer is expecting client certificate authentication, and is indistinguishable from valid TLS stream data. Data is limited in size to the amount that will fit in the buffer. (The TLS connection cannot directly be used for data exfiltration because the vulnerable code path requires that the connection be closed on initialization of the SSLSocket.) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) - Удалить ПО python3.11, если оно не используется и не является зависимостью других пакетов - При использовании ПО python выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Python-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 bluez BlueZ Phone Book Access Profile Heap-based Buffer Overflow Remote Code Execution Vulnerability. This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of BlueZ. User interaction is required to exploit this vulnerability in that the target must connect to a malicious Bluetooth device. The specific flaw exists within the handling of the Phone Book Access profile. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a fixed-length heap-based buffer. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-20936. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.1) - Выключите Bluetooth - По возможности избегать использования протокола bluetooth и использовать проводную периферию - Избегайте подключения к неизвестным устройствам - Настройте устройство на ручное подтверждение всех подключений: - В файле /etc/bluetooth/main.conf установите значение AutoEnable=false - Сохраните изменения в файле - Перезагрузите службу Bluetooth: ` sudo systemctl restart bluetooth ` Astra Linux 1.8 bluez BlueZ Phone Book Access Profile Heap-based Buffer Overflow Remote Code Execution Vulnerability. This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of BlueZ. User interaction is required to exploit this vulnerability in that the target must connect to a malicious Bluetooth device. The specific flaw exists within the handling of the Phone Book Access profile. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a fixed-length heap-based buffer. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-20938. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.1) - Выключите Bluetooth - По возможности избегать использования протокола bluetooth и использовать проводную периферию - Избегайте подключения к неизвестным устройствам - Настройте устройство на ручное подтверждение всех подключений: - В файле /etc/bluetooth/main.conf установите значение AutoEnable=false - Сохраните изменения в файле - Перезагрузите службу Bluetooth: ` sudo systemctl restart bluetooth ` Astra Linux 1.8 jose latchset jose through version 11 allows attackers to cause a denial of service (CPU consumption) via a large p2c (aka PBES2 Count) value. [NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Удалить библиотеку golang-github-dvsekhvalnov-jose2go, если она не используется и не является зависимостью других пакетов - Запускать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, в изолированной программной среде с применением инструмента Firejail - Использовать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, только на низком или отдельно выделенном уровне целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды Astra Linux 1.8 ffmpeg Buffer Overflow vulnerability in Ffmpeg v.N113007-g8d24a28d06 allows a local attacker to execute arbitrary code via the libavfilter/af_stereowiden.c:120:69. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 wpa The implementation of PEAP in wpa_supplicant through 2.10 allows authentication bypass. For a successful attack, wpa_supplicant must be configured to not verify the network's TLS certificate during Phase 1 authentication, and an eap_peap_decrypt vulnerability can then be abused to skip Phase 2 authentication. The attack vector is sending an EAP-TLV Success packet instead of starting Phase 2. This allows an adversary to impersonate Enterprise Wi-Fi networks. [NistCWE(cwe='CWE-287'), NistCWE(cwe='CWE-287')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) - Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth) - При необходимости использования WiFi - использовать для защиты данных сети VPN - Использовать ПО wpa только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО wpa только доверенными пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать ПО wpa с минимально необходимыми правами доступа - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды. Astra Linux 1.8 ntfs-3g NTFS-3G before 75dcdc2 has a use-after-free in ntfs_uppercase_mbs in libntfs-3g/unistr.c. NOTE: discussion suggests that exploitation would be challenging. [] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L', score=4.5) Astra Linux 1.8 freeipa A Cross-site request forgery vulnerability exists in ipa/session/login_password in all supported versions of IPA. This flaw allows an attacker to trick the user into submitting a request that could perform actions as the user, resulting in a loss of confidentiality and system integrity. During community penetration testing it was found that for certain HTTP end-points FreeIPA does not ensure CSRF protection. Due to implementation details one cannot use this flaw for reflection of a cookie representing already logged-in user. An attacker would always have to go through a new authentication attempt. [NistCWE(cwe='CWE-352'), NistCWE(cwe='CWE-352')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) - Настройте правила брандмауэра для разрешения только необходимых портов - Разрешите доступ только с доверенных IP-адресов - Настройте FreeIPA для использования SSL/TLS для шифрования всех сетевых коммуникаций - Используйте доверенные сертификаты - Предоставляйте пользователям только те права, которые им необходимы для выполнения их задач - Настройте ограничения на количество попыток входа и используйте CAPTCHA - Настройте правила HBAC для управления доступом к хостам на основе ролей и групп пользователей - Запускать ПО freeipa в изолированной программной среде - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.8 python3.11 A defect was discovered in the Python “ssl” module where there is a memory race condition with the ssl.SSLContext methods “cert_store_stats()” and “get_ca_certs()”. The race condition can be triggered if the methods are called at the same time as certificates are loaded into the SSLContext, such as during the TLS handshake with a certificate directory configured. This issue is fixed in CPython 3.10.14, 3.11.9, 3.12.3, and 3.13.0a5. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H', score=7.4) - Удалить ПО python3.11, если оно не используется и не является зависимостью других пакетов - При использовании ПО python выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Python-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 python3.11 An issue was found in the CPython `zipfile` module affecting versions 3.12.1, 3.11.7, 3.10.13, 3.9.18, and 3.8.18 and prior. The zipfile module is vulnerable to “quoted-overlap” zip-bombs which exploit the zip format to create a zip-bomb with a high compression ratio. The fixed versions of CPython makes the zipfile module reject zip archives which overlap entries in the archive. [NistCWE(cwe='CWE-405')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) - Удалить ПО python3.11, если оно не используется и не является зависимостью других пакетов - При использовании ПО python выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Python-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 chromium Inappropriate implementation in Extensions in Google Chrome prior to 130.0.6723.69 allowed a remote attacker to bypass site isolation via a crafted Chrome Extension. (Chromium security severity: High) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N', score=8.1) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 130.0.6723.69 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 130.0.6723.69 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird A permission leak could have occurred from a trusted site to an untrusted site via `embed` or `object` elements. This vulnerability affects Firefox < 132, Firefox ESR < 128.4, Firefox ESR < 115.17, Thunderbird < 128.4, and Thunderbird < 132. [NistCWE(cwe='CWE-281')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) Astra Linux 1.8 firefox, thunderbird An attacker could have caused a use-after-free when accessibility was enabled, leading to a potentially exploitable crash. This vulnerability affects Firefox < 132, Firefox ESR < 128.4, Firefox ESR < 115.17, Thunderbird < 128.4, and Thunderbird < 132. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.8 firefox, thunderbird The origin of an external protocol handler prompt could have been obscured using a data: URL within an `iframe`. This vulnerability affects Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4, and Thunderbird < 132. [NistCWE(cwe='CWE-346')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) Astra Linux 1.8 firefox, thunderbird In multipart/x-mixed-replace responses, `Content-Disposition: attachment` in the response header was not respected and did not force a download, which could allow XSS attacks. This vulnerability affects Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4, and Thunderbird < 132. [NistCWE(cwe='CWE-79'), NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) Astra Linux 1.8 firefox, thunderbird Truncation of a long URL could have allowed origin spoofing in a permission prompt. This vulnerability affects Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4, and Thunderbird < 132. [NistCWE(cwe='CWE-290'), NistCWE(cwe='CWE-290')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) Astra Linux 1.8 firefox, thunderbird Video frames could have been leaked between origins in some situations. This vulnerability affects Firefox < 132, Firefox ESR < 128.4, Firefox ESR < 115.17, Thunderbird < 128.4, and Thunderbird < 132. [NistCWE(cwe='CWE-203'), NistCWE(cwe='CWE-203')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) Astra Linux 1.8 firefox, thunderbird Repeated writes to history interface attributes could have been used to cause a Denial of Service condition in the browser. This was addressed by introducing rate-limiting to this API. This vulnerability affects Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4, and Thunderbird < 132. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) Astra Linux 1.8 firefox, thunderbird A clipboard "paste" button could persist across tabs which allowed a spoofing attack. This vulnerability affects Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4, and Thunderbird < 132. [NistCWE(cwe='CWE-290'), NistCWE(cwe='CWE-290')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) Astra Linux 1.8 firefox, thunderbird By sending a specially crafted push message, a remote server could have hung the parent process, causing the browser to become unresponsive. This vulnerability affects Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4, and Thunderbird < 132. [NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.8 firefox, thunderbird Memory safety bugs present in Firefox 131, Firefox ESR 128.3, and Thunderbird 128.3. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4, and Thunderbird < 132. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 firefox Potential race conditions in IndexedDB could have caused memory corruption, leading to a potentially exploitable crash. This vulnerability affects Firefox < 132 and Thunderbird < 132. [NistCWE(cwe='CWE-362'), NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Out of bounds write in Dawn in Google Chrome prior to 130.0.6723.92 allowed a remote attacker to perform out of bounds memory access via a crafted HTML page. (Chromium security severity: Critical) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in WebRTC in Google Chrome prior to 130.0.6723.92 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 postgresql-15 Incomplete tracking in PostgreSQL of tables with row security allows a reused query to view or change different rows from those intended. CVE-2023-2455 and CVE-2016-2193 fixed most interaction between row security and user ID changes. They missed cases where a subquery, WITH query, security invoker view, or SQL-language function references a table with a row-level security policy. This has the same consequences as the two earlier CVEs. That is to say, it leads to potentially incorrect policies being applied in cases where role-specific policies are used and a given query is planned under one role and then executed under other roles. This scenario can happen under security definer functions or when a common user and query is planned initially and then re-used across multiple SET ROLEs. Applying an incorrect policy may permit a user to complete otherwise-forbidden reads and modifications. This affects only databases that have used CREATE POLICY to define a row security policy. An attacker must tailor an attack to a particular application's pattern of query plan reuse, user ID changes, and role-specific row security policies. Versions before PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, and 12.21 are affected. [NistCWE(cwe='CWE-1250')] None NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N', score=4.2) - При использовании ПО postgresql выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО postgresql в изолированной программной среде с применением инструмента Firejail - Использовать выделенную группу postgres для взаимодействия с postgresql - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.8 postgresql-15 Client use of server error message in PostgreSQL allows a server not trusted under current SSL or GSS settings to furnish arbitrary non-NUL bytes to the libpq application. For example, a man-in-the-middle attacker could send a long error message that a human or screen-scraper user of psql mistakes for valid query results. This is probably not a concern for clients where the user interface unambiguously indicates the boundary between one error message and other text. Versions before PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, and 12.21 are affected. [NistCWE(cwe='CWE-348'), NistCWE(cwe='CWE-345')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N', score=3.1) - При использовании ПО postgresql выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО postgresql в изолированной программной среде с применением инструмента Firejail - Использовать выделенную группу postgres для взаимодействия с postgresql - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.8 postgresql-15 Incorrect privilege assignment in PostgreSQL allows a less-privileged application user to view or change different rows from those intended. An attack requires the application to use SET ROLE, SET SESSION AUTHORIZATION, or an equivalent feature. The problem arises when an application query uses parameters from the attacker or conveys query results to the attacker. If that query reacts to current_setting('role') or the current user ID, it may modify or return data as though the session had not used SET ROLE or SET SESSION AUTHORIZATION. The attacker does not control which incorrect user ID applies. Query text from less-privileged sources is not a concern here, because SET ROLE and SET SESSION AUTHORIZATION are not sandboxes for unvetted queries. Versions before PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, and 12.21 are affected. [NistCWE(cwe='CWE-266')] None NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N', score=4.2) - При использовании ПО postgresql выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО postgresql в изолированной программной среде с применением инструмента Firejail - Использовать выделенную группу postgres для взаимодействия с postgresql - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.8 postgresql-15 Incorrect control of environment variables in PostgreSQL PL/Perl allows an unprivileged database user to change sensitive process environment variables (e.g. PATH). That often suffices to enable arbitrary code execution, even if the attacker lacks a database server operating system user. Versions before PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, and 12.21 are affected. [NistCWE(cwe='CWE-15'), NistCWE(cwe='CWE-610')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) - При использовании ПО postgresql выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО postgresql в изолированной программной среде с применением инструмента Firejail - Использовать выделенную группу postgres для взаимодействия с postgresql - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.8 needrestart Qualys discovered that needrestart, before version 3.8, passes unsanitized data to a library (Modules::ScanDeps) which expects safe input. This could allow a local attacker to execute arbitrary shell commands. Please see the related CVE-2024-10224 in Modules::ScanDeps. [NistCWE(cwe='CWE-78')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.8 libreoffice Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in The Document Foundation LibreOffice allows Absolute Path Traversal. An attacker can write to arbitrary locations, albeit suffixed with ".ttf", by supplying a file in a format that supports embedded font files. This issue affects LibreOffice: from 24.8 before < 24.8.4. [NistCWE(cwe='CWE-22')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=3.3) - При использовании ПО libreoffice выполнять обработку файлов, полученных только из доверенных источников - Включить блокировку исполнения макросов в документах LibreOffice. Для этого необходимо выполнить следующие действия: - Запустить ОС с правами администратора. - В терминале выполнить следующую команду: ` astra-macros-lock enable ` - Для проверки активации блокировки исполнения макросов в документах Libreoffice в терминале нужно выполнить следующую команду: ` astra-macros-lock status ` - В результате выполнения команды в терминале должно быть выведено "АКТИВНО". - Запускать ПО libreoffice в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Запретить установку бита исполнения для всех пользователей, включая администраторов. Astra Linux 1.8 libreoffice Exposure of Environmental Variables and arbitrary INI file values to an Unauthorized Actor vulnerability in The Document Foundation LibreOffice. URLs could be constructed which expanded environmental variables or INI file values, so potentially sensitive information could be exfiltrated to a remote server on opening a document containing such links. This issue affects LibreOffice: from 24.8 before < 24.8.4. [NistCWE(cwe='CWE-200')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) - При использовании ПО libreoffice выполнять обработку файлов, полученных только из доверенных источников - Включить блокировку исполнения макросов в документах LibreOffice. Для этого необходимо выполнить следующие действия: - Запустить ОС с правами администратора. - В терминале выполнить следующую команду: ` astra-macros-lock enable ` - Для проверки активации блокировки исполнения макросов в документах Libreoffice в терминале нужно выполнить следующую команду: ` astra-macros-lock status ` - В результате выполнения команды в терминале должно быть выведено "АКТИВНО". - Запускать ПО libreoffice в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Запретить установку бита исполнения для всех пользователей, включая администраторов. Astra Linux 1.8 chromium Inappropriate implementation in Fullscreen in Google Chrome prior to 128.0.6613.84 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-451')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 curl When a protocol selection parameter option disables all protocols without adding any then the default set of protocols would remain in the allowed set due to an error in the logic for removing protocols. The below command would perform a request to curl.se with a plaintext protocol which has been explicitly disabled. curl --proto -all,-http http://curl.se The flaw is only present if the set of selected protocols disables the entire set of available protocols, in itself a command with no practical use and therefore unlikely to be encountered in real situations. The curl security team has thus assessed this to be low severity bug. [NistCWE(cwe='CWE-436')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N', score=3.5) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.8 jinja2 Jinja is an extensible templating engine. Special placeholders in the template allow writing code similar to Python syntax. It is possible to inject arbitrary HTML attributes into the rendered HTML template, potentially leading to Cross-Site Scripting (XSS). The Jinja `xmlattr` filter can be abused to inject arbitrary HTML attribute keys and values, bypassing the auto escaping mechanism and potentially leading to XSS. It may also be possible to bypass attribute validation checks if they are blacklist-based. [NistCWE(cwe='CWE-79'), NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N', score=5.4) - Удалить ПО jinja2, если оно не используется и не является зависимостью других пакетов - Использовать ПО jinja2 только на низком или отдельно выделенном уровне целостности - При использовании ПО jinja2 выполнять обработку файлов и данных, полученных только из доверенных источников - Обеспечить возможность запуска jinja2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 dovecot Having a large number of address headers (From, To, Cc, Bcc, etc.) becomes excessively CPU intensive. With 100k header lines CPU usage is already 12 seconds, and in a production environment we observed 500k header lines taking 18 minutes to parse. Since this can be triggered by external actors sending emails to a victim, this is a security issue. An external attacker can send specially crafted messages that consume target system resources and cause outage. One can implement restrictions on address headers on MTA component preceding Dovecot. No publicly available exploits are known. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N', score=5.0) - Выполните настройку конфигурационных файлов от имени администратора системы с высоким уровнем целостности. - В файле конфигурации /etc/dovecot/dovecot.conf: - Пропишите явно используемые протоколы, например: ``` protocols = imap lmtp ``` - Рекомендуется скрыть баннер Dovecot, чтобы затруднить автоматический сбор версий: ``` login_greeting = IMAP server is ready. ``` - В файле конфигурации /etc/dovecot/conf.d/10-ssl.conf: - Отключите устаревшие протоколы: ``` ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 ``` - В файле конфигурации /etc/dovecot/conf.d/10-ssl.conf: - Явно укажите список стойких шифров, например: ``` ssl_cipher_list = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305 ssl_prefer_server_ciphers = yes ``` - Увеличьте длину ключей DH: ``` ssl_dh_length = 2048 ``` - В файле конфигурации /etc/dovecot/conf.d/10-master.conf: - Убедитесь, что сервисы логина и исполнения работают от отдельных непривилегированных пользователей: ``` default_internal_user = dovecot default_login_user = dovenull ``` - Файлы ключей SSL должны быть доступны только для root: ``` chmod 400 /etc/dovecot/private/ssl_key.pem chown root:root /etc/dovecot/private/ssl_key.pem ``` Astra Linux 1.8 dovecot Very large headers can cause resource exhaustion when parsing message. The message-parser normally reads reasonably sized chunks of the message. However, when it feeds them to message-header-parser, it starts building up "full_value" buffer out of the smaller chunks. The full_value buffer has no size limit, so large headers can cause large memory usage. It doesn't matter whether it's a single long header line, or a single header split into multiple lines. This bug exists in all Dovecot versions. Incoming mails typically have some size limits set by MTA, so even largest possible header size may still fit into Dovecot's vsz_limit. So attackers probably can't DoS a victim user this way. A user could APPEND larger mails though, allowing them to DoS themselves (although maybe cause some memory issues for the backend in general). One can implement restrictions on headers on MTA component preceding Dovecot. No publicly available exploits are known. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Выполните настройку конфигурационных файлов от имени администратора системы с высоким уровнем целостности. - В файле конфигурации /etc/dovecot/dovecot.conf: - Пропишите явно используемые протоколы, например: ``` protocols = imap lmtp ``` - Рекомендуется скрыть баннер Dovecot, чтобы затруднить автоматический сбор версий: ``` login_greeting = IMAP server is ready. ``` - В файле конфигурации /etc/dovecot/conf.d/10-ssl.conf: - Отключите устаревшие протоколы: ``` ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 ``` - В файле конфигурации /etc/dovecot/conf.d/10-ssl.conf: - Явно укажите список стойких шифров, например: ``` ssl_cipher_list = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305 ssl_prefer_server_ciphers = yes ``` - Увеличьте длину ключей DH: ``` ssl_dh_length = 2048 ``` - В файле конфигурации /etc/dovecot/conf.d/10-master.conf: - Убедитесь, что сервисы логина и исполнения работают от отдельных непривилегированных пользователей: ``` default_internal_user = dovecot default_login_user = dovenull ``` - Файлы ключей SSL должны быть доступны только для root: ``` chmod 400 /etc/dovecot/private/ssl_key.pem chown root:root /etc/dovecot/private/ssl_key.pem ``` Astra Linux 1.8 libpod BuildKit is a toolkit for converting source code to build artifacts in an efficient, expressive and repeatable manner. A malicious BuildKit client or frontend could craft a request that could lead to BuildKit daemon crashing with a panic. The issue has been fixed in v0.12.5. As a workaround, avoid using BuildKit frontends from untrusted sources. [NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - Отказаться от использования библиотеки libpodofo - При использовании ПО, использующего библиотеку libpodofo, выполнять обработку файлов, полученных только из доверенных источников - Использовать ПО, использующее библиотеку libpodofo, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку libpodofo, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 libpod BuildKit is a toolkit for converting source code to build artifacts in an efficient, expressive and repeatable manner. Two malicious build steps running in parallel sharing the same cache mounts with subpaths could cause a race condition that can lead to files from the host system being accessible to the build container. The issue has been fixed in v0.12.5. Workarounds include, avoiding using BuildKit frontend from an untrusted source or building an untrusted Dockerfile containing cache mounts with --mount=type=cache,source=... options. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N', score=8.7) - Отказаться от использования библиотеки libpodofo - При использовании ПО, использующего библиотеку libpodofo, выполнять обработку файлов, полученных только из доверенных источников - Использовать ПО, использующее библиотеку libpodofo, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку libpodofo, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 libpod BuildKit is a toolkit for converting source code to build artifacts in an efficient, expressive and repeatable manner. A malicious BuildKit frontend or Dockerfile using RUN --mount could trick the feature that removes empty files created for the mountpoints into removing a file outside the container, from the host system. The issue has been fixed in v0.12.5. Workarounds include avoiding using BuildKit frontends from an untrusted source or building an untrusted Dockerfile containing RUN --mount feature. [NistCWE(cwe='CWE-22')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H', score=10.0) - Отказаться от использования библиотеки libpodofo - При использовании ПО, использующего библиотеку libpodofo, выполнять обработку файлов, полученных только из доверенных источников - Использовать ПО, использующее библиотеку libpodofo, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку libpodofo, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 libpod BuildKit is a toolkit for converting source code to build artifacts in an efficient, expressive and repeatable manner. In addition to running containers as build steps, BuildKit also provides APIs for running interactive containers based on built images. It was possible to use these APIs to ask BuildKit to run a container with elevated privileges. Normally, running such containers is only allowed if special `security.insecure` entitlement is enabled both by buildkitd configuration and allowed by the user initializing the build request. The issue has been fixed in v0.12.5 . Avoid using BuildKit frontends from untrusted sources. [NistCWE(cwe='CWE-863')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Отказаться от использования библиотеки libpodofo - При использовании ПО, использующего библиотеку libpodofo, выполнять обработку файлов, полученных только из доверенных источников - Использовать ПО, использующее библиотеку libpodofo, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку libpodofo, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 curl When an application tells libcurl it wants to allow HTTP/2 server push, and the amount of received headers for the push surpasses the maximum allowed limit (1000), libcurl aborts the server push. When aborting, libcurl inadvertently does not free all the previously allocated headers and instead leaks the memory. Further, this error condition fails silently and is therefore not easily detected by an application. [NistCWE(cwe='CWE-772')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L', score=8.6) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.8 texlive-bin texlive-bin commit c515e was discovered to contain heap buffer overflow via the function ttfLoadHDMX:ttfdump. This vulnerability allows attackers to cause a Denial of Service (DoS) via supplying a crafted TTF file. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H', score=8.1) Astra Linux 1.8 krb5 Kerberos 5 (aka krb5) 1.21.2 contains a memory leak vulnerability in /krb5/src/lib/gssapi/krb5/k5sealv3.c. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Используйте krb5 с минимально необходимыми привилегиями - Включите межсетевой экран ufw - Обеспечить возможность запуска krb5 только доверенными пользователями ОС - Включить мандатный контроль целостности (МКЦ) - Настройте права доступа к конфигурационным файлам krb5 так, чтобы их могли изменять только администраторы системы. Astra Linux 1.8 krb5 Kerberos 5 (aka krb5) 1.21.2 contains a memory leak vulnerability in /krb5/src/kdc/ndr.c. [NistCWE(cwe='CWE-401'), NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Используйте krb5 с минимально необходимыми привилегиями - Включите межсетевой экран ufw - Обеспечить возможность запуска krb5 только доверенными пользователями ОС - Включить мандатный контроль целостности (МКЦ) - Настройте права доступа к конфигурационным файлам krb5 так, чтобы их могли изменять только администраторы системы. Astra Linux 1.8 freeipa A vulnerability was found in FreeIPA in how the initial implementation of MS-SFU by MIT Kerberos was missing a condition for granting the "forwardable" flag on S4U2Self tickets. Fixing this mistake required adding a special case for the check_allowed_to_delegate() function: If the target service argument is NULL, then it means the KDC is probing for general constrained delegation rules and not checking a specific S4U2Proxy request. In FreeIPA 4.11.0, the behavior of ipadb_match_acl() was modified to match the changes from upstream MIT Kerberos 1.20. However, a mistake resulting in this mechanism applies in cases where the target service argument is set AND where it is unset. This results in S4U2Proxy requests being accepted regardless of whether or not there is a matching service delegation rule. [NistCWE(cwe='CWE-863'), NistCWE(cwe='CWE-863')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) - Настройте правила брандмауэра для разрешения только необходимых портов - Разрешите доступ только с доверенных IP-адресов - Настройте FreeIPA для использования SSL/TLS для шифрования всех сетевых коммуникаций - Используйте доверенные сертификаты - Предоставляйте пользователям только те права, которые им необходимы для выполнения их задач - Настройте ограничения на количество попыток входа и используйте CAPTCHA - Настройте правила HBAC для управления доступом к хостам на основе ролей и групп пользователей - Запускать ПО freeipa в изолированной программной среде - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.8 dcmtk Buffer Overflow vulnerability in DCMTK v.3.6.8 allows an attacker to execute arbitrary code via the EctEnhancedCT method component. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N', score=8.1) - При использовании ПО dcmtk выполнять обработку файлов, полученных только из доверенных источников - Отказаться от использования ПО dcmtk в пользу ПО gdcm - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 nodejs The team has identified a critical vulnerability in the http server of the most recent version of Node, where malformed headers can lead to HTTP request smuggling. Specifically, if a space is placed before a content-length header, it is not interpreted correctly, enabling attackers to smuggle in a second request within the body of the first. [NistCWE(cwe='CWE-444')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L', score=6.5) - При использовании ПО NodeJS выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте NodeJS-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 pillow In _imagingcms.c in Pillow before 10.3.0, a buffer overflow exists because strcpy is used instead of strncpy. [NistCWE(cwe='CWE-680')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H', score=6.7) - Использовать ПО pillow только на низком или отдельно выделенном уровне целостности - При использовании ПО pillow выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска pillow только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 ghostscript Artifex Ghostscript before 10.03.0 has a stack-based buffer overflow in the pdfi_apply_filter() function via a long PDF filter name. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 ghostscript Artifex Ghostscript before 10.03.0 sometimes has a stack-based buffer overflow via the CIDFSubstPath and CIDFSubstFont parameters. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L', score=5.4) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 ghostscript Artifex Ghostscript before 10.03.0 has a heap-based pointer disclosure (observable in a constructed BaseFont name) in the function pdf_base_font_alloc. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N', score=3.3) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 ghostscript Artifex Ghostscript before 10.03.0 has a heap-based overflow when PDFPassword (e.g., for runpdf) has a \000 byte in the middle. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 libreoffice Unchecked script execution in Graphic on-click binding in affected LibreOffice versions allows an attacker to create a document which without prompt will execute scripts built-into LibreOffice on clicking a graphic. Such scripts were previously deemed trusted but are now deemed untrusted. [NistCWE(cwe='CWE-356'), NistCWE(cwe='CWE-94')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L', score=6.5) - При использовании ПО libreoffice выполнять обработку файлов, полученных только из доверенных источников - Включить блокировку исполнения макросов в документах LibreOffice. Для этого необходимо выполнить следующие действия: - Запустить ОС с правами администратора. - В терминале выполнить следующую команду: ` astra-macros-lock enable ` - Для проверки активации блокировки исполнения макросов в документах Libreoffice в терминале нужно выполнить следующую команду: ` astra-macros-lock status ` - В результате выполнения команды в терминале должно быть выведено "АКТИВНО". - Запускать ПО libreoffice в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Запретить установку бита исполнения для всех пользователей, включая администраторов. Astra Linux 1.8 ffmpeg FFmpeg version n6.1.1 was discovered to contain a heap use-after-free via the av_hwframe_ctx_init function. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=7.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 ffmpeg FFmpeg version n5.1 to n6.1 was discovered to contain an Off-by-one Error vulnerability in libavfilter/avf_showspectrum.c. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. [NistCWE(cwe='CWE-193')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:N/A:H', score=5.3) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 cjson cJSON v1.7.17 was discovered to contain a segmentation violation, which can trigger through the second parameter of function cJSON_SetValuestring at cJSON.c. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H', score=7.6) - Удалить ПО cjson, если оно не используется и не является зависимостью других пакетов - Отказаться от использования ПО cjson в пользу ПО jansson - При использовании ПО cjson выполнять обработку файлов, полученных только из доверенных источников - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 freeipa A vulnerability was found in FreeIPA in a way when a Kerberos TGS-REQ is encrypted using the client’s session key. This key is different for each new session, which protects it from brute force attacks. However, the ticket it contains is encrypted using the target principal key directly. For user principals, this key is a hash of a public per-principal randomly-generated salt and the user’s password. If a principal is compromised it means the attacker would be able to retrieve tickets encrypted to any principal, all of them being encrypted by their own key directly. By taking these tickets and salts offline, the attacker could run brute force attacks to find character strings able to decrypt tickets when combined to a principal salt (i.e. find the principal’s password). [NistCWE(cwe='CWE-916')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N', score=8.1) - Настройте правила брандмауэра для разрешения только необходимых портов - Разрешите доступ только с доверенных IP-адресов - Настройте FreeIPA для использования SSL/TLS для шифрования всех сетевых коммуникаций - Используйте доверенные сертификаты - Предоставляйте пользователям только те права, которые им необходимы для выполнения их задач - Настройте ограничения на количество попыток входа и используйте CAPTCHA - Настройте правила HBAC для управления доступом к хостам на основе ролей и групп пользователей - Запускать ПО freeipa в изолированной программной среде - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.8 ffmpeg FFmpeg 7.0 is vulnerable to Buffer Overflow. There is a negative-size-param bug at libavcodec/mpegvideo_enc.c:1216:21 in load_input_picture in FFmpeg7.0 [NistCWE(cwe='CWE-120'), NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 unbound The DNS protocol in RFC 1035 and updates allows remote attackers to cause a denial of service (resource consumption) by arranging for DNS queries to be accumulated for seconds, such that responses are later sent in a pulsing burst (which can be considered traffic amplification in some cases), aka the "DNSBomb" issue. [NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - включить и настроить межсетевой экран ufw для фильтрации трафика; - запускайте unbound с минимально необходимыми привилегиями; - обеспечить возможность запуска ПО unbound только доверенными, обладающими соответствующими привилегиями пользователями ОС; - активировать и настроить профили пользователей для работы в режиме Киоск-2. Astra Linux 1.8 jinja2 Jinja is an extensible templating engine. The `xmlattr` filter in affected versions of Jinja accepts keys containing non-attribute characters. XML/HTML attributes cannot contain spaces, `/`, `>`, or `=`, as each would then be interpreted as starting a separate attribute. If an application accepts keys (as opposed to only values) as user input, and renders these in pages that other users see as well, an attacker could use this to inject other attributes and perform XSS. The fix for CVE-2024-22195 only addressed spaces but not other characters. Accepting keys as user input is now explicitly considered an unintended use case of the `xmlattr` filter, and code that does so without otherwise validating the input should be flagged as insecure, regardless of Jinja version. Accepting _values_ as user input continues to be safe. This vulnerability is fixed in 3.1.4. [NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N', score=5.4) - Удалить ПО jinja2, если оно не используется и не является зависимостью других пакетов - Использовать ПО jinja2 только на низком или отдельно выделенном уровне целостности - При использовании ПО jinja2 выполнять обработку файлов и данных, полученных только из доверенных источников - Обеспечить возможность запуска jinja2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 dcmtk dcmnet in DCMTK before 3.6.9 has a segmentation fault via an invalid DIMSE message. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L', score=4.3) - При использовании ПО dcmtk выполнять обработку файлов, полученных только из доверенных источников - Отказаться от использования ПО dcmtk в пользу ПО gdcm - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 dcmtk dcmdata in DCMTK before 3.6.9 has a segmentation fault via an invalid DIMSE message. [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - При использовании ПО dcmtk выполнять обработку файлов, полученных только из доверенных источников - Отказаться от использования ПО dcmtk в пользу ПО gdcm - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 ffmpeg FFmpeg n6.1.1 is Integer Overflow. The vulnerability exists in the parse_options function of sbgdec.c within the libavformat module. When parsing certain options, the software does not adequately validate the input. This allows for negative duration values to be accepted without proper bounds checking. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H', score=9.1) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 plasma-workspace KSmserver in KDE Plasma Workspace (aka plasma-workspace) before 5.27.11.1 and 6.x before 6.0.5.1 allows connections via ICE based purely on the host, i.e., all local connections are accepted. This allows another user on the same machine to gain access to the session manager, e.g., use the session-restore feature to execute arbitrary code as the victim (on the next boot) via earlier use of the /tmp directory. [NistCWE(cwe='CWE-613')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.8 389-ds-base A flaw was found in 389-ds-base. A specially-crafted LDAP query can potentially cause a failure on the directory server, leading to a denial of service [NistCWE(cwe='CWE-20')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.8 ffmpeg FFmpeg n6.1.1 has a vulnerability in the DXA demuxer of the libavformat library allowing for an integer overflow, potentially resulting in a denial-of-service (DoS) condition or other undefined behavior. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 ffmpeg An integer overflow in the component /libavformat/westwood_vqa.c of FFmpeg n6.1.1 allows attackers to cause a denial of service in the application via a crafted VQA file. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 ffmpeg FFmpeg n6.1.1 has an integer overflow vulnerability in the FFmpeg CAF decoder. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: bridge: mst: fix vlan use-after-free syzbot reported a suspicious rcu usage[1] in bridge's mst code. While fixing it I noticed that nothing prevents a vlan to be freed while walking the list from the same path (br forward delay timer). Fix the rcu usage and also make sure we are not accessing freed memory by making br_mst_vlan_set_state use rcu read lock. [1] WARNING: suspicious RCU usage 6.9.0-rc6-syzkaller #0 Not tainted ----------------------------- net/bridge/br_private.h:1599 suspicious rcu_dereference_protected() usage! ... stack backtrace: CPU: 1 PID: 8017 Comm: syz-executor.1 Not tainted 6.9.0-rc6-syzkaller #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 03/27/2024 Call Trace: <IRQ> __dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:114 lockdep_rcu_suspicious+0x221/0x340 kernel/locking/lockdep.c:6712 nbp_vlan_group net/bridge/br_private.h:1599 [inline] br_mst_set_state+0x1ea/0x650 net/bridge/br_mst.c:105 br_set_state+0x28a/0x7b0 net/bridge/br_stp.c:47 br_forward_delay_timer_expired+0x176/0x440 net/bridge/br_stp_timer.c:88 call_timer_fn+0x18e/0x650 kernel/time/timer.c:1793 expire_timers kernel/time/timer.c:1844 [inline] __run_timers kernel/time/timer.c:2418 [inline] __run_timer_base+0x66a/0x8e0 kernel/time/timer.c:2429 run_timer_base kernel/time/timer.c:2438 [inline] run_timer_softirq+0xb7/0x170 kernel/time/timer.c:2448 __do_softirq+0x2c6/0x980 kernel/softirq.c:554 invoke_softirq kernel/softirq.c:428 [inline] __irq_exit_rcu+0xf2/0x1c0 kernel/softirq.c:633 irq_exit_rcu+0x9/0x30 kernel/softirq.c:645 instr_sysvec_apic_timer_interrupt arch/x86/kernel/apic/apic.c:1043 [inline] sysvec_apic_timer_interrupt+0xa6/0xc0 arch/x86/kernel/apic/apic.c:1043 </IRQ> <TASK> asm_sysvec_apic_timer_interrupt+0x1a/0x20 arch/x86/include/asm/idtentry.h:702 RIP: 0010:lock_acquire+0x264/0x550 kernel/locking/lockdep.c:5758 Code: 2b 00 74 08 4c 89 f7 e8 ba d1 84 00 f6 44 24 61 02 0f 85 85 01 00 00 41 f7 c7 00 02 00 00 74 01 fb 48 c7 44 24 40 0e 36 e0 45 <4b> c7 44 25 00 00 00 00 00 43 c7 44 25 09 00 00 00 00 43 c7 44 25 RSP: 0018:ffffc90013657100 EFLAGS: 00000206 RAX: 0000000000000001 RBX: 1ffff920026cae2c RCX: 0000000000000001 RDX: dffffc0000000000 RSI: ffffffff8bcaca00 RDI: ffffffff8c1eaa60 RBP: ffffc90013657260 R08: ffffffff92efe507 R09: 1ffffffff25dfca0 R10: dffffc0000000000 R11: fffffbfff25dfca1 R12: 1ffff920026cae28 R13: dffffc0000000000 R14: ffffc90013657160 R15: 0000000000000246 [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 krb5 In MIT Kerberos 5 (aka krb5) before 1.21.3, an attacker can modify the plaintext Extra Count field of a confidential GSS krb5 wrap token, causing the unwrapped token to appear truncated to the application. [NistCWE(cwe='CWE-345')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Используйте krb5 с минимально необходимыми привилегиями - Включите межсетевой экран ufw - Обеспечить возможность запуска krb5 только доверенными пользователями ОС - Включить мандатный контроль целостности (МКЦ) - Настройте права доступа к конфигурационным файлам krb5 так, чтобы их могли изменять только администраторы системы. Astra Linux 1.8 krb5 In MIT Kerberos 5 (aka krb5) before 1.21.3, an attacker can cause invalid memory reads during GSS message token handling by sending message tokens with invalid length fields. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) - Используйте krb5 с минимально необходимыми привилегиями - Включите межсетевой экран ufw - Обеспечить возможность запуска krb5 только доверенными пользователями ОС - Включить мандатный контроль целостности (МКЦ) - Настройте права доступа к конфигурационным файлам krb5 так, чтобы их могли изменять только администраторы системы. Astra Linux 1.8 squid Squid is a caching proxy for the Web supporting HTTP, HTTPS, FTP, and more. Due to an Out-of-bounds Write error when assigning ESI variables, Squid is susceptible to a Memory Corruption error. This error can lead to a Denial of Service attack. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H', score=6.3) - Исключить из автозапуска сетевой сервис - Обеспечить подключения пользователей к прокси серверу squid только по https протоколу - Использовать ПО squid только на низком или отдельно выделенном уровне целостности - Запускать ПО Squid с минимально необходимыми привилегиями - Используя полномочия администратора системы с высоким уровнем целостности, настройте конфигурационный файл Squid (/etc/squid/squid.conf): ``` # Разрешите доступ к прокси-серверу только с доверенных IP-адресов acl localnet src YOUR_TRUSTED_IP http_access allow localnet http_access deny all ``` - Настройте брандмауэр так, чтобы разрешать входящие подключения к Squid только с доверенных сетей, например: ``` sudo iptables -A INPUT -s YOUR_TRUSTED_IP -p tcp --dport 3128 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 3128 -j DROP ``` - Ограничьте доступ к ненадёжным и недоверенным ресурсам с помощью белых или чёрных списков. Astra Linux 1.8 wget url.c in GNU Wget through 1.24.5 mishandles semicolons in the userinfo subcomponent of a URI, and thus there may be insecure behavior in which data that was supposed to be in the userinfo subcomponent is misinterpreted to be part of the host subcomponent. [NistCWE(cwe='CWE-436'), NistCWE(cwe='CWE-436')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N', score=9.1) Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/hns: Fix UAF for cq async event The refcount of CQ is not protected by locks. When CQ asynchronous events and CQ destruction are concurrent, CQ may have been released, which will cause UAF. Use the xa_lock() to protect the CQ refcount. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Fix potential index out of bounds in color transformation function Fixes index out of bounds issue in the color transformation function. The issue could occur when the index 'i' exceeds the number of transfer function points (TRANSFER_FUNC_POINTS). The fix adds a check to ensure 'i' is within bounds before accessing the transfer function points. If 'i' is out of bounds, an error message is logged and the function returns false to indicate an error. Reported by smatch: drivers/gpu/drm/amd/amdgpu/../display/dc/dcn10/dcn10_cm_common.c:405 cm_helper_translate_curve_to_hw_format() error: buffer overflow 'output_tf->tf_pts.red' 1025 <= s32max drivers/gpu/drm/amd/amdgpu/../display/dc/dcn10/dcn10_cm_common.c:406 cm_helper_translate_curve_to_hw_format() error: buffer overflow 'output_tf->tf_pts.green' 1025 <= s32max drivers/gpu/drm/amd/amdgpu/../display/dc/dcn10/dcn10_cm_common.c:407 cm_helper_translate_curve_to_hw_format() error: buffer overflow 'output_tf->tf_pts.blue' 1025 <= s32max [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5: Discard command completions in internal error Fix use after free when FW completion arrives while device is in internal error state. Avoid calling completion handler in this case, since the device will flush the command interface and trigger all completions manually. Kernel log: ------------[ cut here ]------------ refcount_t: underflow; use-after-free. ... RIP: 0010:refcount_warn_saturate+0xd8/0xe0 ... Call Trace: <IRQ> ? __warn+0x79/0x120 ? refcount_warn_saturate+0xd8/0xe0 ? report_bug+0x17c/0x190 ? handle_bug+0x3c/0x60 ? exc_invalid_op+0x14/0x70 ? asm_exc_invalid_op+0x16/0x20 ? refcount_warn_saturate+0xd8/0xe0 cmd_ent_put+0x13b/0x160 [mlx5_core] mlx5_cmd_comp_handler+0x5f9/0x670 [mlx5_core] cmd_comp_notifier+0x1f/0x30 [mlx5_core] notifier_call_chain+0x35/0xb0 atomic_notifier_call_chain+0x16/0x20 mlx5_eq_async_int+0xf6/0x290 [mlx5_core] notifier_call_chain+0x35/0xb0 atomic_notifier_call_chain+0x16/0x20 irq_int_handler+0x19/0x30 [mlx5_core] __handle_irq_event_percpu+0x4b/0x160 handle_irq_event+0x2e/0x80 handle_edge_irq+0x98/0x230 __common_interrupt+0x3b/0xa0 common_interrupt+0x7b/0xa0 </IRQ> <TASK> asm_common_interrupt+0x22/0x40 [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cppc_cpufreq: Fix possible null pointer dereference cppc_cpufreq_get_rate() and hisi_cppc_cpufreq_get_rate() can be called from different places with various parameters. So cpufreq_cpu_get() can return null as 'policy' in some circumstances. Fix this bug by adding null return check. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: rcu-tasks: Fix show_rcu_tasks_trace_gp_kthread buffer overflow There is a possibility of buffer overflow in show_rcu_tasks_trace_gp_kthread() if counters, passed to sprintf() are huge. Counter numbers, needed for this are unrealistically high, but buffer overflow is still possible. Use snprintf() with buffer size instead of sprintf(). Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu/mes: fix use-after-free issue Delete fence fallback timer to fix the ramdom use-after-free issue. v2: move to amdgpu_mes.c [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 zziplib A Stack Buffer Overflow vulnerability in zziplibv 0.13.77 allows attackers to cause a denial of service via the __zzip_fetch_disk_trailer() function at /zzip/zip.c. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: greybus: Fix use-after-free bug in gb_interface_release due to race condition. In gb_interface_create, &intf->mode_switch_completion is bound with gb_interface_mode_switch_work. Then it will be started by gb_interface_request_mode_switch. Here is the relevant code. if (!queue_work(system_long_wq, &intf->mode_switch_work)) { ... } If we call gb_interface_release to make cleanup, there may be an unfinished work. This function will call kfree to free the object "intf". However, if gb_interface_mode_switch_work is scheduled to run after kfree, it may cause use-after-free error as gb_interface_mode_switch_work will use the object "intf". The possible execution flow that may lead to the issue is as follows: CPU0 CPU1 | gb_interface_create | gb_interface_request_mode_switch gb_interface_release | kfree(intf) (free) | | gb_interface_mode_switch_work | mutex_lock(&intf->mutex) (use) Fix it by canceling the work before kfree. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 openssh OpenSSH 9.5 through 9.7 before 9.8 sometimes allows timing attacks against echo-off password entry (e.g., for su and Sudo) because of an ObscureKeystrokeTiming logic error. Similarly, other timing attacks against keystroke entry could occur. [NistCWE(cwe='CWE-367')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.5) - Не подключайтесь к ненадежным серверам с помощью агента SSH; - Не используйте опцию -A при использовании команды ssh для исключения возможности перенаправления соединения агента аутентификации; - Убедитесь, что опция ForwardAgent отключена глобальных и пользовательских конфигурационных файлах SSH-клиента (/etc/ssh/ssh_config и ~/.ssh/config). Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Ограничьте доступ к SSH-серверу только для доверенных пользователей. Для этого, используя полномочия администратора системы с высоким уровнем целостности, добавьте параметр AllowUsers в конфигурационные файлы SSH. Пример добавления пользователя: ` AllowUsers <username> ` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Настройте разграничение по сетевым интерфейсам, сетевым адресам и именам компьютера. Для этого, используя полномочия администратора системы с высоким уровнем целостности, добавьте параметр ListenAddress в конфигурационные файлы SSH. Пример конфигурации: ``` # Прослушивать на конкретном IP-адресе сервера ListenAddress 192.168.1.10 # Можно указать несколько строк ListenAddress 192.168.1.10 ListenAddress 10.0.0.5 ``` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Для защиты ключей следует выбирать надёжный пароль доступа к клиентским файлам ключей. При формировании ключа для увеличения числа итераций хэширования можно использовать опцию "ssh-keygen -o -a <число>", что усложнит подбор пароля. Также можно сохранить ключи только на внешнем носителе, подключая его только во время соединения по SSH. - Установите небольшое время ожидания для завершения аутентификации пользователя в конфигурационных файлах SSH, используя полномочия администратора системы с высоким уровнем целостности. Пример конфигурации: ` LoginGraceTime 10s ` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Ограничьте количество попыток авторизации в конфигурационных файлах SSH, используя полномочия администратора системы с высоким уровнем целостности. Пример конфигурации: ``` # Ограничение на две неудачные попытки, после чего произойдёт разрыв соединения MaxAuthTries 2 ``` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Включите аутентификацию с использованием ключей Запретите вход от имени root. Для этого, используя полномочия администратора системы с высоким уровнем целостности, в конфигурационных файлах SSH установите следующий параметр: ``` PermitRootLogin no ``` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Измените стандартный порт SSH. Для этого, используя полномочия администратора системы с высоким уровнем целостности, в конфигурационных файлах SSH установите следующий параметр: ``` Port <Новый порт SSH> ``` Для применения изменений в конфигурации, необходимо перезапустить SSH-сервис. - Ограничьте доступ по IP-адресу для снижения возможности подключения к серверу с неразрешённых IP-адресов. Для этого, используя полномочия администратора системы с высоким уровнем целостности, в файле /etc/hosts.allow добавьте строки вида: ``` sshd: <разрешённый IP-адрес> ``` А также, используя полномочия администратора системы с высоким уровнем целостности, в файле /etc/hosts.deny добавьте следующую строку: ``` sshd: ALL ``` Astra Linux 1.8 python3.11 The “ipaddress” module contained incorrect information about whether certain IPv4 and IPv6 addresses were designated as “globally reachable” or “private”. This affected the is_private and is_global properties of the ipaddress.IPv4Address, ipaddress.IPv4Network, ipaddress.IPv6Address, and ipaddress.IPv6Network classes, where values wouldn’t be returned in accordance with the latest information from the IANA Special-Purpose Address Registries. CPython 3.12.4 and 3.13.0a6 contain updated information from these registries and thus have the intended behavior. [NistCWE(cwe='CWE-697')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Удалить ПО python3.11, если оно не используется и не является зависимостью других пакетов - При использовании ПО python выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Python-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 webkit2gtk A use-after-free issue was addressed with improved memory management. This issue is fixed in Safari 17.6, iOS 16.7.9 and iPadOS 16.7.9, iOS 17.6 and iPadOS 17.6, macOS Sonoma 14.6, tvOS 17.6, visionOS 1.3, watchOS 10.6. Processing maliciously crafted web content may lead to an unexpected process crash. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: jfs: xattr: fix buffer overflow for invalid xattr When an xattr size is not what is expected, it is printed out to the kernel log in hex format as a form of debugging. But when that xattr size is bigger than the expected size, printing it out can cause an access off the end of the buffer. Fix this all up by properly restricting the size of the debug hex dump in the kernel log. [NistCWE(cwe='CWE-120'), NistCWE(cwe='CWE-121')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: do not leave a dangling sk pointer, when socket creation fails It is possible to trigger a use-after-free by: * attaching an fentry probe to __sock_release() and the probe calling the bpf_get_socket_cookie() helper * running traceroute -I 1.1.1.1 on a freshly booted VM A KASAN enabled kernel will log something like below (decoded and stripped): ================================================================== BUG: KASAN: slab-use-after-free in __sock_gen_cookie (./arch/x86/include/asm/atomic64_64.h:15 ./include/linux/atomic/atomic-arch-fallback.h:2583 ./include/linux/atomic/atomic-instrumented.h:1611 net/core/sock_diag.c:29) Read of size 8 at addr ffff888007110dd8 by task traceroute/299 CPU: 2 PID: 299 Comm: traceroute Tainted: G E 6.10.0-rc2+ #2 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.2-debian-1.16.2-1 04/01/2014 Call Trace: <TASK> dump_stack_lvl (lib/dump_stack.c:117 (discriminator 1)) print_report (mm/kasan/report.c:378 mm/kasan/report.c:488) ? __sock_gen_cookie (./arch/x86/include/asm/atomic64_64.h:15 ./include/linux/atomic/atomic-arch-fallback.h:2583 ./include/linux/atomic/atomic-instrumented.h:1611 net/core/sock_diag.c:29) kasan_report (mm/kasan/report.c:603) ? __sock_gen_cookie (./arch/x86/include/asm/atomic64_64.h:15 ./include/linux/atomic/atomic-arch-fallback.h:2583 ./include/linux/atomic/atomic-instrumented.h:1611 net/core/sock_diag.c:29) kasan_check_range (mm/kasan/generic.c:183 mm/kasan/generic.c:189) __sock_gen_cookie (./arch/x86/include/asm/atomic64_64.h:15 ./include/linux/atomic/atomic-arch-fallback.h:2583 ./include/linux/atomic/atomic-instrumented.h:1611 net/core/sock_diag.c:29) bpf_get_socket_ptr_cookie (./arch/x86/include/asm/preempt.h:94 ./include/linux/sock_diag.h:42 net/core/filter.c:5094 net/core/filter.c:5092) bpf_prog_875642cf11f1d139___sock_release+0x6e/0x8e bpf_trampoline_6442506592+0x47/0xaf __sock_release (net/socket.c:652) __sock_create (net/socket.c:1601) ... Allocated by task 299 on cpu 2 at 78.328492s: kasan_save_stack (mm/kasan/common.c:48) kasan_save_track (mm/kasan/common.c:68) __kasan_slab_alloc (mm/kasan/common.c:312 mm/kasan/common.c:338) kmem_cache_alloc_noprof (mm/slub.c:3941 mm/slub.c:4000 mm/slub.c:4007) sk_prot_alloc (net/core/sock.c:2075) sk_alloc (net/core/sock.c:2134) inet_create (net/ipv4/af_inet.c:327 net/ipv4/af_inet.c:252) __sock_create (net/socket.c:1572) __sys_socket (net/socket.c:1660 net/socket.c:1644 net/socket.c:1706) __x64_sys_socket (net/socket.c:1718) do_syscall_64 (arch/x86/entry/common.c:52 arch/x86/entry/common.c:83) entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:130) Freed by task 299 on cpu 2 at 78.328502s: kasan_save_stack (mm/kasan/common.c:48) kasan_save_track (mm/kasan/common.c:68) kasan_save_free_info (mm/kasan/generic.c:582) poison_slab_object (mm/kasan/common.c:242) __kasan_slab_free (mm/kasan/common.c:256) kmem_cache_free (mm/slub.c:4437 mm/slub.c:4511) __sk_destruct (net/core/sock.c:2117 net/core/sock.c:2208) inet_create (net/ipv4/af_inet.c:397 net/ipv4/af_inet.c:252) __sock_create (net/socket.c:1572) __sys_socket (net/socket.c:1660 net/socket.c:1644 net/socket.c:1706) __x64_sys_socket (net/socket.c:1718) do_syscall_64 (arch/x86/entry/common.c:52 arch/x86/entry/common.c:83) entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:130) Fix this by clearing the struct socket reference in sk_common_release() to cover all protocol families create functions, which may already attached the reference to the sk object with sock_init_data(). [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netns: Make get_net_ns() handle zero refcount net Syzkaller hit a warning: refcount_t: addition on 0; use-after-free. WARNING: CPU: 3 PID: 7890 at lib/refcount.c:25 refcount_warn_saturate+0xdf/0x1d0 Modules linked in: CPU: 3 PID: 7890 Comm: tun Not tainted 6.10.0-rc3-00100-gcaa4f9578aba-dirty #310 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.15.0-1 04/01/2014 RIP: 0010:refcount_warn_saturate+0xdf/0x1d0 Code: 41 49 04 31 ff 89 de e8 9f 1e cd fe 84 db 75 9c e8 76 26 cd fe c6 05 b6 41 49 04 01 90 48 c7 c7 b8 8e 25 86 e8 d2 05 b5 fe 90 <0f> 0b 90 90 e9 79 ff ff ff e8 53 26 cd fe 0f b6 1 RSP: 0018:ffff8881067b7da0 EFLAGS: 00010286 RAX: 0000000000000000 RBX: 0000000000000000 RCX: ffffffff811c72ac RDX: ffff8881026a2140 RSI: ffffffff811c72b5 RDI: 0000000000000001 RBP: ffff8881067b7db0 R08: 0000000000000000 R09: 205b5d3730353139 R10: 0000000000000000 R11: 205d303938375420 R12: ffff8881086500c4 R13: ffff8881086500c4 R14: ffff8881086500b0 R15: ffff888108650040 FS: 00007f5b2961a4c0(0000) GS:ffff88823bd00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000055d7ed36fd18 CR3: 00000001482f6000 CR4: 00000000000006f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> ? show_regs+0xa3/0xc0 ? __warn+0xa5/0x1c0 ? refcount_warn_saturate+0xdf/0x1d0 ? report_bug+0x1fc/0x2d0 ? refcount_warn_saturate+0xdf/0x1d0 ? handle_bug+0xa1/0x110 ? exc_invalid_op+0x3c/0xb0 ? asm_exc_invalid_op+0x1f/0x30 ? __warn_printk+0xcc/0x140 ? __warn_printk+0xd5/0x140 ? refcount_warn_saturate+0xdf/0x1d0 get_net_ns+0xa4/0xc0 ? __pfx_get_net_ns+0x10/0x10 open_related_ns+0x5a/0x130 __tun_chr_ioctl+0x1616/0x2370 ? __sanitizer_cov_trace_switch+0x58/0xa0 ? __sanitizer_cov_trace_const_cmp2+0x1c/0x30 ? __pfx_tun_chr_ioctl+0x10/0x10 tun_chr_ioctl+0x2f/0x40 __x64_sys_ioctl+0x11b/0x160 x64_sys_call+0x1211/0x20d0 do_syscall_64+0x9e/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f5b28f165d7 Code: b3 66 90 48 8b 05 b1 48 2d 00 64 c7 00 26 00 00 00 48 c7 c0 ff ff ff ff c3 66 2e 0f 1f 84 00 00 00 00 00 b8 10 00 00 00 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 8b 0d 81 48 2d 00 8 RSP: 002b:00007ffc2b59c5e8 EFLAGS: 00000246 ORIG_RAX: 0000000000000010 RAX: ffffffffffffffda RBX: 0000000000000000 RCX: 00007f5b28f165d7 RDX: 0000000000000000 RSI: 00000000000054e3 RDI: 0000000000000003 RBP: 00007ffc2b59c650 R08: 00007f5b291ed8c0 R09: 00007f5b2961a4c0 R10: 0000000029690010 R11: 0000000000000246 R12: 0000000000400730 R13: 00007ffc2b59cf40 R14: 0000000000000000 R15: 0000000000000000 </TASK> Kernel panic - not syncing: kernel: panic_on_warn set ... This is trigger as below: ns0 ns1 tun_set_iff() //dev is tun0 tun->dev = dev //ip link set tun0 netns ns1 put_net() //ref is 0 __tun_chr_ioctl() //TUNGETDEVNETNS net = dev_net(tun->dev); open_related_ns(&net->ns, get_net_ns); //ns1 get_net_ns() get_net() //addition on 0 Use maybe_get_net() in get_net_ns in case net's ref is zero to fix this [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Avoid splat in pskb_pull_reason syzkaller builds (CONFIG_DEBUG_NET=y) frequently trigger a debug hint in pskb_may_pull. We'd like to retain this debug check because it might hint at integer overflows and other issues (kernel code should pull headers, not huge value). In bpf case, this splat isn't interesting at all: such (nonsensical) bpf programs are typically generated by a fuzzer anyway. Do what Eric suggested and suppress such warning. For CONFIG_DEBUG_NET=n we don't need the extra check because pskb_may_pull will do the right thing: return an error without the WARN() backtrace. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: block/ioctl: prefer different overflow check Running syzkaller with the newly reintroduced signed integer overflow sanitizer shows this report: [ 62.982337] ------------[ cut here ]------------ [ 62.985692] cgroup: Invalid name [ 62.986211] UBSAN: signed-integer-overflow in ../block/ioctl.c:36:46 [ 62.989370] 9pnet_fd: p9_fd_create_tcp (7343): problem connecting socket to 127.0.0.1 [ 62.992992] 9223372036854775807 + 4095 cannot be represented in type 'long long' [ 62.997827] 9pnet_fd: p9_fd_create_tcp (7345): problem connecting socket to 127.0.0.1 [ 62.999369] random: crng reseeded on system resumption [ 63.000634] GUP no longer grows the stack in syz-executor.2 (7353): 20002000-20003000 (20001000) [ 63.000668] CPU: 0 PID: 7353 Comm: syz-executor.2 Not tainted 6.8.0-rc2-00035-gb3ef86b5a957 #1 [ 63.000677] Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.3-debian-1.16.3-2 04/01/2014 [ 63.000682] Call Trace: [ 63.000686] <TASK> [ 63.000731] dump_stack_lvl+0x93/0xd0 [ 63.000919] __get_user_pages+0x903/0xd30 [ 63.001030] __gup_longterm_locked+0x153e/0x1ba0 [ 63.001041] ? _raw_read_unlock_irqrestore+0x17/0x50 [ 63.001072] ? try_get_folio+0x29c/0x2d0 [ 63.001083] internal_get_user_pages_fast+0x1119/0x1530 [ 63.001109] iov_iter_extract_pages+0x23b/0x580 [ 63.001206] bio_iov_iter_get_pages+0x4de/0x1220 [ 63.001235] iomap_dio_bio_iter+0x9b6/0x1410 [ 63.001297] __iomap_dio_rw+0xab4/0x1810 [ 63.001316] iomap_dio_rw+0x45/0xa0 [ 63.001328] ext4_file_write_iter+0xdde/0x1390 [ 63.001372] vfs_write+0x599/0xbd0 [ 63.001394] ksys_write+0xc8/0x190 [ 63.001403] do_syscall_64+0xd4/0x1b0 [ 63.001421] ? arch_exit_to_user_mode_prepare+0x3a/0x60 [ 63.001479] entry_SYSCALL_64_after_hwframe+0x6f/0x77 [ 63.001535] RIP: 0033:0x7f7fd3ebf539 [ 63.001551] Code: 28 00 00 00 75 05 48 83 c4 28 c3 e8 f1 14 00 00 90 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 c7 c1 b8 ff ff ff f7 d8 64 89 01 48 [ 63.001562] RSP: 002b:00007f7fd32570c8 EFLAGS: 00000246 ORIG_RAX: 0000000000000001 [ 63.001584] RAX: ffffffffffffffda RBX: 00007f7fd3ff3f80 RCX: 00007f7fd3ebf539 [ 63.001590] RDX: 4db6d1e4f7e43360 RSI: 0000000020000000 RDI: 0000000000000004 [ 63.001595] RBP: 00007f7fd3f1e496 R08: 0000000000000000 R09: 0000000000000000 [ 63.001599] R10: 0000000000000000 R11: 0000000000000246 R12: 0000000000000000 [ 63.001604] R13: 0000000000000006 R14: 00007f7fd3ff3f80 R15: 00007ffd415ad2b8 ... [ 63.018142] ---[ end trace ]--- Historically, the signed integer overflow sanitizer did not work in the kernel due to its interaction with `-fwrapv` but this has since been changed [1] in the newest version of Clang; It was re-enabled in the kernel with Commit 557f8c582a9ba8ab ("ubsan: Reintroduce signed overflow sanitizer"). Let's rework this overflow checking logic to not actually perform an overflow during the check itself, thus avoiding the UBSAN splat. [1]: https://github.com/llvm/llvm-project/pull/82432 [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: ethernet: lantiq_etop: fix double free in detach The number of the currently released descriptor is never incremented which results in the same skb being released multiple times. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: filelock: fix potential use-after-free in posix_lock_inode Light Hsieh reported a KASAN UAF warning in trace_posix_lock_inode(). The request pointer had been changed earlier to point to a lock entry that was added to the inode's list. However, before the tracepoint could fire, another task raced in and freed that lock. Fix this by moving the tracepoint inside the spinlock, which should ensure that this doesn't happen. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: KVM: PPC: Book3S HV: Prevent UAF in kvm_spapr_tce_attach_iommu_group() Al reported a possible use-after-free (UAF) in kvm_spapr_tce_attach_iommu_group(). It looks up `stt` from tablefd, but then continues to use it after doing fdput() on the returned fd. After the fdput() the tablefd is free to be closed by another thread. The close calls kvm_spapr_tce_release() and then release_spapr_tce_table() (via call_rcu()) which frees `stt`. Although there are calls to rcu_read_lock() in kvm_spapr_tce_attach_iommu_group() they are not sufficient to prevent the UAF, because `stt` is used outside the locked regions. With an artifcial delay after the fdput() and a userspace program which triggers the race, KASAN detects the UAF: BUG: KASAN: slab-use-after-free in kvm_spapr_tce_attach_iommu_group+0x298/0x720 [kvm] Read of size 4 at addr c000200027552c30 by task kvm-vfio/2505 CPU: 54 PID: 2505 Comm: kvm-vfio Not tainted 6.10.0-rc3-next-20240612-dirty #1 Hardware name: 8335-GTH POWER9 0x4e1202 opal:skiboot-v6.5.3-35-g1851b2a06 PowerNV Call Trace: dump_stack_lvl+0xb4/0x108 (unreliable) print_report+0x2b4/0x6ec kasan_report+0x118/0x2b0 __asan_load4+0xb8/0xd0 kvm_spapr_tce_attach_iommu_group+0x298/0x720 [kvm] kvm_vfio_set_attr+0x524/0xac0 [kvm] kvm_device_ioctl+0x144/0x240 [kvm] sys_ioctl+0x62c/0x1810 system_call_exception+0x190/0x440 system_call_vectored_common+0x15c/0x2ec ... Freed by task 0: ... kfree+0xec/0x3e0 release_spapr_tce_table+0xd4/0x11c [kvm] rcu_core+0x568/0x16a0 handle_softirqs+0x23c/0x920 do_softirq_own_stack+0x6c/0x90 do_softirq_own_stack+0x58/0x90 __irq_exit_rcu+0x218/0x2d0 irq_exit+0x30/0x80 arch_local_irq_restore+0x128/0x230 arch_local_irq_enable+0x1c/0x30 cpuidle_enter_state+0x134/0x5cc cpuidle_enter+0x6c/0xb0 call_cpuidle+0x7c/0x100 do_idle+0x394/0x410 cpu_startup_entry+0x60/0x70 start_secondary+0x3fc/0x410 start_secondary_prolog+0x10/0x14 Fix it by delaying the fdput() until `stt` is no longer in use, which is effectively the entire function. To keep the patch minimal add a call to fdput() at each of the existing return paths. Future work can convert the function to goto or __cleanup style cleanup. With the fix in place the test case no longer triggers the UAF. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nvme: avoid double free special payload If a discard request needs to be retried, and that retry may fail before a new special payload is added, a double free will result. Clear the RQF_SPECIAL_LOAD when the request is cleaned. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ata: libata-core: Fix double free on error If e.g. the ata_port_alloc() call in ata_host_alloc() fails, we will jump to the err_out label, which will call devres_release_group(). devres_release_group() will trigger a call to ata_host_release(). ata_host_release() calls kfree(host), so executing the kfree(host) in ata_host_alloc() will lead to a double free: kernel BUG at mm/slub.c:553! Oops: invalid opcode: 0000 [#1] PREEMPT SMP NOPTI CPU: 11 PID: 599 Comm: (udev-worker) Not tainted 6.10.0-rc5 #47 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.3-2.fc40 04/01/2014 RIP: 0010:kfree+0x2cf/0x2f0 Code: 5d 41 5e 41 5f 5d e9 80 d6 ff ff 4d 89 f1 41 b8 01 00 00 00 48 89 d9 48 89 da RSP: 0018:ffffc90000f377f0 EFLAGS: 00010246 RAX: ffff888112b1f2c0 RBX: ffff888112b1f2c0 RCX: ffff888112b1f320 RDX: 000000000000400b RSI: ffffffffc02c9de5 RDI: ffff888112b1f2c0 RBP: ffffc90000f37830 R08: 0000000000000000 R09: 0000000000000000 R10: ffffc90000f37610 R11: 617461203a736b6e R12: ffffea00044ac780 R13: ffff888100046400 R14: ffffffffc02c9de5 R15: 0000000000000006 FS: 00007f2f1cabe980(0000) GS:ffff88813b380000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f2f1c3acf75 CR3: 0000000111724000 CR4: 0000000000750ef0 PKRU: 55555554 Call Trace: <TASK> ? __die_body.cold+0x19/0x27 ? die+0x2e/0x50 ? do_trap+0xca/0x110 ? do_error_trap+0x6a/0x90 ? kfree+0x2cf/0x2f0 ? exc_invalid_op+0x50/0x70 ? kfree+0x2cf/0x2f0 ? asm_exc_invalid_op+0x1a/0x20 ? ata_host_alloc+0xf5/0x120 [libata] ? ata_host_alloc+0xf5/0x120 [libata] ? kfree+0x2cf/0x2f0 ata_host_alloc+0xf5/0x120 [libata] ata_host_alloc_pinfo+0x14/0xa0 [libata] ahci_init_one+0x6c9/0xd20 [ahci] Ensure that we will not call kfree(host) twice, by performing the kfree() only if the devres_open_group() call failed. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: PCI/MSI: Fix UAF in msi_capability_init KFENCE reports the following UAF: BUG: KFENCE: use-after-free read in __pci_enable_msi_range+0x2c0/0x488 Use-after-free read at 0x0000000024629571 (in kfence-#12): __pci_enable_msi_range+0x2c0/0x488 pci_alloc_irq_vectors_affinity+0xec/0x14c pci_alloc_irq_vectors+0x18/0x28 kfence-#12: 0x0000000008614900-0x00000000e06c228d, size=104, cache=kmalloc-128 allocated by task 81 on cpu 7 at 10.808142s: __kmem_cache_alloc_node+0x1f0/0x2bc kmalloc_trace+0x44/0x138 msi_alloc_desc+0x3c/0x9c msi_domain_insert_msi_desc+0x30/0x78 msi_setup_msi_desc+0x13c/0x184 __pci_enable_msi_range+0x258/0x488 pci_alloc_irq_vectors_affinity+0xec/0x14c pci_alloc_irq_vectors+0x18/0x28 freed by task 81 on cpu 7 at 10.811436s: msi_domain_free_descs+0xd4/0x10c msi_domain_free_locked.part.0+0xc0/0x1d8 msi_domain_alloc_irqs_all_locked+0xb4/0xbc pci_msi_setup_msi_irqs+0x30/0x4c __pci_enable_msi_range+0x2a8/0x488 pci_alloc_irq_vectors_affinity+0xec/0x14c pci_alloc_irq_vectors+0x18/0x28 Descriptor allocation done in: __pci_enable_msi_range msi_capability_init msi_setup_msi_desc msi_insert_msi_desc msi_domain_insert_msi_desc msi_alloc_desc ... Freed in case of failure in __msi_domain_alloc_locked() __pci_enable_msi_range msi_capability_init pci_msi_setup_msi_irqs msi_domain_alloc_irqs_all_locked msi_domain_alloc_locked __msi_domain_alloc_locked => fails msi_domain_free_locked ... That failure propagates back to pci_msi_setup_msi_irqs() in msi_capability_init() which accesses the descriptor for unmasking in the error exit path. Cure it by copying the descriptor and using the copy for the error exit path unmask operation. [ tglx: Massaged change log ] [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 docker.io-app Moby is an open-source project created by Docker for software containerization. A security vulnerability has been detected in certain versions of Docker Engine, which could allow an attacker to bypass authorization plugins (AuthZ) under specific circumstances. The base likelihood of this being exploited is low. Using a specially-crafted API request, an Engine API client could make the daemon forward the request or response to an authorization plugin without the body. In certain circumstances, the authorization plugin may allow a request which it would have otherwise denied if the body had been forwarded to it. A security issue was discovered In 2018, where an attacker could bypass AuthZ plugins using a specially crafted API request. This could lead to unauthorized actions, including privilege escalation. Although this issue was fixed in Docker Engine v18.09.1 in January 2019, the fix was not carried forward to later major versions, resulting in a regression. Anyone who depends on authorization plugins that introspect the request and/or response body to make access control decisions is potentially impacted. Docker EE v19.03.x and all versions of Mirantis Container Runtime are not vulnerable. docker-ce v27.1.1 containes patches to fix the vulnerability. Patches have also been merged into the master, 19.03, 20.0, 23.0, 24.0, 25.0, 26.0, and 26.1 release branches. If one is unable to upgrade immediately, avoid using AuthZ plugins and/or restrict access to the Docker API to trusted parties, following the principle of least privilege. [NistCWE(cwe='CWE-187')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H', score=9.9) - Использовать Docker для работы в непривилегированном (rootless) режиме - Не запускайте контейнеры с опцией --privileged для отключения расширенных привилегий, которые могут быть включены по умолчанию - Запретить монтирование файла Unix-сокета /var/run/docker.sock внутри контейнеров для всех пользователей - Запретить монтирование корневой файловой системы хоста внутри контейнеров для всех пользователей - Запретить монтирование системных директорий, таких как /proc и /sys, внутри контейнеров для всех пользователей - При запуске Docker-контейнера используйте опцию --cap-drop=ALL для отключения всех привилегий (capabilities), которые могут быть включены по умолчанию - При запуске Docker-контейнера используйте опцию --security-opt=no-new-privileges для предотвращения эскалации привилегий - При запуске Docker-контейнера ограничьте использование системных ресурсов (память, CPU, файловые дескрипторы, процессы, перезапуски) - Запускайте контейнер с корневой файловой системой в режиме только для чтения с помощью опции --read-only, например: ` docker run --read-only --rm <image_name> ` - Подключайте тома в режиме только для чтения с помощью параметра readonly, например: ` docker run --mount type=volume,source=<volume_name>,target=/data,readonly --rm <image_name> ` - Создавайте отдельные сети для контейнеров, используемых в одном контексте, чтобы изолировать их от других контейнеров и ограничить сетевой доступ только до необходимых сервисов. Для создания пользовательской сети используется следующая команда команда: ` docker network create <network_name> ` Далее, для подключения контейнера к созданной сети используется следующая команда: ` docker run --network=<network_name> --rm <image_name> ` - Поддерживайте образы контейнеров и сам Docker в актуальном состоянии для защиты от известных уязвимостей - Загружайте образы только из надежных реестров и проверяйте их подлинность - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 libheif In Libheif 1.17.6, insufficient checks in ImageOverlay::parse() decoding a heif file containing an overlay image with forged offsets can lead to an out-of-bounds read and write. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N', score=8.1) Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/dpaa2: Avoid explicit cpumask var allocation on stack For CONFIG_CPUMASK_OFFSTACK=y kernel, explicit allocation of cpumask variable on stack is not recommended since it can cause potential stack overflow. Instead, kernel code should always use *cpumask_var API(s) to allocate cpumask var in config-neutral way, leaving allocation strategy to CONFIG_CPUMASK_OFFSTACK. Use *cpumask_var API(s) to address it. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:H', score=7.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tcp_metrics: validate source addr length I don't see anything checking that TCP_METRICS_ATTR_SADDR_IPV4 is at least 4 bytes long, and the policy doesn't have an entry for this attribute at all (neither does it for IPv6 but v6 is manually validated). [NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: mpi3mr: Sanitise num_phys Information is stored in mr_sas_port->phy_mask, values larger then size of this field shouldn't be allowed. [NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: dsa: mv88e6xxx: Correct check for empty list Since commit a3c53be55c95 ("net: dsa: mv88e6xxx: Support multiple MDIO busses") mv88e6xxx_default_mdio_bus() has checked that the return value of list_first_entry() is non-NULL. This appears to be intended to guard against the list chip->mdios being empty. However, it is not the correct check as the implementation of list_first_entry is not designed to return NULL for empty lists. Instead, use list_first_entry_or_null() which does return NULL if the list is empty. Flagged by Smatch. Compile tested only. [NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H', score=6.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/iucv: fix use after free in iucv_sock_close() iucv_sever_path() is called from process context and from bh context. iucv->path is used as indicator whether somebody else is taking care of severing the path (or it is already removed / never existed). This needs to be done with atomic compare and swap, otherwise there is a small window where iucv_sock_close() will try to work with a path that has already been severed and freed by iucv_callback_connrej() called by iucv_tasklet_fn(). Example: [452744.123844] Call Trace: [452744.123845] ([<0000001e87f03880>] 0x1e87f03880) [452744.123966] [<00000000d593001e>] iucv_path_sever+0x96/0x138 [452744.124330] [<000003ff801ddbca>] iucv_sever_path+0xc2/0xd0 [af_iucv] [452744.124336] [<000003ff801e01b6>] iucv_sock_close+0xa6/0x310 [af_iucv] [452744.124341] [<000003ff801e08cc>] iucv_sock_release+0x3c/0xd0 [af_iucv] [452744.124345] [<00000000d574794e>] __sock_release+0x5e/0xe8 [452744.124815] [<00000000d5747a0c>] sock_close+0x34/0x48 [452744.124820] [<00000000d5421642>] __fput+0xba/0x268 [452744.124826] [<00000000d51b382c>] task_work_run+0xbc/0xf0 [452744.124832] [<00000000d5145710>] do_notify_resume+0x88/0x90 [452744.124841] [<00000000d5978096>] system_call+0xe2/0x2c8 [452744.125319] Last Breaking-Event-Address: [452744.125321] [<00000000d5930018>] iucv_path_sever+0x90/0x138 [452744.125324] [452744.125325] Kernel panic - not syncing: Fatal exception in interrupt Note that bh_lock_sock() is not serializing the tasklet context against process context, because the check for sock_owned_by_user() and corresponding handling is missing. Ideas for a future clean-up patch: A) Correct usage of bh_lock_sock() in tasklet context, as described in Re-enqueue, if needed. This may require adding return values to the tasklet functions and thus changes to all users of iucv. B) Change iucv tasklet into worker and use only lock_sock() in af_iucv. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tipc: Return non-zero value from tipc_udp_addr2str() on error tipc_udp_addr2str() should return non-zero value if the UDP media address is invalid. Otherwise, a buffer overflow access can occur in tipc_media_addr_printf(). Fix this by returning 1 on an invalid UDP media address. [NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/iwcm: Fix a use-after-free related to destroying CM IDs iw_conn_req_handler() associates a new struct rdma_id_private (conn_id) with an existing struct iw_cm_id (cm_id) as follows: conn_id->cm_id.iw = cm_id; cm_id->context = conn_id; cm_id->cm_handler = cma_iw_handler; rdma_destroy_id() frees both the cm_id and the struct rdma_id_private. Make sure that cm_work_handler() does not trigger a use-after-free by only freeing of the struct rdma_id_private after all pending work has finished. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: dev/parport: fix the array out-of-bounds risk Fixed array out-of-bounds issues caused by sprintf by replacing it with snprintf for safer data copying, ensuring the destination buffer is not overflowed. Below is the stack trace I encountered during the actual issue: [ 66.575408s] [pid:5118,cpu4,QThread,4]Kernel panic - not syncing: stack-protector: Kernel stack is corrupted in: do_hardware_base_addr+0xcc/0xd0 [parport] [ 66.575408s] [pid:5118,cpu4,QThread,5]CPU: 4 PID: 5118 Comm: QThread Tainted: G S W O 5.10.97-arm64-desktop #7100.57021.2 [ 66.575439s] [pid:5118,cpu4,QThread,6]TGID: 5087 Comm: EFileApp [ 66.575439s] [pid:5118,cpu4,QThread,7]Hardware name: HUAWEI HUAWEI QingYun PGUX-W515x-B081/SP1PANGUXM, BIOS 1.00.07 04/29/2024 [ 66.575439s] [pid:5118,cpu4,QThread,8]Call trace: [ 66.575469s] [pid:5118,cpu4,QThread,9] dump_backtrace+0x0/0x1c0 [ 66.575469s] [pid:5118,cpu4,QThread,0] show_stack+0x14/0x20 [ 66.575469s] [pid:5118,cpu4,QThread,1] dump_stack+0xd4/0x10c [ 66.575500s] [pid:5118,cpu4,QThread,2] panic+0x1d8/0x3bc [ 66.575500s] [pid:5118,cpu4,QThread,3] __stack_chk_fail+0x2c/0x38 [ 66.575500s] [pid:5118,cpu4,QThread,4] do_hardware_base_addr+0xcc/0xd0 [parport] [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: media: venus: fix use after free in vdec_close There appears to be a possible use after free with vdec_close(). The firmware will add buffer release work to the work queue through HFI callbacks as a normal part of decoding. Randomly closing the decoder device from userspace during normal decoding can incur a read after free for inst. Fix it by cancelling the work in vdec_close. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 flatpak Flatpak is a Linux application sandboxing and distribution framework. Prior to versions 1.14.0 and 1.15.10, a malicious or compromised Flatpak app using persistent directories could access and write files outside of what it would otherwise have access to, which is an attack on integrity and confidentiality. When `persistent=subdir` is used in the application permissions (represented as `--persist=subdir` in the command-line interface), that means that an application which otherwise doesn't have access to the real user home directory will see an empty home directory with a writeable subdirectory `subdir`. Behind the scenes, this directory is actually a bind mount and the data is stored in the per-application directory as `~/.var/app/$APPID/subdir`. This allows existing apps that are not aware of the per-application directory to still work as intended without general home directory access. However, the application does have write access to the application directory `~/.var/app/$APPID` where this directory is stored. If the source directory for the `persistent`/`--persist` option is replaced by a symlink, then the next time the application is started, the bind mount will follow the symlink and mount whatever it points to into the sandbox. Partial protection against this vulnerability can be provided by patching Flatpak using the patches in commits ceec2ffc and 98f79773. However, this leaves a race condition that could be exploited by two instances of a malicious app running in parallel. Closing the race condition requires updating or patching the version of bubblewrap that is used by Flatpak to add the new `--bind-fd` option using the patch and then patching Flatpak to use it. If Flatpak has been configured at build-time with `-Dsystem_bubblewrap=bwrap` (1.15.x) or `--with-system-bubblewrap=bwrap` (1.14.x or older), or a similar option, then the version of bubblewrap that needs to be patched is a system copy that is distributed separately, typically `/usr/bin/bwrap`. This configuration is the one that is typically used in Linux distributions. If Flatpak has been configured at build-time with `-Dsystem_bubblewrap=` (1.15.x) or with `--without-system-bubblewrap` (1.14.x or older), then it is the bundled version of bubblewrap that is included with Flatpak that must be patched. This is typically installed as `/usr/libexec/flatpak-bwrap`. This configuration is the default when building from source code. For the 1.14.x stable branch, these changes are included in Flatpak 1.14.10. The bundled version of bubblewrap included in this release has been updated to 0.6.3. For the 1.15.x development branch, these changes are included in Flatpak 1.15.10. The bundled version of bubblewrap in this release is a Meson "wrap" subproject, which has been updated to 0.10.0. The 1.12.x and 1.10.x branches will not be updated for this vulnerability. Long-term support OS distributions should backport the individual changes into their versions of Flatpak and bubblewrap, or update to newer versions if their stability policy allows it. As a workaround, avoid using applications using the `persistent` (`--persist`) permission. [NistCWE(cwe='CWE-74')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N', score=10.0) Astra Linux 1.8 postgresql-15 Missing authorization in PostgreSQL built-in views pg_stats_ext and pg_stats_ext_exprs allows an unprivileged database user to read most common values and other statistics from CREATE STATISTICS commands of other users. The most common values may reveal column values the eavesdropper could not otherwise read or results of functions they cannot execute. Installing an unaffected version only fixes fresh PostgreSQL installations, namely those that are created with the initdb utility after installing that version. Current PostgreSQL installations will remain vulnerable until they follow the instructions in the release notes. Within major versions 14-16, minor versions before PostgreSQL 16.3, 15.7, and 14.12 are affected. Versions before PostgreSQL 14 are unaffected. [NistCWE(cwe='CWE-862'), NistCWE(cwe='CWE-862')] None NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N', score=3.1) - При использовании ПО postgresql выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО postgresql в изолированной программной среде с применением инструмента Firejail - Использовать выделенную группу postgres для взаимодействия с postgresql - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: vhost/vsock: always initialize seqpacket_allow There are two issues around seqpacket_allow: 1. seqpacket_allow is not initialized when socket is created. Thus if features are never set, it will be read uninitialized. 2. if VIRTIO_VSOCK_F_SEQPACKET is set and then cleared, then seqpacket_allow will not be cleared appropriately (existing apps I know about don't usually do this but it's legal and there's no way to be sure no one relies on this). To fix: - initialize seqpacket_allow after allocation - set it unconditionally in set_features [NistCWE(cwe='CWE-909')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: media: xc2028: avoid use-after-free in load_firmware_cb() syzkaller reported use-after-free in load_firmware_cb() [1]. The reason is because the module allocated a struct tuner in tuner_probe(), and then the module initialization failed, the struct tuner was released. A worker which created during module initialization accesses this struct tuner later, it caused use-after-free. The process is as follows: task-6504 worker_thread tuner_probe <= alloc dvb_frontend [2] ... request_firmware_nowait <= create a worker ... tuner_remove <= free dvb_frontend ... request_firmware_work_func <= the firmware is ready load_firmware_cb <= but now the dvb_frontend has been freed To fix the issue, check the dvd_frontend in load_firmware_cb(), if it is null, report a warning and just return. [1]: ================================================================== BUG: KASAN: use-after-free in load_firmware_cb+0x1310/0x17a0 Read of size 8 at addr ffff8000d7ca2308 by task kworker/2:3/6504 Call trace: load_firmware_cb+0x1310/0x17a0 request_firmware_work_func+0x128/0x220 process_one_work+0x770/0x1824 worker_thread+0x488/0xea0 kthread+0x300/0x430 ret_from_fork+0x10/0x20 Allocated by task 6504: kzalloc tuner_probe+0xb0/0x1430 i2c_device_probe+0x92c/0xaf0 really_probe+0x678/0xcd0 driver_probe_device+0x280/0x370 __device_attach_driver+0x220/0x330 bus_for_each_drv+0x134/0x1c0 __device_attach+0x1f4/0x410 device_initial_probe+0x20/0x30 bus_probe_device+0x184/0x200 device_add+0x924/0x12c0 device_register+0x24/0x30 i2c_new_device+0x4e0/0xc44 v4l2_i2c_new_subdev_board+0xbc/0x290 v4l2_i2c_new_subdev+0xc8/0x104 em28xx_v4l2_init+0x1dd0/0x3770 Freed by task 6504: kfree+0x238/0x4e4 tuner_remove+0x144/0x1c0 i2c_device_remove+0xc8/0x290 __device_release_driver+0x314/0x5fc device_release_driver+0x30/0x44 bus_remove_device+0x244/0x490 device_del+0x350/0x900 device_unregister+0x28/0xd0 i2c_unregister_device+0x174/0x1d0 v4l2_device_unregister+0x224/0x380 em28xx_v4l2_init+0x1d90/0x3770 The buggy address belongs to the object at ffff8000d7ca2000 which belongs to the cache kmalloc-2k of size 2048 The buggy address is located 776 bytes inside of 2048-byte region [ffff8000d7ca2000, ffff8000d7ca2800) The buggy address belongs to the page: page:ffff7fe00035f280 count:1 mapcount:0 mapping:ffff8000c001f000 index:0x0 flags: 0x7ff800000000100(slab) raw: 07ff800000000100 ffff7fe00049d880 0000000300000003 ffff8000c001f000 raw: 0000000000000000 0000000080100010 00000001ffffffff 0000000000000000 page dumped because: kasan: bad access detected Memory state around the buggy address: ffff8000d7ca2200: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb ffff8000d7ca2280: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb >ffff8000d7ca2300: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb ^ ffff8000d7ca2380: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb ffff8000d7ca2400: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb ================================================================== [2] Actually, it is allocated for struct tuner, and dvb_frontend is inside. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 expat An issue was discovered in libexpat before 2.6.3. xmlparse.c does not reject a negative length for XML_ParseBuffer. [NistCWE(cwe='CWE-611'), NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - При использовании ПО expat выполнять обработку файлов, полученных только из доверенных источников - По возможности запускайте приложения, использующие ПО expat, в изолированной программной среде с применением инструмента Firejail - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 webkit2gtk Use after free in ANGLE in Google Chrome prior to 124.0.6367.155 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: don't access invalid sched Since 2320c9e6a768 ("drm/sched: memset() 'job' in drm_sched_job_init()") accessing job->base.sched can produce unexpected results as the initialisation of (*job)->base.sched done in amdgpu_job_alloc is overwritten by the memset. This commit fixes an issue when a CS would fail validation and would be rejected after job->num_ibs is incremented. In this case, amdgpu_ib_free(ring->adev, ...) will be called, which would crash the machine because the ring value is bogus. To fix this, pass a NULL pointer to amdgpu_ib_free(): we can do this because the device is actually not used in this function. The next commit will remove the ring argument completely. (cherry picked from commit 2ae520cb12831d264ceb97c61f72c59d33c0dbd7) [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 ghostscript An issue was discovered in psi/zcolor.c in Artifex Ghostscript before 10.04.0. An unchecked Implementation pointer in Pattern color space could lead to arbitrary code execution. [NistCWE(cwe='CWE-824'), NistCWE(cwe='CWE-824')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 ghostscript An issue was discovered in pdf/pdf_xref.c in Artifex Ghostscript before 10.04.0. There is a buffer overflow during handling of a PDF XRef stream (related to W array values). [NistCWE(cwe='CWE-120'), NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 ghostscript An issue was discovered in base/gsdevice.c in Artifex Ghostscript before 10.04.0. An integer overflow when parsing the filename format string (for the output filename) results in path truncation, and possible path traversal and code execution. [NistCWE(cwe='CWE-190'), NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 ghostscript An issue was discovered in psi/zcolor.c in Artifex Ghostscript before 10.04.0. There is an out-of-bounds read when reading color in Indexed color space. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 ghostscript An issue was discovered in psi/zfile.c in Artifex Ghostscript before 10.04.0. Out-of-bounds data access in filenameforall can lead to arbitrary code execution. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Запретить установку бита исполнения для всех пользователей, включая администраторов - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды Astra Linux 1.8 libcupsfilters CUPS is a standards-based, open-source printing system, and `libcupsfilters` contains the code of the filters of the former `cups-filters` package as library functions to be used for the data format conversion tasks needed in Printer Applications. The `cfGetPrinterAttributes5` function in `libcupsfilters` does not sanitize IPP attributes returned from an IPP server. When these IPP attributes are used, for instance, to generate a PPD file, this can lead to attacker controlled data to be provided to the rest of the CUPS system. [NistCWE(cwe='CWE-20')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N', score=8.6) Astra Linux 1.8 libppd, cups CUPS is a standards-based, open-source printing system, and `libppd` can be used for legacy PPD file support. The `libppd` function `ppdCreatePPDFromIPP2` does not sanitize IPP attributes when creating the PPD buffer. When used in combination with other functions such as `cfGetPrinterAttributes5`, can result in user controlled input and ultimately code execution via Foomatic. This vulnerability can be part of an exploit chain leading to remote code execution (RCE), as described in CVE-2024-47176. [NistCWE(cwe='CWE-20')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N', score=8.6) Astra Linux 1.8 oath-toolkit pam_oath.so in oath-toolkit 2.6.7 through 2.6.11 before 2.6.12 allows root privilege escalation because, in the context of PAM code running as root, it mishandles usersfile access, such as by calling fchown in the presence of a symlink. [NistCWE(cwe='CWE-22')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N', score=7.1) Astra Linux 1.8 needrestart Qualys discovered that needrestart, before version 3.8, allows local attackers to execute arbitrary code as root by tricking needrestart into running the Python interpreter with an attacker-controlled PYTHONPATH environment variable. [NistCWE(cwe='CWE-427')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.8 needrestart Qualys discovered that needrestart, before version 3.8, allows local attackers to execute arbitrary code as root by winning a race condition and tricking needrestart into running their own, fake Python interpreter (instead of the system's real Python interpreter). The initial security fix (6ce6136) introduced a regression which was subsequently resolved (42af5d3). [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.8 needrestart Qualys discovered that needrestart, before version 3.8, allows local attackers to execute arbitrary code as root by tricking needrestart into running the Ruby interpreter with an attacker-controlled RUBYLIB environment variable. [NistCWE(cwe='CWE-427')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.8 libvpx There exists interger overflows in libvpx in versions prior to 1.14.1. Calling vpx_img_alloc() with a large value of the d_w, d_h, or align parameter may result in integer overflows in the calculations of buffer sizes and offsets and some fields of the returned vpx_image_t struct may be invalid. Calling vpx_img_wrap() with a large value of the d_w, d_h, or stride_align parameter may result in integer overflows in the calculations of buffer sizes and offsets and some fields of the returned vpx_image_t struct may be invalid. We recommend upgrading to version 1.14.1 or beyond [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H', score=9.1) - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить запрет монтирования носителей непривилегированными пользователями Astra Linux 1.8 libreoffice Improper Certificate Validation vulnerability in LibreOffice "LibreOfficeKit" mode disables TLS certification verification LibreOfficeKit can be used for accessing LibreOffice functionality through C/C++. Typically this is used by third party components to reuse LibreOffice as a library to convert, view or otherwise interact with documents. LibreOffice internally makes use of "curl" to fetch remote resources such as images hosted on webservers. In affected versions of LibreOffice, when used in LibreOfficeKit mode only, then curl's TLS certification verification was disabled (CURLOPT_SSL_VERIFYPEER of false) In the fixed versions curl operates in LibreOfficeKit mode the same as in standard mode with CURLOPT_SSL_VERIFYPEER of true. This issue affects LibreOffice before version 24.2.4. [NistCWE(cwe='CWE-295')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - При использовании ПО libreoffice выполнять обработку файлов, полученных только из доверенных источников - Включить блокировку исполнения макросов в документах LibreOffice. Для этого необходимо выполнить следующие действия: - Запустить ОС с правами администратора. - В терминале выполнить следующую команду: ` astra-macros-lock enable ` - Для проверки активации блокировки исполнения макросов в документах Libreoffice в терминале нужно выполнить следующую команду: ` astra-macros-lock status ` - В результате выполнения команды в терминале должно быть выведено "АКТИВНО". - Запускать ПО libreoffice в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Запретить установку бита исполнения для всех пользователей, включая администраторов. Astra Linux 1.8 wpa An issue was discovered in Ubuntu wpa_supplicant that resulted in loading of arbitrary shared objects, which allows a local unprivileged attacker to escalate privileges to the user that wpa_supplicant runs as (usually root). Membership in the netdev group or access to the dbus interface of wpa_supplicant allow an unprivileged user to specify an arbitrary path to a module to be loaded by the wpa_supplicant process; other escalation paths might exist. [NistCWE(cwe='CWE-427'), NistCWE(cwe='CWE-427')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H', score=8.8) - Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth) - При необходимости использования WiFi - использовать для защиты данных сети VPN - Использовать ПО wpa только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО wpa только доверенными пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать ПО wpa с минимально необходимыми правами доступа - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/hns: Fix NULL pointer derefernce in hns_roce_map_mr_sg() ib_map_mr_sg() allows ULPs to specify NULL as the sg_offset argument. The driver needs to check whether it is a NULL pointer before dereferencing it. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: nft_set_hash: unaligned atomic read on struct nft_set_ext Access to genmask field in struct nft_set_ext results in unaligned atomic read: [ 72.130109] Unable to handle kernel paging request at virtual address ffff0000c2bb708c [ 72.131036] Mem abort info: [ 72.131213] ESR = 0x0000000096000021 [ 72.131446] EC = 0x25: DABT (current EL), IL = 32 bits [ 72.132209] SET = 0, FnV = 0 [ 72.133216] EA = 0, S1PTW = 0 [ 72.134080] FSC = 0x21: alignment fault [ 72.135593] Data abort info: [ 72.137194] ISV = 0, ISS = 0x00000021, ISS2 = 0x00000000 [ 72.142351] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 72.145989] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 72.150115] swapper pgtable: 4k pages, 48-bit VAs, pgdp=0000000237d27000 [ 72.154893] [ffff0000c2bb708c] pgd=0000000000000000, p4d=180000023ffff403, pud=180000023f84b403, pmd=180000023f835403, +pte=0068000102bb7707 [ 72.163021] Internal error: Oops: 0000000096000021 [#1] SMP [...] [ 72.170041] CPU: 7 UID: 0 PID: 54 Comm: kworker/7:0 Tainted: G E 6.13.0-rc3+ #2 [ 72.170509] Tainted: [E]=UNSIGNED_MODULE [ 72.170720] Hardware name: QEMU QEMU Virtual Machine, BIOS edk2-stable202302-for-qemu 03/01/2023 [ 72.171192] Workqueue: events_power_efficient nft_rhash_gc [nf_tables] [ 72.171552] pstate: 21400005 (nzCv daif +PAN -UAO -TCO +DIT -SSBS BTYPE=--) [ 72.171915] pc : nft_rhash_gc+0x200/0x2d8 [nf_tables] [ 72.172166] lr : nft_rhash_gc+0x128/0x2d8 [nf_tables] [ 72.172546] sp : ffff800081f2bce0 [ 72.172724] x29: ffff800081f2bd40 x28: ffff0000c2bb708c x27: 0000000000000038 [ 72.173078] x26: ffff0000c6780ef0 x25: ffff0000c643df00 x24: ffff0000c6778f78 [ 72.173431] x23: 000000000000001a x22: ffff0000c4b1f000 x21: ffff0000c6780f78 [ 72.173782] x20: ffff0000c2bb70dc x19: ffff0000c2bb7080 x18: 0000000000000000 [ 72.174135] x17: ffff0000c0a4e1c0 x16: 0000000000003000 x15: 0000ac26d173b978 [ 72.174485] x14: ffffffffffffffff x13: 0000000000000030 x12: ffff0000c6780ef0 [ 72.174841] x11: 0000000000000000 x10: ffff800081f2bcf8 x9 : ffff0000c3000000 [ 72.175193] x8 : 00000000000004be x7 : 0000000000000000 x6 : 0000000000000000 [ 72.175544] x5 : 0000000000000040 x4 : ffff0000c3000010 x3 : 0000000000000000 [ 72.175871] x2 : 0000000000003a98 x1 : ffff0000c2bb708c x0 : 0000000000000004 [ 72.176207] Call trace: [ 72.176316] nft_rhash_gc+0x200/0x2d8 [nf_tables] (P) [ 72.176653] process_one_work+0x178/0x3d0 [ 72.176831] worker_thread+0x200/0x3f0 [ 72.176995] kthread+0xe8/0xf8 [ 72.177130] ret_from_fork+0x10/0x20 [ 72.177289] Code: 54fff984 d503201f d2800080 91003261 (f820303f) [ 72.177557] ---[ end trace 0000000000000000 ]--- Align struct nft_set_ext to word size to address this and documentation it. pahole reports that this increases the size of elements for rhash and pipapo in 8 bytes on x86_64. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 php8.2 In PHP versions 8.1.* before 8.1.29, 8.2.* before 8.2.20, 8.3.* before 8.3.8, due to a code logic error, filtering functions such as filter_var when validating URLs (FILTER_VALIDATE_URL) for certain types of URLs the function will result in invalid user information (username + password part of URLs) being treated as valid user information. This may lead to the downstream code accepting invalid URLs as valid and parsing them incorrectly. [NistCWE(cwe='CWE-345'), NistCWE(cwe='CWE-345')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N', score=5.3) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.8 libndp A vulnerability was found in libndp. This flaw allows a local malicious user to cause a buffer overflow in NetworkManager, triggered by sending a malformed IPv6 router advertisement packet. This issue occurred as libndp was not correctly validating the route length information. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.1) - Отказаться от использования библиотеки libndp - При использовании ПО, использующего библиотеку libndp, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку libndp, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tipc: fix NULL deref in cleanup_bearer() syzbot found [1] that after blamed commit, ub->ubsock->sk was NULL when attempting the atomic_dec() : atomic_dec(&tipc_net(sock_net(ub->ubsock->sk))->wq_count); Fix this by caching the tipc_net pointer. [1] Oops: general protection fault, probably for non-canonical address 0xdffffc0000000006: 0000 [#1] PREEMPT SMP KASAN PTI KASAN: null-ptr-deref in range [0x0000000000000030-0x0000000000000037] CPU: 0 UID: 0 PID: 5896 Comm: kworker/0:3 Not tainted 6.13.0-rc1-next-20241203-syzkaller #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 09/13/2024 Workqueue: events cleanup_bearer RIP: 0010:read_pnet include/net/net_namespace.h:387 [inline] RIP: 0010:sock_net include/net/sock.h:655 [inline] RIP: 0010:cleanup_bearer+0x1f7/0x280 net/tipc/udp_media.c:820 Code: 18 48 89 d8 48 c1 e8 03 42 80 3c 28 00 74 08 48 89 df e8 3c f7 99 f6 48 8b 1b 48 83 c3 30 e8 f0 e4 60 00 48 89 d8 48 c1 e8 03 <42> 80 3c 28 00 74 08 48 89 df e8 1a f7 99 f6 49 83 c7 e8 48 8b 1b RSP: 0018:ffffc9000410fb70 EFLAGS: 00010206 RAX: 0000000000000006 RBX: 0000000000000030 RCX: ffff88802fe45a00 RDX: 0000000000000001 RSI: 0000000000000008 RDI: ffffc9000410f900 RBP: ffff88807e1f0908 R08: ffffc9000410f907 R09: 1ffff92000821f20 R10: dffffc0000000000 R11: fffff52000821f21 R12: ffff888031d19980 R13: dffffc0000000000 R14: dffffc0000000000 R15: ffff88807e1f0918 FS: 0000000000000000(0000) GS:ffff8880b8600000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000556ca050b000 CR3: 0000000031c0c000 CR4: 00000000003526f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: mscc: ocelot: fix incorrect IFH SRC_PORT field in ocelot_ifh_set_basic() Packets injected by the CPU should have a SRC_PORT field equal to the CPU port module index in the Analyzer block (ocelot->num_phys_ports). The blamed commit copied the ocelot_ifh_set_basic() call incorrectly from ocelot_xmit_common() in net/dsa/tag_ocelot.c. Instead of calling with "x", it calls with BIT_ULL(x), but the field is not a port mask, but rather a single port index. [ side note: this is the technical debt of code duplication :( ] The error used to be silent and doesn't appear to have other user-visible manifestations, but with new changes in the packing library, it now fails loudly as follows: ------------[ cut here ]------------ Cannot store 0x40 inside bits 46-43 - will truncate sja1105 spi2.0: xmit timed out WARNING: CPU: 1 PID: 102 at lib/packing.c:98 __pack+0x90/0x198 sja1105 spi2.0: timed out polling for tstamp CPU: 1 UID: 0 PID: 102 Comm: felix_xmit Tainted: G W N 6.13.0-rc1-00372-gf706b85d972d-dirty #2605 Call trace: __pack+0x90/0x198 (P) __pack+0x90/0x198 (L) packing+0x78/0x98 ocelot_ifh_set_basic+0x260/0x368 ocelot_port_inject_frame+0xa8/0x250 felix_port_deferred_xmit+0x14c/0x258 kthread_worker_fn+0x134/0x350 kthread+0x114/0x138 The code path pertains to the ocelot switchdev driver and to the felix secondary DSA tag protocol, ocelot-8021q. Here seen with ocelot-8021q. The messenger (packing) is not really to blame, so fix the original commit instead. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 nano A vulnerability was found in GNU Nano that allows a possible privilege escalation through an insecure temporary file. If Nano is killed while editing, a file it saves to an emergency file with the permissions of the running user provides a window of opportunity for attackers to escalate privileges through a malicious symlink. [NistCWE(cwe='CWE-59'), NistCWE(cwe='CWE-59')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H', score=6.7) - включить защиту файловой системы ("установить МКЦ на ФС"); - обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2. - запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - активировать регламентный контроль целостности ОС и режим замкнутой программной среды; - по возможности запускать прикладное ПО в отдельной сессии Astra Linux 1.8 python3.11 There is a MEDIUM severity vulnerability affecting CPython. Regular expressions that allowed excessive backtracking during tarfile.TarFile header parsing are vulnerable to ReDoS via specifically-crafted tar archives. [NistCWE(cwe='CWE-1333'), NistCWE(cwe='CWE-1333')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Удалить ПО python3.11, если оно не используется и не является зависимостью других пакетов - При использовании ПО python выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Python-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 setuptools A vulnerability in the package_index module of pypa/setuptools versions up to 69.1.1 allows for remote code execution via its download functions. These functions, which are used to download packages from URLs provided by users or retrieved from package index servers, are susceptible to code injection. If these functions are exposed to user-controlled inputs, such as package URLs, they can execute arbitrary commands on the system. The issue is fixed in version 70.0. [NistCWE(cwe='CWE-94')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) - Использовать ПО python-setuptools только на низком или отдельно выделенном уровне целостности - При использовании ПО python-setuptools выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска python-setuptools только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 libreoffice Certificate Validation user interface in LibreOffice allows potential vulnerability. Signed macros are scripts that have been digitally signed by the developer using a cryptographic signature. When a document with a signed macro is opened a warning is displayed by LibreOffice before the macro is executed. Previously if verification failed the user could fail to understand the failure and choose to enable the macros anyway. This issue affects LibreOffice: from 24.2 before 24.2.5. [NistCWE(cwe='CWE-295')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - При использовании ПО libreoffice выполнять обработку файлов, полученных только из доверенных источников - Включить блокировку исполнения макросов в документах LibreOffice. Для этого необходимо выполнить следующие действия: - Запустить ОС с правами администратора. - В терминале выполнить следующую команду: ` astra-macros-lock enable ` - Для проверки активации блокировки исполнения макросов в документах Libreoffice в терминале нужно выполнить следующую команду: ` astra-macros-lock status ` - В результате выполнения команды в терминале должно быть выведено "АКТИВНО". - Запускать ПО libreoffice в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Запретить установку бита исполнения для всех пользователей, включая администраторов. Astra Linux 1.8 gtk+3.0, gtk+2.0 A flaw was found in the GTK library. Under certain conditions, it is possible for a library to be injected into a GTK application from the current working directory. [NistCWE(cwe='CWE-94')] None NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.0) Astra Linux 1.8 chromium Inappropriate implementation in V8 in Google Chrome prior to 126.0.6478.182 allowed a remote attacker to perform out of bounds memory access via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-358')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in V8 in Google Chrome prior to 126.0.6478.182 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Media Stream in Google Chrome prior to 126.0.6478.182 allowed a remote attacker who convinced a user to engage in specific UI gestures to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Audio in Google Chrome prior to 126.0.6478.182 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Navigation in Google Chrome prior to 126.0.6478.182 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted Chrome Extension. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Race in DevTools in Google Chrome prior to 126.0.6478.182 allowed an attacker who convinced a user to install a malicious extension to inject scripts or HTML into a privileged page via a crafted Chrome Extension. (Chromium security severity: High) [NistCWE(cwe='CWE-362'), NistCWE(cwe='CWE-366')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Out of bounds memory access in V8 in Google Chrome prior to 126.0.6478.182 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Loader in Google Chrome prior to 127.0.6533.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Dawn in Google Chrome prior to 127.0.6533.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium No description Astra Linux 1.8 chromium No description Astra Linux 1.8 chromium Heap buffer overflow in Layout in Google Chrome prior to 127.0.6533.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Race in Frames in Google Chrome prior to 127.0.6533.72 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-362'), NistCWE(cwe='CWE-362'), NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N', score=3.1) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Tabs in Google Chrome prior to 127.0.6533.72 allowed a remote attacker who convinced a user to engage in specific UI gestures to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in User Education in Google Chrome prior to 127.0.6533.72 allowed a remote attacker who convinced a user to engage in specific UI gestures to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in FedCM in Google Chrome prior to 127.0.6533.72 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-451')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in CSS in Google Chrome prior to 127.0.6533.72 allowed a remote attacker who convinced a user to engage in specific UI gestures to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in HTML in Google Chrome prior to 127.0.6533.72 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-474')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in FedCM in Google Chrome prior to 127.0.6533.72 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Low) [NistCWE(cwe='CWE-358')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Insufficient validation of untrusted input in Safe Browsing in Google Chrome prior to 127.0.6533.72 allowed a remote attacker who convinced a user to engage in specific UI gestures to bypass discretionary access control via a malicious file. (Chromium security severity: Low) [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-863')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Insufficient validation of untrusted input in Safe Browsing in Google Chrome prior to 127.0.6533.72 allowed a remote attacker who convinced a user to engage in specific UI gestures to bypass discretionary access control via a malicious file. (Chromium security severity: Low) [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-807')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 tiff A null pointer dereference flaw was found in Libtiff via `tif_dirinfo.c`. This issue may allow an attacker to trigger memory allocation failures through certain means, such as restricting the heap space size or injecting faults, causing a segmentation fault. This can cause an application crash, eventually leading to a denial of service. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - При использовании библиотеки tiff выполнять обработку файлов, полученных только из доверенных источников; - Обеспечить запуск приложений, использующих библиотеку tiff, в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - По возможности запускать прикладное ПО в отдельной сессии. Astra Linux 1.8 chromium Inappropriate implementation in DevTools in Google Chrome prior to 126.0.6478.182 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Integer overflow in Layout in Google Chrome prior to 129.0.6668.89 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-472'), NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 ffmpeg A vulnerability was found in FFmpeg up to 7.0.1. It has been classified as critical. This affects the function pnm_decode_frame in the library /libavcodec/pnmdec.c. The manipulation leads to heap-based buffer overflow. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. Upgrading to version 7.0.2 is able to address this issue. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-273651. [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L', score=6.3) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 chromium Out of bounds read in WebTransport in Google Chrome prior to 127.0.6533.88 allowed a remote attacker to potentially perform out of bounds memory access via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 curl libcurl's ASN1 parser code has the `GTime2str()` function, used for parsing an ASN.1 Generalized Time field. If given an syntactically incorrect field, the parser might end up using -1 for the length of the *time fraction*, leading to a `strlen()` getting performed on a pointer to a heap buffer area that is not (purposely) null terminated. This flaw most likely leads to a crash, but can also lead to heap contents getting returned to the application when [CURLINFO_CERTINFO](https://curl.se/libcurl/c/CURLINFO_CERTINFO.html) is used. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.8 ffmpeg A vulnerability, which was classified as critical, was found in FFmpeg up to 5.1.5. This affects the function fill_audiodata of the file /libswresample/swresample.c. The manipulation leads to heap-based buffer overflow. It is possible to initiate the attack remotely. This issue was fixed in version 6.0 by 9903ba28c28ab18dc7b7b6fb8571cc8b5caae1a6 but a backport for 5.1 was forgotten. The exploit has been disclosed to the public and may be used. Upgrading to version 5.1.6 and 6.0 9903ba28c28ab18dc7b7b6fb8571cc8b5caae1a6 is able to address this issue. It is recommended to upgrade the affected component. [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L', score=6.3) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 postgresql-15 Time-of-check Time-of-use (TOCTOU) race condition in pg_dump in PostgreSQL allows an object creator to execute arbitrary SQL functions as the user running pg_dump, which is often a superuser. The attack involves replacing another relation type with a view or foreign table. The attack requires waiting for pg_dump to start, but winning the race condition is trivial if the attacker retains an open transaction. Versions before PostgreSQL 16.4, 15.8, 14.13, 13.16, and 12.20 are affected. [NistCWE(cwe='CWE-367'), NistCWE(cwe='CWE-367')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) - При использовании ПО postgresql выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО postgresql в изолированной программной среде с применением инструмента Firejail - Использовать выделенную группу postgres для взаимодействия с postgresql - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.8 firefox Select options could obscure the fullscreen notification dialog. This could be used by a malicious site to perform a spoofing attack. This vulnerability affects Firefox < 129, Firefox ESR < 128.1, and Thunderbird < 128.1. [NistCWE(cwe='CWE-1021')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird Insufficient checks when processing graphics shared memory could have led to memory corruption. This could be leveraged by an attacker to perform a sandbox escape. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, Firefox ESR < 128.1, Thunderbird < 128.1, and Thunderbird < 115.14. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) Astra Linux 1.8 firefox A type confusion bug in WebAssembly could be leveraged by an attacker to potentially achieve code execution. This vulnerability affects Firefox < 129, Firefox ESR < 128.1, and Thunderbird < 128.1. [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-94')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird Incomplete WebAssembly exception handing could have led to a use-after-free. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, Firefox ESR < 128.1, Thunderbird < 128.1, and Thunderbird < 115.14. [NistCWE(cwe='CWE-755'), NistCWE(cwe='CWE-755')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 firefox, thunderbird Editor code failed to check an attribute value. This could have led to an out-of-bounds read. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, Firefox ESR < 128.1, Thunderbird < 128.1, and Thunderbird < 115.14. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 firefox Firefox adds web-compatibility shims in place of some tracking scripts blocked by Enhanced Tracking Protection. On a site protected by Content Security Policy in "strict-dynamic" mode, an attacker able to inject an HTML element could have used a DOM Clobbering attack on some of the shims and achieved XSS, bypassing the CSP strict-dynamic protection. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, and Firefox ESR < 128.1. [NistCWE(cwe='CWE-79'), NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird It was possible for a web extension with minimal permissions to create a `StreamFilter` which could be used to read and modify the response body of requests on any site. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, Firefox ESR < 128.1, Thunderbird < 128.1, and Thunderbird < 115.14. [NistCWE(cwe='CWE-276'), NistCWE(cwe='CWE-284')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N', score=8.1) Astra Linux 1.8 firefox, thunderbird ANGLE failed to initialize parameters which lead to reading from uninitialized memory. This could be leveraged to leak sensitive data from memory. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, Firefox ESR < 128.1, Thunderbird < 128.1, and Thunderbird < 115.14. [NistCWE(cwe='CWE-908'), NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) Astra Linux 1.8 firefox, thunderbird Unexpected marking work at the start of sweeping could have led to a use-after-free. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, Firefox ESR < 128.1, Thunderbird < 128.1, and Thunderbird < 115.14. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 firefox Incorrect garbage collection interaction in IndexedDB could have led to a use-after-free. This vulnerability affects Firefox < 129, Firefox ESR < 128.1, and Thunderbird < 128.1. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird The date picker could partially obscure security prompts. This could be used by a malicious site to trick a user into granting permissions. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, Firefox ESR < 128.1, Thunderbird < 128.1, and Thunderbird < 115.14. [NistCWE(cwe='CWE-451')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) Astra Linux 1.8 firefox Incorrect garbage collection interaction could have led to a use-after-free. This vulnerability affects Firefox < 129. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, nss Calling `PK11_Encrypt()` in NSS using CKM_CHACHA20 and the same buffer for input and output can result in plaintext on an Intel Sandy Bridge processor. In Firefox this only affects the QUIC header protection feature when the connection is using the ChaCha20-Poly1305 cipher suite. The most likely outcome is connection failure, but if the connection persists despite the high packet loss it could be possible for a network observer to identify packets as coming from the same source despite a network path change. This vulnerability affects Firefox < 129, Firefox ESR < 115.14, and Firefox ESR < 128.1. [NistCWE(cwe='CWE-367')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) Astra Linux 1.8 chromium Out of bounds memory access in ANGLE in Google Chrome prior to 127.0.6533.99 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Critical) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Heap buffer overflow in Layout in Google Chrome prior to 127.0.6533.99 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in V8 in Google Chrome prior to 127.0.6533.99 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in WebAudio in Google Chrome prior to 127.0.6533.99 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 127.0.6533.99 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 python3.11 There is a LOW severity vulnerability affecting CPython, specifically the 'http.cookies' standard library module. When parsing cookies that contained backslashes for quoted characters in the cookie value, the parser would use an algorithm with quadratic complexity, resulting in excess CPU resources being used while parsing the value. [NistCWE(cwe='CWE-400'), NistCWE(cwe='CWE-1333')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Удалить ПО python3.11, если оно не используется и не является зависимостью других пакетов - При использовании ПО python выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Python-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 libreoffice Improper Digital Signature Invalidation  vulnerability in Zip Repair Mode of The Document Foundation LibreOffice allows Signature forgery vulnerability in LibreOfficeThis issue affects LibreOffice: from 24.2 before < 24.2.5. [NistCWE(cwe='CWE-347'), NistCWE(cwe='CWE-347')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - При использовании ПО libreoffice выполнять обработку файлов, полученных только из доверенных источников - Включить блокировку исполнения макросов в документах LibreOffice. Для этого необходимо выполнить следующие действия: - Запустить ОС с правами администратора. - В терминале выполнить следующую команду: ` astra-macros-lock enable ` - Для проверки активации блокировки исполнения макросов в документах Libreoffice в терминале нужно выполнить следующую команду: ` astra-macros-lock status ` - В результате выполнения команды в терминале должно быть выведено "АКТИВНО". - Запускать ПО libreoffice в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Запретить установку бита исполнения для всех пользователей, включая администраторов. Astra Linux 1.8 chromium Inappropriate implementation in V8 in Google Chrome prior to 128.0.6613.84 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-358')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Out of bounds memory access in Skia in Google Chrome prior to 128.0.6613.84 allowed a remote attacker who had compromised the renderer process to perform out of bounds memory access via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-119'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Heap buffer overflow in Fonts in Google Chrome prior to 128.0.6613.84 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Autofill in Google Chrome prior to 128.0.6613.84 allowed a remote attacker who had convinced the user to engage in specific UI interactions to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 128.0.6613.113 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Out of bounds write in V8 in Google Chrome prior to 128.0.6613.119 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type confusion in V8 in Google Chrome prior to 128.0.6613.84 allowed a remote attacker to exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in V8 in Google Chrome prior to 128.0.6613.84 allowed a remote attacker to potentially perform out of bounds memory access via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Heap buffer overflow in PDFium in Google Chrome prior to 128.0.6613.84 allowed a remote attacker to perform an out of bounds memory read via a crafted PDF file. (Chromium security severity: Medium) [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Insufficient data validation in V8 API in Google Chrome prior to 128.0.6613.84 allowed a remote attacker to potentially exploit heap corruption via a crafted Chrome Extension. (Chromium security severity: Medium) [NistCWE(cwe='CWE-20')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Permissions in Google Chrome prior to 128.0.6613.84 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in FedCM in Google Chrome prior to 128.0.6613.84 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Insufficient policy enforcement in Data Transfer in Google Chrome prior to 128.0.6613.84 allowed a remote attacker who convinced a user to engage in specific UI gestures to leak cross-origin data via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-346')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Views in Google Chrome prior to 128.0.6613.84 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Low) [NistCWE(cwe='CWE-290')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in WebApp Installs in Google Chrome on Windows prior to 128.0.6613.84 allowed an attacker who convinced a user to install a malicious application to perform UI spoofing via a crafted HTML page. (Chromium security severity: Low) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Custom Tabs in Google Chrome on Android prior to 128.0.6613.84 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Low) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Extensions in Google Chrome on Windows prior to 128.0.6613.84 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Low) [NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 python3.11 There is a HIGH severity vulnerability affecting the CPython "zipfile" module affecting "zipfile.Path". Note that the more common API "zipfile.ZipFile" class is unaffected. When iterating over names of entries in a zip archive (for example, methods of "zipfile.Path" like "namelist()", "iterdir()", etc) the process can be put into an infinite loop with a maliciously crafted zip archive. This defect applies when reading only metadata or extracting the contents of the zip archive. Programs that are not handling user-controlled zip archives are not affected. [NistCWE(cwe='CWE-835')] None None - Удалить ПО python3.11, если оно не используется и не является зависимостью других пакетов - При использовании ПО python выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Python-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 curl When curl is told to use the Certificate Status Request TLS extension, often referred to as OCSP stapling, to verify that the server certificate is valid, it might fail to detect some OCSP problems and instead wrongly consider the response as fine. If the returned status reports another error than 'revoked' (like for example 'unauthorized') it is not treated as a bad certficate. [NistCWE(cwe='CWE-295')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N', score=6.5) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.8 chromium Heap buffer overflow in Skia in Google Chrome prior to 128.0.6613.113 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 128.0.6613.113 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Heap buffer overflow in Skia in Google Chrome prior to 128.0.6613.113 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 libvirt A flaw was found in libvirt. A refactor of the code fetching the list of interfaces for multiple APIs introduced a corner case on platforms where allocating 0 bytes of memory results in a NULL pointer. This corner case would lead to a NULL-pointer dereference and subsequent crash of virtinterfaced. This issue could allow clients connecting to the read-only socket to crash the virtinterfaced daemon. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) - Используйте SSH для безопасного удаленного доступа к виртуальным машинам - Проверяйте образы виртуальных машин перед их загрузкой и выполнением - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Активировать регламентный контроль целостности ОС - Активировать режим замкнутой программной среды Astra Linux 1.8 chromium Use after free in WebAudio in Google Chrome prior to 128.0.6613.119 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird A potentially exploitable type confusion could be triggered when looking up a property name on an object being used as the `with` environment. This vulnerability affects Firefox < 130, Firefox ESR < 128.2, Firefox ESR < 115.15, Thunderbird < 128.2, and Thunderbird < 115.15. [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.8 firefox, thunderbird Internal browser event interfaces were exposed to web content when privileged EventHandler listener callbacks ran for those events. Web content that tried to use those interfaces would not be able to use them with elevated privileges, but their presence would indicate certain browser features had been used, such as when a user opened the Dev Tools console. This vulnerability affects Firefox < 130, Firefox ESR < 128.2, Firefox ESR < 115.15, Thunderbird < 128.2, and Thunderbird < 115.15. [NistCWE(cwe='CWE-273')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 firefox Firefox normally asks for confirmation before asking the operating system to find an application to handle a scheme that the browser does not support. It did not ask before doing so for the Usenet-related schemes news: and snews:. Since most operating systems don't have a trusted newsreader installed by default, an unscrupulous program that the user downloaded could register itself as a handler. The website that served the application download could then launch that application at will. This vulnerability affects Firefox < 130, Firefox ESR < 128.2, and Firefox ESR < 115.15. [NistCWE(cwe='CWE-1188')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=7.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird The JavaScript garbage collector could mis-color cross-compartment objects if OOM conditions were detected at the right point between two passes. This could have led to memory corruption. This vulnerability affects Firefox < 130, Firefox ESR < 128.2, Firefox ESR < 115.15, Thunderbird < 128.2, and Thunderbird < 115.15. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.8 firefox A difference in the handling of StructFields and ArrayTypes in WASM could be used to trigger an exploitable type confusion vulnerability. This vulnerability affects Firefox < 130, Firefox ESR < 128.2, and Thunderbird < 128.2. [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox If a site had been granted the permission to open popup windows, it could cause Select elements to appear on top of another site to perform a spoofing attack. This vulnerability affects Firefox < 130, Firefox ESR < 128.2, and Thunderbird < 128.2. [NistCWE(cwe='CWE-601'), NistCWE(cwe='CWE-290')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox Memory safety bugs present in Firefox 129, Firefox ESR 128.1, and Thunderbird 128.1. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 130, Firefox ESR < 128.2, and Thunderbird < 128.2. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox Memory safety bugs present in Firefox 129. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 130. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Heap buffer overflow in Skia in Google Chrome prior to 128.0.6613.137 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 128.0.6613.137 allowed a remote attacker to potentially exploit object corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox An attacker could write data to the user's clipboard, bypassing the user prompt, during a certain sequence of navigational events. This vulnerability affects Firefox < 129, Firefox ESR < 128.3, and Thunderbird < 128.3. [NistCWE(cwe='CWE-732')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=7.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 129.0.6668.58 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in V8 in Google Chrome prior to 129.0.6668.58 allowed a remote attacker to potentially exploit stack corruption via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Incorrect security UI in Downloads in Google Chrome prior to 129.0.6668.58 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Autofill in Google Chrome prior to 129.0.6668.58 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Low) [NistCWE(cwe='CWE-290')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 php8.2 In PHP versions 8.1.* before 8.1.30, 8.2.* before 8.2.24, 8.3.* before 8.3.12, erroneous parsing of multipart form data contained in an HTTP POST request could lead to legitimate data not being processed. This could lead to malicious attacker able to control part of the submitted data being able to exclude portion of other data, potentially leading to erroneous application behavior. [NistCWE(cwe='CWE-444'), NistCWE(cwe='CWE-444')] None NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N', score=3.1) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.8 php8.2 In PHP versions 8.1.* before 8.1.30, 8.2.* before 8.2.24, 8.3.* before 8.3.12, HTTP_REDIRECT_STATUS variable is used to check whether or not CGI binary is being run by the HTTP server. However, in certain scenarios, the content of this variable can be controlled by the request submitter via HTTP headers, which can lead to cgi.force_redirect option not being correctly applied. In certain configurations this may lead to arbitrary file inclusion in PHP. [NistCWE(cwe='CWE-1220')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.8 php8.2 In PHP versions 8.1.* before 8.1.30, 8.2.* before 8.2.24, 8.3.* before 8.3.12, when using PHP-FPM SAPI and it is configured to catch workers output through catch_workers_output = yes, it may be possible to pollute the final log or remove up to 4 characters from the log messages by manipulating log message content. Additionally, if PHP-FPM is configured to use syslog output, it may be possible to further remove log data using the same vulnerability. [NistCWE(cwe='CWE-117')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N', score=3.3) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.8 chromium Inappropriate implementation in V8 in Google Chrome prior to 129.0.6668.70 allowed a remote attacker to potentially perform out of bounds memory access via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 129.0.6668.70 allowed a remote attacker to perform out of bounds memory access via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Integer overflow in Skia in Google Chrome prior to 129.0.6668.70 allowed a remote attacker to perform an out of bounds memory write via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-472'), NistCWE(cwe='CWE-190'), NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Insufficient data validation in Mojo in Google Chrome prior to 129.0.6668.89 allowed a remote attacker who had compromised the renderer process to perform an out of bounds memory write via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-1284'), NistCWE(cwe='CWE-1284')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium No description Astra Linux 1.8 firefox, thunderbird A compromised content process could have allowed for the arbitrary loading of cross-origin pages. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Firefox ESR < 115.16, Thunderbird < 128.3, and Thunderbird < 131. [NistCWE(cwe='CWE-346')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.8 firefox, thunderbird An attacker could, via a specially crafted multipart response, execute arbitrary JavaScript under the `resource://pdf.js` origin. This could allow them to access cross-origin PDF content. This access is limited to "same site" documents by the Site Isolation feature on desktop clients, but full cross-origin access is possible on Android versions. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Firefox ESR < 115.16, Thunderbird < 128.3, and Thunderbird < 131. [NistCWE(cwe='CWE-346')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) Astra Linux 1.8 firefox, thunderbird An attacker could, via a specially crafted multipart response, execute arbitrary JavaScript under the `resource://devtools` origin. This could allow them to access cross-origin JSON content. This access is limited to "same site" documents by the Site Isolation feature on desktop clients, but full cross-origin access is possible on Android versions. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Firefox ESR < 115.16, Thunderbird < 128.3, and Thunderbird < 131. [NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) Astra Linux 1.8 firefox, thunderbird It is currently unknown if this issue is exploitable but a condition may arise where the structured clone of certain objects could lead to memory corruption. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Thunderbird < 128.3, and Thunderbird < 131. [NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 firefox, thunderbird A missing delay in directory upload UI could have made it possible for an attacker to trick a user into granting permission via clickjacking. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Thunderbird < 128.3, and Thunderbird < 131. [NistCWE(cwe='CWE-1021'), NistCWE(cwe='CWE-1021')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) Astra Linux 1.8 firefox, thunderbird By checking the result of calls to `window.open` with specifically set protocol handlers, an attacker could determine if the application which implements that protocol handler is installed. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Thunderbird < 128.3, and Thunderbird < 131. [NistCWE(cwe='CWE-203')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) Astra Linux 1.8 firefox, thunderbird A website configured to initiate a specially crafted WebTransport session could crash the Firefox process leading to a denial of service condition. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Thunderbird < 128.3, and Thunderbird < 131. [NistCWE(cwe='CWE-404')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.8 firefox, thunderbird A potential memory corruption vulnerability could be triggered if an attacker had the ability to trigger an OOM at a specific moment during JIT compilation. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Thunderbird < 128.3, and Thunderbird < 131. [NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 firefox, thunderbird Memory safety bugs present in Firefox 130, Firefox ESR 115.15, Firefox ESR 128.2, and Thunderbird 128.2. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Firefox ESR < 115.16, Thunderbird < 128.3, and Thunderbird < 131. [NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.8 firefox, thunderbird Memory safety bugs present in Firefox 130, Firefox ESR 128.2, and Thunderbird 128.2. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Thunderbird < 128.3, and Thunderbird < 131. [NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.8 firefox Memory safety bugs present in Firefox 130. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 131 and Thunderbird < 131. [NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L', score=7.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 129.0.6668.100 allowed a remote attacker to perform an out of bounds memory write via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 129.0.6668.100 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird An attacker was able to achieve code execution in the content process by exploiting a use-after-free in Animation timelines. We have had reports of this vulnerability being exploited in the wild. This vulnerability affects Firefox < 131.0.2, Firefox ESR < 128.3.1, Firefox ESR < 115.16.1, Thunderbird < 131.0.1, Thunderbird < 128.3.1, and Thunderbird < 115.16.0. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.8 firefox When manipulating the selection node cache, an attacker may have been able to cause unexpected behavior, potentially leading to an exploitable crash. This vulnerability affects Firefox < 131.0.3. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in AI in Google Chrome prior to 130.0.6723.58 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in WebAuthentication in Google Chrome prior to 130.0.6723.58 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in PictureInPicture in Google Chrome prior to 130.0.6723.58 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in DevTools in Google Chrome prior to 130.0.6723.58 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted Chrome Extension. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Dawn in Google Chrome prior to 130.0.6723.58 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Permissions in Google Chrome prior to 130.0.6723.58 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Insufficient data validation in Downloads in Google Chrome prior to 130.0.6723.58 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Payments in Google Chrome prior to 130.0.6723.58 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted Chrome Extension. (Chromium security severity: Low) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Navigations in Google Chrome prior to 130.0.6723.58 allowed a remote attacker to bypass content security policy via a crafted HTML page. (Chromium security severity: Low) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N', score=5.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 libreoffice LibreOffice supports Office URI Schemes to enable browser integration of LibreOffice with MS SharePoint server. An additional scheme 'vnd.libreoffice.command' specific to LibreOffice was added. In the affected versions of LibreOffice a link in a browser using that scheme could be constructed with an embedded inner URL that when passed to LibreOffice could call internal macros with arbitrary arguments. This issue affects LibreOffice: from 24.8 before < 24.8.5, from 25.2 before < 25.2.1. [NistCWE(cwe='CWE-20')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - При использовании ПО libreoffice выполнять обработку файлов, полученных только из доверенных источников - Включить блокировку исполнения макросов в документах LibreOffice. Для этого необходимо выполнить следующие действия: - Запустить ОС с правами администратора. - В терминале выполнить следующую команду: ` astra-macros-lock enable ` - Для проверки активации блокировки исполнения макросов в документах Libreoffice в терминале нужно выполнить следующую команду: ` astra-macros-lock status ` - В результате выполнения команды в терминале должно быть выведено "АКТИВНО". - Запускать ПО libreoffice в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Запретить установку бита исполнения для всех пользователей, включая администраторов. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: reenable NETIF_F_IPV6_CSUM offload for BIG TCP packets The blamed commit disabled hardware offoad of IPv6 packets with extension headers on devices that advertise NETIF_F_IPV6_CSUM, based on the definition of that feature in skbuff.h: * * - %NETIF_F_IPV6_CSUM * - Driver (device) is only able to checksum plain * TCP or UDP packets over IPv6. These are specifically * unencapsulated packets of the form IPv6|TCP or * IPv6|UDP where the Next Header field in the IPv6 * header is either TCP or UDP. IPv6 extension headers * are not supported with this feature. This feature * cannot be set in features for a device with * NETIF_F_HW_CSUM also set. This feature is being * DEPRECATED (see below). The change causes skb_warn_bad_offload to fire for BIG TCP packets. [ 496.310233] WARNING: CPU: 13 PID: 23472 at net/core/dev.c:3129 skb_warn_bad_offload+0xc4/0xe0 [ 496.310297] ? skb_warn_bad_offload+0xc4/0xe0 [ 496.310300] skb_checksum_help+0x129/0x1f0 [ 496.310303] skb_csum_hwoffload_help+0x150/0x1b0 [ 496.310306] validate_xmit_skb+0x159/0x270 [ 496.310309] validate_xmit_skb_list+0x41/0x70 [ 496.310312] sch_direct_xmit+0x5c/0x250 [ 496.310317] __qdisc_run+0x388/0x620 BIG TCP introduced an IPV6_TLV_JUMBO IPv6 extension header to communicate packet length, as this is an IPv6 jumbogram. But, the feature is only enabled on devices that support BIG TCP TSO. The header is only present for PF_PACKET taps like tcpdump, and not transmitted by physical devices. For this specific case of extension headers that are not transmitted, return to the situation before the blamed commit and support hardware offload. ipv6_has_hopopt_jumbo() tests not only whether this header is present, but also that it is the only extension header before a terminal (L4) header. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 astra-safepolicy Уязвимость программного обеспечения для настройки безопасности astra-safepolicy связана с недостатками контроля доступа. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании CWE-284 AV:L/AC:L/Au:N/C:C/I:C/A:C AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ima: Fix use-after-free on a dentry's dname.name ->d_name.name can change on rename and the earlier value can be freed; there are conditions sufficient to stabilize it (->d_lock on dentry, ->d_lock on its parent, ->i_rwsem exclusive on the parent's inode, rename_lock), but none of those are met at any of the sites. Take a stable snapshot of the name instead. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: dmaengine: idxd: Fix possible Use-After-Free in irq_process_work_list Use list_for_each_entry_safe() to allow iterating through the list and deleting the entry in the iteration process. The descriptor is freed via idxd_desc_complete() and there's a slight chance may cause issue for the list iterator when the descriptor is reused by another thread without it being deleted from the list. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/i915/gt: Fix potential UAF by revoke of fence registers CI has been sporadically reporting the following issue triggered by igt@i915_selftest@live@hangcheck on ADL-P and similar machines: <6> [414.049203] i915: Running intel_hangcheck_live_selftests/igt_reset_evict_fence ... <6> [414.068804] i915 0000:00:02.0: [drm] GT0: GUC: submission enabled <6> [414.068812] i915 0000:00:02.0: [drm] GT0: GUC: SLPC enabled <3> [414.070354] Unable to pin Y-tiled fence; err:-4 <3> [414.071282] i915_vma_revoke_fence:301 GEM_BUG_ON(!i915_active_is_idle(&fence->active)) ... <4>[ 609.603992] ------------[ cut here ]------------ <2>[ 609.603995] kernel BUG at drivers/gpu/drm/i915/gt/intel_ggtt_fencing.c:301! <4>[ 609.604003] invalid opcode: 0000 [#1] PREEMPT SMP NOPTI <4>[ 609.604006] CPU: 0 PID: 268 Comm: kworker/u64:3 Tainted: G U W 6.9.0-CI_DRM_14785-g1ba62f8cea9c+ #1 <4>[ 609.604008] Hardware name: Intel Corporation Alder Lake Client Platform/AlderLake-P DDR4 RVP, BIOS RPLPFWI1.R00.4035.A00.2301200723 01/20/2023 <4>[ 609.604010] Workqueue: i915 __i915_gem_free_work [i915] <4>[ 609.604149] RIP: 0010:i915_vma_revoke_fence+0x187/0x1f0 [i915] ... <4>[ 609.604271] Call Trace: <4>[ 609.604273] <TASK> ... <4>[ 609.604716] __i915_vma_evict+0x2e9/0x550 [i915] <4>[ 609.604852] __i915_vma_unbind+0x7c/0x160 [i915] <4>[ 609.604977] force_unbind+0x24/0xa0 [i915] <4>[ 609.605098] i915_vma_destroy+0x2f/0xa0 [i915] <4>[ 609.605210] __i915_gem_object_pages_fini+0x51/0x2f0 [i915] <4>[ 609.605330] __i915_gem_free_objects.isra.0+0x6a/0xc0 [i915] <4>[ 609.605440] process_scheduled_works+0x351/0x690 ... In the past, there were similar failures reported by CI from other IGT tests, observed on other platforms. Before commit 63baf4f3d587 ("drm/i915/gt: Only wait for GPU activity before unbinding a GGTT fence"), i915_vma_revoke_fence() was waiting for idleness of vma->active via fence_update(). That commit introduced vma->fence->active in order for the fence_update() to be able to wait selectively on that one instead of vma->active since only idleness of fence registers was needed. But then, another commit 0d86ee35097a ("drm/i915/gt: Make fence revocation unequivocal") replaced the call to fence_update() in i915_vma_revoke_fence() with only fence_write(), and also added that GEM_BUG_ON(!i915_active_is_idle(&fence->active)) in front. No justification was provided on why we might then expect idleness of vma->fence->active without first waiting on it. The issue can be potentially caused by a race among revocation of fence registers on one side and sequential execution of signal callbacks invoked on completion of a request that was using them on the other, still processed in parallel to revocation of those fence registers. Fix it by waiting for idleness of vma->fence->active in i915_vma_revoke_fence(). (cherry picked from commit 24bb052d3dd499c5956abad5f7d8e4fd07da7fb1) [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/iucv: Avoid explicit cpumask var allocation on stack For CONFIG_CPUMASK_OFFSTACK=y kernel, explicit allocation of cpumask variable on stack is not recommended since it can cause potential stack overflow. Instead, kernel code should always use *cpumask_var API(s) to allocate cpumask var in config-neutral way, leaving allocation strategy to CONFIG_CPUMASK_OFFSTACK. Use *cpumask_var API(s) to address it. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: f2fs: check validation of fault attrs in f2fs_build_fault_attr() - It missed to check validation of fault attrs in parse_options(), let's fix to add check condition in f2fs_build_fault_attr(). - Use f2fs_build_fault_attr() in __sbi_store() to clean up code. [NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Avoid uninitialized value in BPF_CORE_READ_BITFIELD [Changes from V1: - Use a default branch in the switch statement to initialize `val'.] GCC warns that `val' may be used uninitialized in the BPF_CRE_READ_BITFIELD macro, defined in bpf_core_read.h as: [...] unsigned long long val; \ [...] \ switch (__CORE_RELO(s, field, BYTE_SIZE)) { \ case 1: val = *(const unsigned char *)p; break; \ case 2: val = *(const unsigned short *)p; break; \ case 4: val = *(const unsigned int *)p; break; \ case 8: val = *(const unsigned long long *)p; break; \ } \ [...] val; \ } \ This patch adds a default entry in the switch statement that sets `val' to zero in order to avoid the warning, and random values to be used in case __builtin_preserve_field_info returns unexpected values for BPF_FIELD_BYTE_SIZE. Tested in bpf-next master. No regressions. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:H', score=6.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: mt76: replace skb_put with skb_put_zero Avoid potentially reusing uninitialized data [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=7.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: jfs: Fix array-index-out-of-bounds in diFree [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: af_packet: fix vlan_get_protocol_dgram() vs MSG_PEEK Blamed commit forgot MSG_PEEK case, allowing a crash [1] as found by syzbot. Rework vlan_get_protocol_dgram() to not touch skb at all, so that it can be used from many cpus on the same skb. Add a const qualifier to skb argument. [1] skbuff: skb_under_panic: text:ffffffff8a8ccd05 len:29 put:14 head:ffff88807fc8e400 data:ffff88807fc8e3f4 tail:0x11 end:0x140 dev:<NULL> ------------[ cut here ]------------ kernel BUG at net/core/skbuff.c:206 ! Oops: invalid opcode: 0000 [#1] PREEMPT SMP KASAN PTI CPU: 1 UID: 0 PID: 5892 Comm: syz-executor883 Not tainted 6.13.0-rc4-syzkaller-00054-gd6ef8b40d075 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 09/13/2024 RIP: 0010:skb_panic net/core/skbuff.c:206 [inline] RIP: 0010:skb_under_panic+0x14b/0x150 net/core/skbuff.c:216 Code: 0b 8d 48 c7 c6 86 d5 25 8e 48 8b 54 24 08 8b 0c 24 44 8b 44 24 04 4d 89 e9 50 41 54 41 57 41 56 e8 5a 69 79 f7 48 83 c4 20 90 <0f> 0b 0f 1f 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 f3 RSP: 0018:ffffc900038d7638 EFLAGS: 00010282 RAX: 0000000000000087 RBX: dffffc0000000000 RCX: 609ffd18ea660600 RDX: 0000000000000000 RSI: 0000000080000000 RDI: 0000000000000000 RBP: ffff88802483c8d0 R08: ffffffff817f0a8c R09: 1ffff9200071ae60 R10: dffffc0000000000 R11: fffff5200071ae61 R12: 0000000000000140 R13: ffff88807fc8e400 R14: ffff88807fc8e3f4 R15: 0000000000000011 FS: 00007fbac5e006c0(0000) GS:ffff8880b8700000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fbac5e00d58 CR3: 000000001238e000 CR4: 00000000003526f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> skb_push+0xe5/0x100 net/core/skbuff.c:2636 vlan_get_protocol_dgram+0x165/0x290 net/packet/af_packet.c:585 packet_recvmsg+0x948/0x1ef0 net/packet/af_packet.c:3552 sock_recvmsg_nosec net/socket.c:1033 [inline] sock_recvmsg+0x22f/0x280 net/socket.c:1055 ____sys_recvmsg+0x1c6/0x480 net/socket.c:2803 ___sys_recvmsg net/socket.c:2845 [inline] do_recvmmsg+0x426/0xab0 net/socket.c:2940 __sys_recvmmsg net/socket.c:3014 [inline] __do_sys_recvmmsg net/socket.c:3037 [inline] __se_sys_recvmmsg net/socket.c:3030 [inline] __x64_sys_recvmmsg+0x199/0x250 net/socket.c:3030 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 p7zip Ppmd7.c in 7-Zip before 23.00 allows an integer underflow and invalid read operation via a crafted 7Z archive. [NistCWE(cwe='CWE-191'), NistCWE(cwe='CWE-191')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Запускайте p7zip с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Настройте права доступа к исполняемым файлам p7zip так, чтобы их могли изменять только администраторы системы. - Распаковывайте только архивы из надежных источников. Избегайте распаковки архивов, полученных из неизвестных или подозрительных источников. - Перед распаковкой архивов сканируйте их на наличие вредоносного ПО с помощью антивирусных программ. Astra Linux 1.8 p7zip 7-Zip SquashFS File Parsing Out-Of-Bounds Write Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of 7-Zip. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of SQFS files. The issue results from the lack of proper validation of user-supplied data, which can result in a write past the end of an allocated buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-18589. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Запускайте p7zip с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Настройте права доступа к исполняемым файлам p7zip так, чтобы их могли изменять только администраторы системы. - Распаковывайте только архивы из надежных источников. Избегайте распаковки архивов, полученных из неизвестных или подозрительных источников. - Перед распаковкой архивов сканируйте их на наличие вредоносного ПО с помощью антивирусных программ. Astra Linux 1.8 p7zip The NtfsHandler.cpp NTFS handler in 7-Zip before 24.01 (for 7zz) contains a heap-based buffer overflow that allows an attacker to overwrite two bytes at multiple offsets beyond the allocated buffer size: buffer+512*i-2, for i=9, i=10, i=11, etc. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.4) - Запускайте p7zip с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Настройте права доступа к исполняемым файлам p7zip так, чтобы их могли изменять только администраторы системы. - Распаковывайте только архивы из надежных источников. Избегайте распаковки архивов, полученных из неизвестных или подозрительных источников. - Перед распаковкой архивов сканируйте их на наличие вредоносного ПО с помощью антивирусных программ. Astra Linux 1.8 p7zip 7-Zip CopyCoder Infinite Loop Denial-of-Service Vulnerability. This vulnerability allows remote attackers to create a denial-of-service condition on affected installations of 7-Zip. Interaction with this library is required to exploit this vulnerability but attack vectors may vary depending on the implementation. The specific flaw exists within the processing of streams. The issue results from a logic error that can lead to an infinite loop. An attacker can leverage this vulnerability to create a denial-of-service condition on the system. Was ZDI-CAN-24307. [NistCWE(cwe='CWE-835')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) - Запускайте p7zip с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Настройте права доступа к исполняемым файлам p7zip так, чтобы их могли изменять только администраторы системы. - Распаковывайте только архивы из надежных источников. Избегайте распаковки архивов, полученных из неизвестных или подозрительных источников. - Перед распаковкой архивов сканируйте их на наличие вредоносного ПО с помощью антивирусных программ. Astra Linux 1.8 hdf5 A buffer overflow in H5O__layout_encode in H5Olayout.c in the HDF HDF5 through 1.10.4 library allows attackers to cause a denial of service via a crafted HDF5 file. This issue was triggered while repacking an HDF5 file, aka "Invalid write of size 2." [NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 hdf5 An issue was discovered in HDF5 through 1.12.0. A NULL pointer dereference exists in the function H5F_get_nrefs() located in H5Fquery.c. It allows an attacker to cause Denial of Service. [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 djvulibre An issue was discovered IW44EncodeCodec.cpp in djvulibre 3.5.28 in allows attackers to cause a denial of service via divide by zero. [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) - Удалить ПО djvulibre, если оно не используется - Отказаться от использования ПО djvulibre в пользу ПО okular - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска djvulibre только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Запускать ПО djvulibre в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 linux-6.1 An issue was discovered in the Linux kernel through 6.0.9. drivers/char/xillybus/xillyusb.c has a race condition and use-after-free during physical removal of a USB device. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=6.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 xorg-server In X.Org X server 20.11 through 21.1.16, when a client application uses easystroke for mouse gestures, the main thread modifies various data structures used by the input thread without acquiring a lock, aka a race condition. In particular, AttachDevice in dix/devices.c does not acquire an input lock. [NistCWE(cwe='CWE-413')] None NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:H', score=7.7) - Используйте отдельного пользователя для X-сессии с минимально необходимыми привилегиями - Отключите неиспользуемые расширения X11 - Используйте Firejail для изоляции браузеров, офисных пакетов и другого ПО, работающего через X11 Astra Linux 1.8 imagemagick A heap-based buffer overflow vulnerability was found in the ImageMagick package that can lead to the application crashing. [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) - Использовать ПО imagemagick только на низком или отдельно выделенном уровне целостности - Включить блокировку одновременной работы с разными уровнями конфиденциальности в пределах одной сессии - Обеспечить запуск ПО imagemagick в изолированной программной среде с применением инструмента Firejail - При использовании ПО imagemagick выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 pgpool2 Information disclosure vulnerability exists in Pgpool-II 4.4.0 to 4.4.1 (4.4 series), 4.3.0 to 4.3.4 (4.3 series), 4.2.0 to 4.2.11 (4.2 series), 4.1.0 to 4.1.14 (4.1 series), 4.0.0 to 4.0.21 (4.0 series), All versions of 3.7 series, All versions of 3.6 series, All versions of 3.5 series, All versions of 3.4 series, and All versions of 3.3 series. A specific database user's authentication information may be obtained by another database user. As a result, the information stored in the database may be altered and/or database may be suspended by a remote attacker who successfully logged in the product with the obtained credentials. [NistCWE(cwe='CWE-312'), NistCWE(cwe='CWE-312')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=6.5) - Запускайте приложения, использующие pgpool2, с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Настройте права доступа к конфигурационным файлам и коду приложения так, чтобы их могли изменять только администраторы системы. - Убедитесь, что ваши веб-приложения, использующие pgpool2, корректно проверяют все входные данные, чтобы предотвратить атаки, такие как SQL-инъекции и XSS. - Настройте веб-сервер для использования HTTPS, чтобы защитить данные, передаваемые между клиентом и сервером. Astra Linux 1.8 screen socket.c in GNU Screen through 4.9.0, when installed setuid or setgid (the default on platforms such as Arch Linux and FreeBSD), allows local users to send a privileged SIGHUP signal to any PID, causing a denial of service or disruption of the target process. [NistCWE(cwe='CWE-732')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H', score=6.5) Astra Linux 1.8 llvm-toolchain-15 llvm-project commit fdbc55a5 was discovered to contain a segmentation fault via the component mlir::IROperand<mlir::OpOperand. [NistCWE(cwe='CWE-119'), NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.8 llvm-toolchain-15 llvm-project commit bd456297 was discovered to contain a segmentation fault via the component mlir::Block::getArgument. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.8 llvm-toolchain-15 llvm-project commit 6c01b5c was discovered to contain a segmentation fault via the component mlir::Type::getDialect(). [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.8 llvm-toolchain-15 llvm-project commit a0138390 was discovered to contain a segmentation fault via the component mlir::spirv::TargetEnv::TargetEnv(mlir::spirv::TargetEnvAttr). [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.8 imagemagick A vulnerability was found in ImageMagick. This security flaw ouccers as an undefined behaviors of casting double to size_t in svg, mvg and other coders (recurring bugs of CVE-2022-32546). [NistCWE(cwe='CWE-190'), NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) - Использовать ПО imagemagick только на низком или отдельно выделенном уровне целостности - Включить блокировку одновременной работы с разными уровнями конфиденциальности в пределах одной сессии - Обеспечить запуск ПО imagemagick в изолированной программной среде с применением инструмента Firejail - При использовании ПО imagemagick выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 avahi A vulnerability was found in Avahi, where a reachable assertion exists in avahi_dns_packet_append_record. [NistCWE(cwe='CWE-617'), NistCWE(cwe='CWE-617')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) - Проверить необходимость локального обнаружения переферийных устройств. Если не нужно, то отключить демон avahi: ` sudo systemctl disable avahi-daemon. service && sudo systemctl disable avahi-daemon.socket ` - Проверить состояние демона: ` sudo systemctl status avahi-daemon ` Astra Linux 1.8 avahi A vulnerability was found in Avahi. A reachable assertion exists in the avahi_escape_label() function. [NistCWE(cwe='CWE-617'), NistCWE(cwe='CWE-617')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) - Проверить необходимость локального обнаружения переферийных устройств. Если не нужно, то отключить демон avahi: ` sudo systemctl disable avahi-daemon. service && sudo systemctl disable avahi-daemon.socket ` - Проверить состояние демона: ` sudo systemctl status avahi-daemon ` Astra Linux 1.8 avahi A vulnerability was found in Avahi. A reachable assertion exists in the dbus_set_host_name function. [NistCWE(cwe='CWE-617'), NistCWE(cwe='CWE-617')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) - Проверить необходимость локального обнаружения переферийных устройств. Если не нужно, то отключить демон avahi: ` sudo systemctl disable avahi-daemon. service && sudo systemctl disable avahi-daemon.socket ` - Проверить состояние демона: ` sudo systemctl status avahi-daemon ` Astra Linux 1.8 avahi A vulnerability was found in Avahi. A reachable assertion exists in the avahi_rdata_parse() function. [NistCWE(cwe='CWE-617'), NistCWE(cwe='CWE-617')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) - Проверить необходимость локального обнаружения переферийных устройств. Если не нужно, то отключить демон avahi: ` sudo systemctl disable avahi-daemon. service && sudo systemctl disable avahi-daemon.socket ` - Проверить состояние демона: ` sudo systemctl status avahi-daemon ` Astra Linux 1.8 avahi A vulnerability was found in Avahi. A reachable assertion exists in the avahi_alternative_host_name() function. [NistCWE(cwe='CWE-617'), NistCWE(cwe='CWE-617')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) - Проверить необходимость локального обнаружения переферийных устройств. Если не нужно, то отключить демон avahi: ` sudo systemctl disable avahi-daemon. service && sudo systemctl disable avahi-daemon.socket ` - Проверить состояние демона: ` sudo systemctl status avahi-daemon ` Astra Linux 1.8 libxml2 Xmlsoft Libxml2 v2.11.0 was discovered to contain an out-of-bounds read via the xmlSAX2StartElement() function at /libxml2/SAX2.c. This vulnerability allows attackers to cause a Denial of Service (DoS) via supplying a crafted XML file. NOTE: the vendor's position is that the product does not support the legacy SAX1 interface with custom callbacks; there is a crash even without crafted input. [NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) - Удалить ПО libxml2, если оно не используется и не является зависимостью других пакетов - Отказаться от использования библиотеки libxml2 в пользу ПО expat или libxmltok - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 edk2 EDK2's Network Package is susceptible to a predictable TCP Initial Sequence Number. This vulnerability can be exploited by an attacker to gain unauthorized access and potentially lead to a loss of Confidentiality. [NistCWE(cwe='CWE-338'), NistCWE(cwe='CWE-338')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) Astra Linux 1.8 libstb stb_vorbis is a single file MIT licensed library for processing ogg vorbis files. A crafted file may trigger out of bounds write in `f->vendor[i] = get8_packet(f);`. The root cause is an integer overflow in `setup_malloc`. A sufficiently large value in the variable `sz` overflows with `sz+7` in and the negative value passes the maximum available memory buffer check. This issue may lead to code execution. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L', score=7.3) - Отказаться от использования библиотеки libstb - При использовании ПО, использующего библиотеку libstb, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку libstb, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 libstb stb_vorbis is a single file MIT licensed library for processing ogg vorbis files. A crafted file may trigger out of bounds write in `f->vendor[len] = (char)'\0';`. The root cause is that if `len` read in `start_decoder` is a negative number and `setup_malloc` successfully allocates memory in that case, but memory write is done with a negative index `len`. Similarly if len is INT_MAX the integer overflow len+1 happens in `f->vendor = (char*)setup_malloc(f, sizeof(char) * (len+1));` and `f->comment_list[i] = (char*)setup_malloc(f, sizeof(char) * (len+1));`. This issue may lead to code execution. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L', score=7.3) - Отказаться от использования библиотеки libstb - При использовании ПО, использующего библиотеку libstb, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку libstb, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 libstb stb_vorbis is a single file MIT licensed library for processing ogg vorbis files. A crafted file may trigger out of buffer write in `start_decoder` because at maximum `m->submaps` can be 16 but `submap_floor` and `submap_residue` are declared as arrays of 15 elements. This issue may lead to code execution. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L', score=6.5) - Отказаться от использования библиотеки libstb - При использовании ПО, использующего библиотеку libstb, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку libstb, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 libstb stb_vorbis is a single file MIT licensed library for processing ogg vorbis files. A crafted file may trigger memory allocation failure in `start_decoder`. In that case the function returns early, but some of the pointers in `f->comment_list` are left initialized and later `setup_free` is called on these pointers in `vorbis_deinit`. This issue may lead to code execution. [NistCWE(cwe='CWE-415'), NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L', score=7.3) - Отказаться от использования библиотеки libstb - При использовании ПО, использующего библиотеку libstb, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку libstb, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 libstb stb_vorbis is a single file MIT licensed library for processing ogg vorbis files. A crafted file may trigger memory allocation failure in `start_decoder`. In that case the function returns early, the `f->comment_list` is set to `NULL`, but `f->comment_list_length` is not reset. Later in `vorbis_deinit` it tries to dereference the `NULL` pointer. This issue may lead to denial of service. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - Отказаться от использования библиотеки libstb - При использовании ПО, использующего библиотеку libstb, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку libstb, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 libstb stb_vorbis is a single file MIT licensed library for processing ogg vorbis files. A crafted file may trigger out of bounds read in `DECODE` macro when `var` is negative. As it can be seen in the definition of `DECODE_RAW` a negative `var` is a valid value. This issue may be used to leak internal memory allocation information. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - Отказаться от использования библиотеки libstb - При использовании ПО, использующего библиотеку libstb, выполнять обработку данных, полученных только из доверенных источников - Использовать ПО, использующее библиотеку libstb, только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО, использующего библиотеку uriparser, только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - Запретить установку бита исполнения для всех пользователей, включая администраторов Astra Linux 1.8 linux-6.1 ntfs3 in the Linux kernel through 6.8.0 allows a physically proximate attacker to read kernel memory by mounting a filesystem (e.g., if a Linux distribution is configured to allow unprivileged mounts of removable media) and then leveraging local access to trigger an out-of-bounds read. A length value can be larger than the amount of memory allocated. NOTE: the supplier's perspective is that there is no vulnerability when an attack requires an attacker-modified filesystem image. [NistCWE(cwe='CWE-276')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 apr Lax permissions set by the Apache Portable Runtime library on Unix platforms would allow local users read access to named shared memory segments, potentially revealing sensitive application data. This issue does not affect non-Unix platforms, or builds with APR_USE_SHMEM_SHMGET=1 (apr.h) Users are recommended to upgrade to APR version 1.7.5, which fixes this issue. [NistCWE(cwe='CWE-732')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Обеспечить возможность запуска haproxy только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 libebml In libebml before 1.4.5, an integer overflow in MemIOCallback.cpp can occur when reading or writing. It may result in buffer overflows. [NistCWE(cwe='CWE-190'), NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd: check num of link levels when update pcie param In SR-IOV environment, the value of pcie_table->num_of_link_levels will be 0, and num_of_levels - 1 will cause array index out of bounds [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: clk: sunxi-ng: h6: Reparent CPUX during PLL CPUX rate change While PLL CPUX clock rate change when CPU is running from it works in vast majority of cases, now and then it causes instability. This leads to system crashes and other undefined behaviour. After a lot of testing (30+ hours) while also doing a lot of frequency switches, we can't observe any instability issues anymore when doing reparenting to stable clock like 24 MHz oscillator. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: media: aspeed: Fix memory overwrite if timing is 1600x900 When capturing 1600x900, system could crash when system memory usage is tight. The way to reproduce this issue: 1. Use 1600x900 to display on host 2. Mount ISO through 'Virtual media' on OpenBMC's web 3. Run script as below on host to do sha continuously #!/bin/bash while [ [1] ]; do find /media -type f -printf '"%h/%f"\n' | xargs sha256sum done 4. Open KVM on OpenBMC's web The size of macro block captured is 8x8. Therefore, we should make sure the height of src-buf is 8 aligned to fix this issue. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: IORING_OP_READ did not correctly consume the provided buffer list when read i/o returned < 0 (except for -EAGAIN and -EIOCBQUEUED return). This can lead to a potential use-after-free when the completion via io_rw_done runs at separate context. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: mt76: do not run mt76_unregister_device() on unregistered hw Trying to probe a mt7921e pci card without firmware results in a successful probe where ieee80211_register_hw hasn't been called. When removing the driver, ieee802111_unregister_hw is called unconditionally leading to a kernel NULL pointer dereference. Fix the issue running mt76_unregister_device routine just for registered hw. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: drop unnecessary user-triggerable WARN_ONCE in verifierl log It's trivial for user to trigger "verifier log line truncated" warning, as verifier has a fixed-sized buffer of 1024 bytes (as of now), and there are at least two pieces of user-provided information that can be output through this buffer, and both can be arbitrarily sized by user: - BTF names; - BTF.ext source code lines strings. Verifier log buffer should be properly sized for typical verifier state output. But it's sort-of expected that this buffer won't be long enough in some circumstances. So let's drop the check. In any case code will work correctly, at worst truncating a part of a single line output. [] None None - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Silence a warning in btf_type_id_size() syzbot reported a warning in [1] with the following stacktrace: WARNING: CPU: 0 PID: 5005 at kernel/bpf/btf.c:1988 btf_type_id_size+0x2d9/0x9d0 kernel/bpf/btf.c:1988 ... RIP: 0010:btf_type_id_size+0x2d9/0x9d0 kernel/bpf/btf.c:1988 ... Call Trace: <TASK> map_check_btf kernel/bpf/syscall.c:1024 [inline] map_create+0x1157/0x1860 kernel/bpf/syscall.c:1198 __sys_bpf+0x127f/0x5420 kernel/bpf/syscall.c:5040 __do_sys_bpf kernel/bpf/syscall.c:5162 [inline] __se_sys_bpf kernel/bpf/syscall.c:5160 [inline] __x64_sys_bpf+0x79/0xc0 kernel/bpf/syscall.c:5160 do_syscall_x64 arch/x86/entry/common.c:50 [inline] do_syscall_64+0x39/0xb0 arch/x86/entry/common.c:80 entry_SYSCALL_64_after_hwframe+0x63/0xcd With the following btf [1] DECL_TAG 'a' type_id=4 component_idx=-1 [2] PTR '(anon)' type_id=0 [3] TYPE_TAG 'a' type_id=2 [4] VAR 'a' type_id=3, linkage=static and when the bpf_attr.btf_key_type_id = 1 (DECL_TAG), the following WARN_ON_ONCE in btf_type_id_size() is triggered: if (WARN_ON_ONCE(!btf_type_is_modifier(size_type) && !btf_type_is_var(size_type))) return NULL; Note that 'return NULL' is the correct behavior as we don't want a DECL_TAG type to be used as a btf_{key,value}_type_id even for the case like 'DECL_TAG -> STRUCT'. So there is no correctness issue here, we just want to silence warning. To silence the warning, I added DECL_TAG as one of kinds in btf_type_nosize() which will cause btf_type_id_size() returning NULL earlier without the warning. [1] https://lore.kernel.org/bpf/000000000000e0df8d05fc75ba86@google.com/ [] None None - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 opensc A vulnerability was found in OpenSC where PKCS#1 encryption padding removal is not implemented as side-channel resistant. This issue may result in the potential leak of private data. [NistCWE(cwe='CWE-203'), NistCWE(cwe='CWE-203')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L', score=5.6) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 openssl Issue summary: Checking excessively long invalid RSA public keys may take a long time. Impact summary: Applications that use the function EVP_PKEY_public_check() to check RSA public keys may experience long delays. Where the key that is being checked has been obtained from an untrusted source this may lead to a Denial of Service. When function EVP_PKEY_public_check() is called on RSA public keys, a computation is done to confirm that the RSA modulus, n, is composite. For valid RSA keys, n is a product of two or more large primes and this computation completes quickly. However, if n is an overly large prime, then this computation would take a long time. An application that calls EVP_PKEY_public_check() and supplies an RSA key obtained from an untrusted source could be vulnerable to a Denial of Service attack. The function EVP_PKEY_public_check() is not called from other OpenSSL functions however it is called from the OpenSSL pkey command line application. For that reason that application is also vulnerable if used with the '-pubin' and '-check' options on untrusted data. The OpenSSL SSL/TLS implementation is not affected by this issue. The OpenSSL 3.0 and 3.1 FIPS providers are affected by this issue. [NistCWE(cwe='CWE-606')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H', score=5.9) - Использовать ПО pyopenssl только на низком или отдельно выделенном уровне целостности - При использовании ПО pyopenssl выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска py только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 bind9 A malicious client can send many DNS messages over TCP, potentially causing the server to become unstable while the attack is in progress. The server may recover after the attack ceases. Use of ACLs will not mitigate the attack. This issue affects BIND 9 versions 9.18.1 through 9.18.27, 9.19.0 through 9.19.24, and 9.18.11-S1 through 9.18.27-S1. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска bind9 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 mpg123 An out-of-bounds write flaw was found in mpg123 when handling crafted streams. When decoding PCM, the libmpg123 may write past the end of a heap-located buffer. Consequently, heap corruption may happen, and arbitrary code execution is not discarded. The complexity required to exploit this flaw is considered high as the payload must be validated by the MPEG decoder and the PCM synth before execution. Additionally, to successfully execute the attack, the user must scan through the stream, making web live stream content (such as web radios) a very unlikely attack vector. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H', score=6.7) Astra Linux 1.8 chromium Use after free in Serial in Google Chrome prior to 130.0.6723.116 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Extensions in Google Chrome prior to 131.0.6778.69 allowed a remote attacker to bypass site isolation via a crafted Chrome Extension. (Chromium security severity: High) [NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Autofill in Google Chrome prior to 131.0.6778.69 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Accessibility in Google Chrome prior to 131.0.6778.69 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in Blink in Google Chrome prior to 131.0.6778.69 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) [NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Inappropriate implementation in FileSystem in Google Chrome prior to 131.0.6778.69 allowed a remote attacker to bypass filesystem restrictions via a crafted HTML page. (Chromium security severity: Low) [NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 thunderbird Using remote content in OpenPGP encrypted messages can lead to the disclosure of plaintext. This vulnerability affects Thunderbird < 128.4.3 and Thunderbird < 132.0.1. [NistCWE(cwe='CWE-312')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.8 bind9 It is possible to construct a zone such that some queries to it will generate responses containing numerous records in the Additional section. An attacker sending many such queries can cause either the authoritative server itself or an independent resolver to use disproportionate resources processing the queries. Zones will usually need to have been deliberately crafted to attack this exposure. This issue affects BIND 9 versions 9.11.0 through 9.11.37, 9.16.0 through 9.16.50, 9.18.0 through 9.18.32, 9.20.0 through 9.20.4, 9.21.0 through 9.21.3, 9.11.3-S1 through 9.11.37-S1, 9.16.8-S1 through 9.16.50-S1, and 9.18.11-S1 through 9.18.32-S1. [NistCWE(cwe='CWE-405')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска bind9 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 php8.2 In PHP versions 8.1.* before 8.1.31, 8.2.* before 8.2.26, 8.3.* before 8.3.14, due to an error in convert.quoted-printable-decode filter certain data can lead to buffer overread by one byte, which can in certain circumstances lead to crashes or disclose content of other memory areas. [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:L', score=4.8) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.8 php8.2 In PHP versions 8.1.* before 8.1.31, 8.2.* before 8.2.26, 8.3.* before 8.3.14, when using streams with configured proxy and "request_fulluri" option, the URI is not properly sanitized which can lead to HTTP request smuggling and allow the attacker to use the proxy to perform arbitrary HTTP requests originating from the server, thus potentially gaining access to resources not normally available to the external user. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-74')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N', score=4.8) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.8 php8.2 In PHP versions 8.1.* before 8.1.31, 8.2.* before 8.2.26, 8.3.* before 8.3.14, uncontrolled long string inputs to ldap_escape() function on 32-bit systems can cause an integer overflow, resulting in an out-of-bounds write. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 131.0.6778.85 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird An attacker could cause a select dropdown to be shown over another tab; this could have led to user confusion and possible spoofing attacks. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5. [NistCWE(cwe='CWE-290')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) Astra Linux 1.8 firefox, thunderbird Enhanced Tracking Protection's Strict mode may have inadvertently allowed a CSP `frame-src` bypass and DOM-based XSS through the Google SafeFrame shim in the Web Compatibility extension. This issue could have exposed users to malicious frames masquerading as legitimate content. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Firefox ESR < 115.18, Thunderbird < 133, Thunderbird < 128.5, and Thunderbird < 115.18. [NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) Astra Linux 1.8 firefox, thunderbird A crafted URL containing Arabic script and whitespace characters could have hidden the true origin of the page, resulting in a potential spoofing attack. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5. [NistCWE(cwe='CWE-1021')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N', score=5.4) Astra Linux 1.8 firefox, thunderbird The application failed to account for exceptions thrown by the `loadManifestFromFile` method during add-on signature verification. This flaw, triggered by an invalid or unsupported extension manifest, could have caused runtime errors that disrupted the signature validation process. As a result, the enforcement of signature validation for unrelated add-ons may have been bypassed. Signature validation in this context is used to ensure that third-party applications on the user's computer have not tampered with the user's extensions, limiting the impact of this issue. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5. [NistCWE(cwe='CWE-347')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N', score=5.4) Astra Linux 1.8 firefox, thunderbird When handling keypress events, an attacker may have been able to trick a user into bypassing the "Open Executable File?" confirmation dialog. This could have led to malicious code execution. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5. [NistCWE(cwe='CWE-94')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 firefox, thunderbird Memory safety bugs present in Firefox 132, Firefox ESR 128.4, and Thunderbird 128.4. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5. [NistCWE(cwe='CWE-94')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.8 firefox Malicious websites may have been able to perform user intent confirmation through tapjacking. This could have led to users unknowingly approving the launch of external applications, potentially exposing them to underlying vulnerabilities. This vulnerability affects Firefox < 133 and Thunderbird < 133. [NistCWE(cwe='CWE-1021')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N', score=8.1) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox The incorrect domain may have been displayed in the address bar during an interrupted navigation attempt. This could have led to user confusion and possible spoofing attacks. This vulnerability affects Firefox < 133 and Thunderbird < 133. [NistCWE(cwe='CWE-290')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox, thunderbird A double-free issue could have occurred in `sec_pkcs7_decoder_start_decrypt()` when handling an error path. Under specific conditions, the same symmetric key could have been freed twice, potentially leading to memory corruption. This vulnerability affects Firefox < 133, Thunderbird < 133, Firefox ESR < 128.7, and Thunderbird < 128.7. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.8 firefox `NSC_DeriveKey` inadvertently assumed that the `phKey` parameter is always non-NULL. When it was passed as NULL, a segmentation fault (SEGV) occurred, leading to crashes. This behavior conflicted with the PKCS#11 v3.0 specification, which allows `phKey` to be NULL for certain mechanisms. This vulnerability affects Firefox < 133 and Thunderbird < 133. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox A null pointer dereference may have inadvertently occurred in `pk12util`, and specifically in the `SEC_ASN1DecodeItem_Util` function, when handling malformed or improperly formatted input files. This vulnerability affects Firefox < 133 and Thunderbird < 133. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 firefox Missing thread synchronization primitives could have led to a data race on members of the PlaybackParams structure. This vulnerability affects Firefox < 133 and Thunderbird < 133. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 131.0.6778.108 allowed a remote attacker to potentially exploit object corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 rsync A heap-based buffer overflow flaw was found in the rsync daemon. This issue is due to improper handling of attacker-controlled checksum lengths (s2length) in the code. When MAX_DIGEST_LEN exceeds the fixed SUM_LENGTH (16 bytes), an attacker can write out of bounds in the sum2 buffer. [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - При использовании ПО rsync отказаться от использования параметра --protect-args - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 rsync A flaw was found in rsync which could be triggered when rsync compares file checksums. This flaw allows an attacker to manipulate the checksum length (s2length) to cause a comparison between a checksum and uninitialized memory and leak one byte of uninitialized stack data at a time. [NistCWE(cwe='CWE-908'), NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - При использовании ПО rsync отказаться от использования параметра --protect-args - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 rsync A flaw was found in rsync. It could allow a server to enumerate the contents of an arbitrary file from the client's machine. This issue occurs when files are being copied from a client to a server. During this process, the rsync server will send checksums of local data to the client to compare with in order to determine what data needs to be sent to the server. By sending specially constructed checksum values for arbitrary files, an attacker may be able to reconstruct the data of those files byte-by-byte based on the responses from the client. [NistCWE(cwe='CWE-390')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N', score=6.1) - При использовании ПО rsync отказаться от использования параметра --protect-args - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 rsync A path traversal vulnerability exists in rsync. It stems from behavior enabled by the `--inc-recursive` option, a default-enabled option for many client options and can be enabled by the server even if not explicitly enabled by the client. When using the `--inc-recursive` option, a lack of proper symlink verification coupled with deduplication checks occurring on a per-file-list basis could allow a server to write files outside of the client's intended destination directory. A malicious server could write malicious files to arbitrary locations named after valid directories/paths on the client. [NistCWE(cwe='CWE-22'), NistCWE(cwe='CWE-22')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) - При использовании ПО rsync отказаться от использования параметра --protect-args - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 rsync A flaw was found in rsync. When using the `--safe-links` option, the rsync client fails to properly verify if a symbolic link destination sent from the server contains another symbolic link within it. This results in a path traversal vulnerability, which may lead to arbitrary file write outside the desired directory. [NistCWE(cwe='CWE-22'), NistCWE(cwe='CWE-22')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) - При использовании ПО rsync отказаться от использования параметра --protect-args - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 131.0.6778.139 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Translate in Google Chrome prior to 131.0.6778.139 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Type Confusion in V8 in Google Chrome prior to 131.0.6778.204 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Out of bounds memory access in V8 in Google Chrome prior to 131.0.6778.204 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Use after free in Compositing in Google Chrome prior to 131.0.6778.204 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 chromium Out of bounds write in V8 in Google Chrome prior to 131.0.6778.204 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. (Chromium security severity: High) [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - При использовании ПО chromium версии 122.0.6261.94 и выше отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.8 bind9 Clients using DNS-over-HTTPS (DoH) can exhaust a DNS resolver's CPU and/or memory by flooding it with crafted valid or invalid HTTP/2 traffic. This issue affects BIND 9 versions 9.18.0 through 9.18.32, 9.20.0 through 9.20.4, 9.21.0 through 9.21.3, and 9.18.11-S1 through 9.18.32-S1. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска bind9 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 rsync A flaw was found in rsync. This vulnerability arises from a race condition during rsync's handling of symbolic links. Rsync's default behavior when encountering symbolic links is to skip them. If an attacker replaced a regular file with a symbolic link at the right time, it was possible to bypass the default behavior and traverse symbolic links. Depending on the privileges of the rsync process, an attacker could leak sensitive information, potentially leading to privilege escalation. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N', score=5.6) - При использовании ПО rsync отказаться от использования параметра --protect-args - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 openssl Issue summary: A timing side-channel which could potentially allow recovering the private key exists in the ECDSA signature computation. Impact summary: A timing side-channel in ECDSA signature computations could allow recovering the private key by an attacker. However, measuring the timing would require either local access to the signing application or a very fast network connection with low latency. There is a timing signal of around 300 nanoseconds when the top word of the inverted ECDSA nonce value is zero. This can happen with significant probability only for some of the supported elliptic curves. In particular the NIST P-521 curve is affected. To be able to measure this leak, the attacker process must either be located in the same physical computer or must have a very fast network connection with low latency. For that reason the severity of this vulnerability is Low. The FIPS modules in 3.4, 3.3, 3.2, 3.1 and 3.0 are affected by this issue. [NistCWE(cwe='CWE-385')] None NistCVSS3(cvss='AV:P/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L', score=4.1) - Использовать ПО pyopenssl только на низком или отдельно выделенном уровне целостности - При использовании ПО pyopenssl выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска py только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 opensc The use-after-free vulnerability was found in the AuthentIC driver in OpenSC packages, occuring in the card enrolment process using pkcs15-init when a user or administrator enrols or modifies cards. An attacker must have physical access to the computer system and requires a crafted USB device or smart card to present the system with specially crafted responses to the APDUs, which are considered high complexity and low severity. This manipulation can allow for compromised card management operations during enrolment. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:P/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N', score=3.4) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 freeipa A flaw was found in FreeIPA. This issue may allow a remote attacker to craft a HTTP request with parameters that can be interpreted as command arguments to kinit on the FreeIPA server, which can lead to a denial of service. [NistCWE(cwe='CWE-20')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - Настройте правила брандмауэра для разрешения только необходимых портов - Разрешите доступ только с доверенных IP-адресов - Настройте FreeIPA для использования SSL/TLS для шифрования всех сетевых коммуникаций - Используйте доверенные сертификаты - Предоставляйте пользователям только те права, которые им необходимы для выполнения их задач - Настройте ограничения на количество попыток входа и используйте CAPTCHA - Настройте правила HBAC для управления доступом к хостам на основе ролей и групп пользователей - Запускать ПО freeipa в изолированной программной среде - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.8 bind9 Resolver caches and authoritative zone databases that hold significant numbers of RRs for the same hostname (of any RTYPE) can suffer from degraded performance as content is being added or updated, and also when handling client queries for this name. This issue affects BIND 9 versions 9.11.0 through 9.11.37, 9.16.0 through 9.16.50, 9.18.0 through 9.18.27, 9.19.0 through 9.19.24, 9.11.4-S1 through 9.11.37-S1, 9.16.8-S1 through 9.16.50-S1, and 9.18.11-S1 through 9.18.27-S1. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска bind9 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 bind9 If a server hosts a zone containing a "KEY" Resource Record, or a resolver DNSSEC-validates a "KEY" Resource Record from a DNSSEC-signed domain in cache, a client can exhaust resolver CPU resources by sending a stream of SIG(0) signed requests. This issue affects BIND 9 versions 9.0.0 through 9.11.37, 9.16.0 through 9.16.50, 9.18.0 through 9.18.27, 9.19.0 through 9.19.24, 9.9.3-S1 through 9.11.37-S1, 9.16.8-S1 through 9.16.49-S1, and 9.18.11-S1 through 9.18.27-S1. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска bind9 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 linux-6.1 Hardware logic with insecure de-synchronization in Intel(R) DSA and Intel(R) IAA for some Intel(R) 4th or 5th generation Xeon(R) processors may allow an authorized user to potentially enable escalation of privilege local access [NistCWE(cwe='CWE-1264'), NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:H/A:H', score=7.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 zabbix User with no permission to any of the Hosts can access and view host count & other statistics through System Information Widget in Global View Dashboard. [NistCWE(cwe='CWE-281'), NistCWE(cwe='CWE-281')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N', score=4.3) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix When a URL is added to the map element, it is recorded in the database with sequential IDs. Upon adding a new URL, the system retrieves the last sysmapelementurlid value and increments it by one. However, an issue arises when a user manually changes the sysmapelementurlid value by adding sysmapelementurlid + 1. This action prevents others from adding URLs to the map element. [NistCWE(cwe='CWE-20')] None NistCVSS3(cvss='AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:L', score=2.2) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix Zabbix allows to configure SMS notifications. AT command injection occurs on "Zabbix Server" because there is no validation of "Number" field on Web nor on Zabbix server side. Attacker can run test of SMS providing specially crafted phone number and execute additional AT commands on modem. [NistCWE(cwe='CWE-77'), NistCWE(cwe='CWE-77')] None NistCVSS3(cvss='AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:L/A:N', score=3.0) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix Setting SMS media allows to set GSM modem file. Later this file is used as Linux device. But due everything is a file for Linux, it is possible to set another file, e.g. log file and zabbix_server will try to communicate with it as modem. As a result, log file will be broken with AT commands and small part for log file content will be leaked to UI. [NistCWE(cwe='CWE-94'), NistCWE(cwe='CWE-94')] None NistCVSS3(cvss='AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N', score=2.7) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 linux-6.1 In the Linux kernel through 6.7.1, there is a use-after-free in cec_queue_msg_fh, related to drivers/media/cec/core/cec-adap.c and drivers/media/cec/core/cec-api.c. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 node-undici Undici is an HTTP/1.1 client, written from scratch for Node.js. Undici already cleared Authorization headers on cross-origin redirects, but did not clear `Proxy-Authentication` headers. This issue has been patched in versions 5.28.3 and 6.6.1. Users are advised to upgrade. There are no known workarounds for this vulnerability. [NistCWE(cwe='CWE-200')] None NistCVSS3(cvss='AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:L', score=3.9) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Активировать регламентный контроль целостности ОС - Активировать режим замкнутой программной среды - По возможности запускать прикладное ПО в отдельной сессии Astra Linux 1.8 linux-6.1 printer_write in drivers/usb/gadget/function/f_printer.c in the Linux kernel through 6.7.4 does not properly call usb_ep_queue, which might allow attackers to cause a denial of service or have unspecified other impact. [NistCWE(cwe='CWE-703')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mlxsw: spectrum_acl_tcam: Fix NULL pointer dereference in error path When calling mlxsw_sp_acl_tcam_region_destroy() from an error path after failing to attach the region to an ACL group, we hit a NULL pointer dereference upon 'region->group->tcam' [1]. Fix by retrieving the 'tcam' pointer using mlxsw_sp_acl_to_tcam(). [1] BUG: kernel NULL pointer dereference, address: 0000000000000000 [...] RIP: 0010:mlxsw_sp_acl_tcam_region_destroy+0xa0/0xd0 [...] Call Trace: mlxsw_sp_acl_tcam_vchunk_get+0x88b/0xa20 mlxsw_sp_acl_tcam_ventry_add+0x25/0xe0 mlxsw_sp_acl_rule_add+0x47/0x240 mlxsw_sp_flower_replace+0x1a9/0x1d0 tc_setup_cb_add+0xdc/0x1c0 fl_hw_replace_filter+0x146/0x1f0 fl_change+0xc17/0x1360 tc_new_tfilter+0x472/0xb90 rtnetlink_rcv_msg+0x313/0x3b0 netlink_rcv_skb+0x58/0x100 netlink_unicast+0x244/0x390 netlink_sendmsg+0x1e4/0x440 ____sys_sendmsg+0x164/0x260 ___sys_sendmsg+0x9a/0xe0 __sys_sendmsg+0x7a/0xc0 do_syscall_64+0x40/0xe0 entry_SYSCALL_64_after_hwframe+0x63/0x6b [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: md: fix kmemleak of rdev->serial If kobject_add() is fail in bind_rdev_to_array(), 'rdev->serial' will be alloc not be freed, and kmemleak occurs. unreferenced object 0xffff88815a350000 (size 49152): comm "mdadm", pid 789, jiffies 4294716910 hex dump (first 32 bytes): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ backtrace (crc f773277a): [<0000000058b0a453>] kmemleak_alloc+0x61/0xe0 [<00000000366adf14>] __kmalloc_large_node+0x15e/0x270 [<000000002e82961b>] __kmalloc_node.cold+0x11/0x7f [<00000000f206d60a>] kvmalloc_node+0x74/0x150 [<0000000034bf3363>] rdev_init_serial+0x67/0x170 [<0000000010e08fe9>] mddev_create_serial_pool+0x62/0x220 [<00000000c3837bf0>] bind_rdev_to_array+0x2af/0x630 [<0000000073c28560>] md_add_new_disk+0x400/0x9f0 [<00000000770e30ff>] md_ioctl+0x15bf/0x1c10 [<000000006cfab718>] blkdev_ioctl+0x191/0x3f0 [<0000000085086a11>] vfs_ioctl+0x22/0x60 [<0000000018b656fe>] __x64_sys_ioctl+0xba/0xe0 [<00000000e54e675e>] do_syscall_64+0x71/0x150 [<000000008b0ad622>] entry_SYSCALL_64_after_hwframe+0x6c/0x74 [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ksmbd: fix potencial out-of-bounds when buffer offset is invalid I found potencial out-of-bounds when buffer offset fields of a few requests is invalid. This patch set the minimum value of buffer offset field to ->Buffer offset to validate buffer length. [NistCWE(cwe='CWE-120'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ksmbd: fix slab-out-of-bounds in smb_strndup_from_utf16() If ->NameOffset of smb2_create_req is smaller than Buffer offset of smb2_create_req, slab-out-of-bounds read can happen from smb2_open. This patch set the minimum value of the name offset to the buffer offset to validate name length of smb2_create_req(). [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Squashfs: check the inode number is not the invalid value of zero Syskiller has produced an out of bounds access in fill_meta_index(). That out of bounds access is ultimately caused because the inode has an inode number with the invalid value of zero, which was not checked. The reason this causes the out of bounds access is due to following sequence of events: 1. Fill_meta_index() is called to allocate (via empty_meta_index()) and fill a metadata index. It however suffers a data read error and aborts, invalidating the newly returned empty metadata index. It does this by setting the inode number of the index to zero, which means unused (zero is not a valid inode number). 2. When fill_meta_index() is subsequently called again on another read operation, locate_meta_index() returns the previous index because it matches the inode number of 0. Because this index has been returned it is expected to have been filled, and because it hasn't been, an out of bounds access is performed. This patch adds a sanity check which checks that the inode number is not zero when the inode is created and returns -EINVAL if it is. [phillip@squashfs.org.uk: whitespace fix] [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: media: usbtv: Remove useless locks in usbtv_video_free() Remove locks calls in usbtv_video_free() because are useless and may led to a deadlock as reported here: https://syzkaller.appspot.com/x/bisect.txt?x=166dc872180000 Also remove usbtv_stop() call since it will be called when unregistering the device. Before 'c838530d230b' this issue would only be noticed if you disconnect while streaming and now it is noticeable even when disconnecting while not streaming. [hverkuil: fix minor spelling mistake in log message] [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: nf_tables: use timestamp to check for set element timeout Add a timestamp field at the beginning of the transaction, store it in the nftables per-netns area. Update set backend .insert, .deactivate and sync gc path to use the timestamp, this avoids that an element expires while control plane transaction is still unfinished. .lookup and .update, which are used from packet path, still use the current time to check if the element has expired. And .get path and dump also since this runs lockless under rcu read size lock. Then, there is async gc which also needs to check the current time since it runs asynchronously from a workqueue. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: Fix use-after-free bugs caused by sco_sock_timeout When the sco connection is established and then, the sco socket is releasing, timeout_work will be scheduled to judge whether the sco disconnection is timeout. The sock will be deallocated later, but it is dereferenced again in sco_sock_timeout. As a result, the use-after-free bugs will happen. The root cause is shown below: Cleanup Thread | Worker Thread sco_sock_release | sco_sock_close | __sco_sock_close | sco_sock_set_timer | schedule_delayed_work | sco_sock_kill | (wait a time) sock_put(sk) //FREE | sco_sock_timeout | sock_hold(sk) //USE The KASAN report triggered by POC is shown below: [ 95.890016] ================================================================== [ 95.890496] BUG: KASAN: slab-use-after-free in sco_sock_timeout+0x5e/0x1c0 [ 95.890755] Write of size 4 at addr ffff88800c388080 by task kworker/0:0/7 ... [ 95.890755] Workqueue: events sco_sock_timeout [ 95.890755] Call Trace: [ 95.890755] <TASK> [ 95.890755] dump_stack_lvl+0x45/0x110 [ 95.890755] print_address_description+0x78/0x390 [ 95.890755] print_report+0x11b/0x250 [ 95.890755] ? __virt_addr_valid+0xbe/0xf0 [ 95.890755] ? sco_sock_timeout+0x5e/0x1c0 [ 95.890755] kasan_report+0x139/0x170 [ 95.890755] ? update_load_avg+0xe5/0x9f0 [ 95.890755] ? sco_sock_timeout+0x5e/0x1c0 [ 95.890755] kasan_check_range+0x2c3/0x2e0 [ 95.890755] sco_sock_timeout+0x5e/0x1c0 [ 95.890755] process_one_work+0x561/0xc50 [ 95.890755] worker_thread+0xab2/0x13c0 [ 95.890755] ? pr_cont_work+0x490/0x490 [ 95.890755] kthread+0x279/0x300 [ 95.890755] ? pr_cont_work+0x490/0x490 [ 95.890755] ? kthread_blkcg+0xa0/0xa0 [ 95.890755] ret_from_fork+0x34/0x60 [ 95.890755] ? kthread_blkcg+0xa0/0xa0 [ 95.890755] ret_from_fork_asm+0x11/0x20 [ 95.890755] </TASK> [ 95.890755] [ 95.890755] Allocated by task 506: [ 95.890755] kasan_save_track+0x3f/0x70 [ 95.890755] __kasan_kmalloc+0x86/0x90 [ 95.890755] __kmalloc+0x17f/0x360 [ 95.890755] sk_prot_alloc+0xe1/0x1a0 [ 95.890755] sk_alloc+0x31/0x4e0 [ 95.890755] bt_sock_alloc+0x2b/0x2a0 [ 95.890755] sco_sock_create+0xad/0x320 [ 95.890755] bt_sock_create+0x145/0x320 [ 95.890755] __sock_create+0x2e1/0x650 [ 95.890755] __sys_socket+0xd0/0x280 [ 95.890755] __x64_sys_socket+0x75/0x80 [ 95.890755] do_syscall_64+0xc4/0x1b0 [ 95.890755] entry_SYSCALL_64_after_hwframe+0x67/0x6f [ 95.890755] [ 95.890755] Freed by task 506: [ 95.890755] kasan_save_track+0x3f/0x70 [ 95.890755] kasan_save_free_info+0x40/0x50 [ 95.890755] poison_slab_object+0x118/0x180 [ 95.890755] __kasan_slab_free+0x12/0x30 [ 95.890755] kfree+0xb2/0x240 [ 95.890755] __sk_destruct+0x317/0x410 [ 95.890755] sco_sock_release+0x232/0x280 [ 95.890755] sock_close+0xb2/0x210 [ 95.890755] __fput+0x37f/0x770 [ 95.890755] task_work_run+0x1ae/0x210 [ 95.890755] get_signal+0xe17/0xf70 [ 95.890755] arch_do_signal_or_restart+0x3f/0x520 [ 95.890755] syscall_exit_to_user_mode+0x55/0x120 [ 95.890755] do_syscall_64+0xd1/0x1b0 [ 95.890755] entry_SYSCALL_64_after_hwframe+0x67/0x6f [ 95.890755] [ 95.890755] The buggy address belongs to the object at ffff88800c388000 [ 95.890755] which belongs to the cache kmalloc-1k of size 1024 [ 95.890755] The buggy address is located 128 bytes inside of [ 95.890755] freed 1024-byte region [ffff88800c388000, ffff88800c388400) [ 95.890755] [ 95.890755] The buggy address belongs to the physical page: [ 95.890755] page: refcount:1 mapcount:0 mapping:0000000000000000 index:0xffff88800c38a800 pfn:0xc388 [ 95.890755] head: order:3 entire_mapcount:0 nr_pages_mapped:0 pincount:0 [ 95.890755] ano ---truncated--- [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: l2cap: fix null-ptr-deref in l2cap_chan_timeout There is a race condition between l2cap_chan_timeout() and l2cap_chan_del(). When we use l2cap_chan_del() to delete the channel, the chan->conn will be set to null. But the conn could be dereferenced again in the mutex_lock() of l2cap_chan_timeout(). As a result the null pointer dereference bug will happen. The KASAN report triggered by POC is shown below: [ 472.074580] ================================================================== [ 472.075284] BUG: KASAN: null-ptr-deref in mutex_lock+0x68/0xc0 [ 472.075308] Write of size 8 at addr 0000000000000158 by task kworker/0:0/7 [ 472.075308] [ 472.075308] CPU: 0 PID: 7 Comm: kworker/0:0 Not tainted 6.9.0-rc5-00356-g78c0094a146b #36 [ 472.075308] Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.14.0-0-g155821a1990b-prebuilt.qemu4 [ 472.075308] Workqueue: events l2cap_chan_timeout [ 472.075308] Call Trace: [ 472.075308] <TASK> [ 472.075308] dump_stack_lvl+0x137/0x1a0 [ 472.075308] print_report+0x101/0x250 [ 472.075308] ? __virt_addr_valid+0x77/0x160 [ 472.075308] ? mutex_lock+0x68/0xc0 [ 472.075308] kasan_report+0x139/0x170 [ 472.075308] ? mutex_lock+0x68/0xc0 [ 472.075308] kasan_check_range+0x2c3/0x2e0 [ 472.075308] mutex_lock+0x68/0xc0 [ 472.075308] l2cap_chan_timeout+0x181/0x300 [ 472.075308] process_one_work+0x5d2/0xe00 [ 472.075308] worker_thread+0xe1d/0x1660 [ 472.075308] ? pr_cont_work+0x5e0/0x5e0 [ 472.075308] kthread+0x2b7/0x350 [ 472.075308] ? pr_cont_work+0x5e0/0x5e0 [ 472.075308] ? kthread_blkcg+0xd0/0xd0 [ 472.075308] ret_from_fork+0x4d/0x80 [ 472.075308] ? kthread_blkcg+0xd0/0xd0 [ 472.075308] ret_from_fork_asm+0x11/0x20 [ 472.075308] </TASK> [ 472.075308] ================================================================== [ 472.094860] Disabling lock debugging due to kernel taint [ 472.096136] BUG: kernel NULL pointer dereference, address: 0000000000000158 [ 472.096136] #PF: supervisor write access in kernel mode [ 472.096136] #PF: error_code(0x0002) - not-present page [ 472.096136] PGD 0 P4D 0 [ 472.096136] Oops: 0002 [#1] PREEMPT SMP KASAN NOPTI [ 472.096136] CPU: 0 PID: 7 Comm: kworker/0:0 Tainted: G B 6.9.0-rc5-00356-g78c0094a146b #36 [ 472.096136] Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.14.0-0-g155821a1990b-prebuilt.qemu4 [ 472.096136] Workqueue: events l2cap_chan_timeout [ 472.096136] RIP: 0010:mutex_lock+0x88/0xc0 [ 472.096136] Code: be 08 00 00 00 e8 f8 23 1f fd 4c 89 f7 be 08 00 00 00 e8 eb 23 1f fd 42 80 3c 23 00 74 08 48 88 [ 472.096136] RSP: 0018:ffff88800744fc78 EFLAGS: 00000246 [ 472.096136] RAX: 0000000000000000 RBX: 1ffff11000e89f8f RCX: ffffffff8457c865 [ 472.096136] RDX: 0000000000000001 RSI: 0000000000000008 RDI: ffff88800744fc78 [ 472.096136] RBP: 0000000000000158 R08: ffff88800744fc7f R09: 1ffff11000e89f8f [ 472.096136] R10: dffffc0000000000 R11: ffffed1000e89f90 R12: dffffc0000000000 [ 472.096136] R13: 0000000000000158 R14: ffff88800744fc78 R15: ffff888007405a00 [ 472.096136] FS: 0000000000000000(0000) GS:ffff88806d200000(0000) knlGS:0000000000000000 [ 472.096136] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 472.096136] CR2: 0000000000000158 CR3: 000000000da32000 CR4: 00000000000006f0 [ 472.096136] Call Trace: [ 472.096136] <TASK> [ 472.096136] ? __die_body+0x8d/0xe0 [ 472.096136] ? page_fault_oops+0x6b8/0x9a0 [ 472.096136] ? kernelmode_fixup_or_oops+0x20c/0x2a0 [ 472.096136] ? do_user_addr_fault+0x1027/0x1340 [ 472.096136] ? _printk+0x7a/0xa0 [ 472.096136] ? mutex_lock+0x68/0xc0 [ 472.096136] ? add_taint+0x42/0xd0 [ 472.096136] ? exc_page_fault+0x6a/0x1b0 [ 472.096136] ? asm_exc_page_fault+0x26/0x30 [ 472.096136] ? mutex_lock+0x75/0xc0 [ 472.096136] ? mutex_lock+0x88/0xc0 [ 472.096136] ? mutex_lock+0x75/0xc0 [ 472.096136] l2cap_chan_timeo ---truncated--- [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: once more fix the call oder in amdgpu_ttm_move() v2 This reverts drm/amdgpu: fix ftrace event amdgpu_bo_move always move on same heap. The basic problem here is that after the move the old location is simply not available any more. Some fixes were suggested, but essentially we should call the move notification before actually moving things because only this way we have the correct order for DMA-buf and VM move notifications as well. Also rework the statistic handling so that we don't update the eviction counter before the move. v2: add missing NULL check [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fs/ntfs3: Fixed overflow check in mi_enum_attr() [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 webkit2gtk The issue was addressed by adding additional logic. This issue is fixed in Safari 17.5, iOS 16.7.8 and iPadOS 16.7.8, iOS 17.5 and iPadOS 17.5, macOS Sonoma 14.5, tvOS 17.5, visionOS 1.2, watchOS 10.5. A maliciously crafted webpage may be able to fingerprint the user. [NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk The issue was addressed with improved bounds checks. This issue is fixed in Safari 17.5, iOS 17.5 and iPadOS 17.5, macOS Sonoma 14.5, tvOS 17.5, visionOS 1.2, watchOS 10.5. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-119'), NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk The issue was addressed with improved checks. This issue is fixed in Safari 17.5, iOS 16.7.8 and iPadOS 16.7.8, iOS 17.5 and iPadOS 17.5, macOS Sonoma 14.5, tvOS 17.5, visionOS 1.2, watchOS 10.5. Processing a file may lead to unexpected app termination or arbitrary code execution. [NistCWE(cwe='CWE-94'), NistCWE(cwe='CWE-94')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 python-jwcrypto JWCrypto implements JWK, JWS, and JWE specifications using python-cryptography. Prior to version 1.5.6, an attacker can cause a denial of service attack by passing in a malicious JWE Token with a high compression ratio. When the server processes this token, it will consume a lot of memory and processing time. Version 1.5.6 fixes this vulnerability by limiting the maximum token length. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H', score=6.8) Astra Linux 1.8 gnutls28 A flaw was found in GnuTLS. The Minerva attack is a cryptographic vulnerability that exploits deterministic behavior in systems like GnuTLS, leading to side-channel leaks. In specific scenarios, such as when using the GNUTLS_PRIVKEY_FLAG_REPRODUCIBLE flag, it can result in a noticeable step in nonce size from 513 to 512 bits, exposing a potential timing side-channel. [NistCWE(cwe='CWE-327')] None NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.3) - Включить защиту файловой системы ("установить МКЦ на ФС") - Запретить установку бита исполнения для каталогов с сертификатами и ключами, включая права администраторов. - Активировать режим замкнутой программной среды. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Для непривилегированных пользователей активировать режим Киоск-2. - Ограничить редактирование файлов /etc/gnutls/ и переменных окружения GNUTLS_PRIORITY исключительно группой root. Astra Linux 1.8 gnutls28 A flaw has been discovered in GnuTLS where an application crash can be induced when attempting to verify a specially crafted .pem bundle using the "certtool --verify-chain" command. [NistCWE(cwe='CWE-248')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H', score=5.0) - Включить защиту файловой системы ("установить МКЦ на ФС") - Запретить установку бита исполнения для каталогов с сертификатами и ключами, включая права администраторов. - Активировать режим замкнутой программной среды. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Для непривилегированных пользователей активировать режим Киоск-2. - Ограничить редактирование файлов /etc/gnutls/ и переменных окружения GNUTLS_PRIORITY исключительно группой root. Astra Linux 1.8 hdf5 HDF5 through 1.14.3 contains a stack buffer overflow in H5FL_arr_malloc, resulting in the corruption of the instruction pointer and causing denial of service or potential code execution. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=7.4) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 hdf5 HDF5 through 1.14.3 contains a heap buffer overflow in H5A__attr_release_table, resulting in the corruption of the instruction pointer and causing denial of service or potential code execution. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 hdf5 HDF5 through 1.14.3 contains a buffer overflow in H5O__linfo_decode, resulting in the corruption of the instruction pointer and causing denial of service or potential code execution. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H', score=5.7) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 node-undici Undici is an HTTP/1.1 client, written from scratch for Node.js. Undici cleared Authorization and Proxy-Authorization headers for `fetch()`, but did not clear them for `undici.request()`. This vulnerability was patched in version(s) 5.28.4 and 6.11.1. [NistCWE(cwe='CWE-285'), NistCWE(cwe='CWE-863')] None NistCVSS3(cvss='AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:L', score=3.9) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Активировать регламентный контроль целостности ОС - Активировать режим замкнутой программной среды - По возможности запускать прикладное ПО в отдельной сессии Astra Linux 1.8 node-undici Undici is an HTTP/1.1 client, written from scratch for Node.js. An attacker can alter the `integrity` option passed to `fetch()`, allowing `fetch()` to accept requests as valid even if they have been tampered. This vulnerability was patched in version(s) 5.28.4 and 6.11.1. [NistCWE(cwe='CWE-284')] None NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N', score=2.6) - Включить защиту файловой системы ("установить МКЦ на ФС") - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Активировать регламентный контроль целостности ОС - Активировать режим замкнутой программной среды - По возможности запускать прикладное ПО в отдельной сессии Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: genirq/cpuhotplug, x86/vector: Prevent vector leak during CPU offline The absence of IRQD_MOVE_PCNTXT prevents immediate effectiveness of interrupt affinity reconfiguration via procfs. Instead, the change is deferred until the next instance of the interrupt being triggered on the original CPU. When the interrupt next triggers on the original CPU, the new affinity is enforced within __irq_move_irq(). A vector is allocated from the new CPU, but the old vector on the original CPU remains and is not immediately reclaimed. Instead, apicd->move_in_progress is flagged, and the reclaiming process is delayed until the next trigger of the interrupt on the new CPU. Upon the subsequent triggering of the interrupt on the new CPU, irq_complete_move() adds a task to the old CPU's vector_cleanup list if it remains online. Subsequently, the timer on the old CPU iterates over its vector_cleanup list, reclaiming old vectors. However, a rare scenario arises if the old CPU is outgoing before the interrupt triggers again on the new CPU. In that case irq_force_complete_move() is not invoked on the outgoing CPU to reclaim the old apicd->prev_vector because the interrupt isn't currently affine to the outgoing CPU, and irq_needs_fixup() returns false. Even though __vector_schedule_cleanup() is later called on the new CPU, it doesn't reclaim apicd->prev_vector; instead, it simply resets both apicd->move_in_progress and apicd->prev_vector to 0. As a result, the vector remains unreclaimed in vector_matrix, leading to a CPU vector leak. To address this issue, move the invocation of irq_force_complete_move() before the irq_needs_fixup() call to reclaim apicd->prev_vector, if the interrupt is currently or used to be affine to the outgoing CPU. Additionally, reclaim the vector in __vector_schedule_cleanup() as well, following a warning message, although theoretically it should never see apicd->move_in_progress with apicd->prev_cpu pointing to an offline CPU. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 git Git is a revision control system. Prior to versions 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, and 2.39.4, local clones may end up hardlinking files into the target repository's object database when source and target repository reside on the same disk. If the source repository is owned by a different user, then those hardlinked files may be rewritten at any point in time by the untrusted user. Cloning local repositories will cause Git to either copy or hardlink files of the source repository into the target repository. This significantly speeds up such local clones compared to doing a "proper" clone and saves both disk space and compute time. When cloning a repository located on the same disk that is owned by a different user than the current user we also end up creating such hardlinks. These files will continue to be owned and controlled by the potentially-untrusted user and can be rewritten by them at will in the future. The problem has been patched in versions 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, and 2.39.4. [NistCWE(cwe='CWE-281')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:L', score=3.9) - Удалить библиотеку golang-github-dvsekhvalnov-jose2go, если она не используется и не является зависимостью других пакетов - Запускать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, в изолированной программной среде с применением инструмента Firejail - Использовать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, только на низком или отдельно выделенном уровне целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды Astra Linux 1.8 git Git is a revision control system. Prior to versions 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, and 2.39.4, when cloning a local source repository that contains symlinks via the filesystem, Git may create hardlinks to arbitrary user-readable files on the same filesystem as the target repository in the `objects/` directory. Cloning a local repository over the filesystem may creating hardlinks to arbitrary user-owned files on the same filesystem in the target Git repository's `objects/` directory. When cloning a repository over the filesystem (without explicitly specifying the `file://` protocol or `--no-local`), the optimizations for local cloning will be used, which include attempting to hard link the object files instead of copying them. While the code includes checks against symbolic links in the source repository, which were added during the fix for CVE-2022-39253, these checks can still be raced because the hard link operation ultimately follows symlinks. If the object on the filesystem appears as a file during the check, and then a symlink during the operation, this will allow the adversary to bypass the check and create hardlinks in the destination objects directory to arbitrary, user-readable files. The problem has been patched in versions 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, and 2.39.4. [NistCWE(cwe='CWE-547')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:L', score=3.9) - Удалить библиотеку golang-github-dvsekhvalnov-jose2go, если она не используется и не является зависимостью других пакетов - Запускать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, в изолированной программной среде с применением инструмента Firejail - Использовать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, только на низком или отдельно выделенном уровне целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды Astra Linux 1.8 git Git is a revision control system. The Git project recommends to avoid working in untrusted repositories, and instead to clone it first with `git clone --no-local` to obtain a clean copy. Git has specific protections to make that a safe operation even with an untrusted source repository, but vulnerabilities allow those protections to be bypassed. In the context of cloning local repositories owned by other users, this vulnerability has been covered in CVE-2024-32004. But there are circumstances where the fixes for CVE-2024-32004 are not enough: For example, when obtaining a `.zip` file containing a full copy of a Git repository, it should not be trusted by default to be safe, as e.g. hooks could be configured to run within the context of that repository. The problem has been patched in versions 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, and 2.39.4. As a workaround, avoid using Git in repositories that have been obtained via archives from untrusted sources. [NistCWE(cwe='CWE-22')] None NistCVSS3(cvss='AV:P/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=7.3) - Удалить библиотеку golang-github-dvsekhvalnov-jose2go, если она не используется и не является зависимостью других пакетов - Запускать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, в изолированной программной среде с применением инструмента Firejail - Использовать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, только на низком или отдельно выделенном уровне целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды Astra Linux 1.8 hdf5 HDF5 library through 1.14.3 has memory corruption in H5A__close resulting in the corruption of the instruction pointer and causing denial of service or potential code execution. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 hdf5 HDF5 Library through 1.14.3 has a SEGV in H5T_close_real in H5T.c, resulting in a corrupted instruction pointer. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H', score=5.7) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 hdf5 HDF5 Library through 1.14.3 has a SEGV in H5VM_memcpyvv in H5VM.c. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 hdf5 HDF5 Library through 1.14.3 contains a heap-based buffer overflow in H5T_copy_reopen in H5T.c, resulting in the corruption of the instruction pointer. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=7.4) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 hdf5 HDF5 Library through 1.14.3 contains a heap-based buffer over-read in H5F_addr_decode_len in H5Fint.c, resulting in the corruption of the instruction pointer. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=7.4) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: efi: libstub: only free priv.runtime_map when allocated priv.runtime_map is only allocated when efi_novamap is not set. Otherwise, it is an uninitialized value. In the error path, it is freed unconditionally. Avoid passing an uninitialized value to free_pool. Free priv.runtime_map only when it was allocated. This bug was discovered and resolved using Coverity Static Analysis Security Testing (SAST) by Synopsys, Inc. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ipvlan: Dont Use skb->sk in ipvlan_process_v{4,6}_outbound Raw packet from PF_PACKET socket ontop of an IPv6-backed ipvlan device will hit WARN_ON_ONCE() in sk_mc_loop() through sch_direct_xmit() path. WARNING: CPU: 2 PID: 0 at net/core/sock.c:775 sk_mc_loop+0x2d/0x70 Modules linked in: sch_netem ipvlan rfkill cirrus drm_shmem_helper sg drm_kms_helper CPU: 2 PID: 0 Comm: swapper/2 Kdump: loaded Not tainted 6.9.0+ #279 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.15.0-1 04/01/2014 RIP: 0010:sk_mc_loop+0x2d/0x70 Code: fa 0f 1f 44 00 00 65 0f b7 15 f7 96 a3 4f 31 c0 66 85 d2 75 26 48 85 ff 74 1c RSP: 0018:ffffa9584015cd78 EFLAGS: 00010212 RAX: 0000000000000011 RBX: ffff91e585793e00 RCX: 0000000002c6a001 RDX: 0000000000000000 RSI: 0000000000000040 RDI: ffff91e589c0f000 RBP: ffff91e5855bd100 R08: 0000000000000000 R09: 3d00545216f43d00 R10: ffff91e584fdcc50 R11: 00000060dd8616f4 R12: ffff91e58132d000 R13: ffff91e584fdcc68 R14: ffff91e5869ce800 R15: ffff91e589c0f000 FS: 0000000000000000(0000) GS:ffff91e898100000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f788f7c44c0 CR3: 0000000008e1a000 CR4: 00000000000006f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <IRQ> ? __warn (kernel/panic.c:693) ? sk_mc_loop (net/core/sock.c:760) ? report_bug (lib/bug.c:201 lib/bug.c:219) ? handle_bug (arch/x86/kernel/traps.c:239) ? exc_invalid_op (arch/x86/kernel/traps.c:260 (discriminator 1)) ? asm_exc_invalid_op (./arch/x86/include/asm/idtentry.h:621) ? sk_mc_loop (net/core/sock.c:760) ip6_finish_output2 (net/ipv6/ip6_output.c:83 (discriminator 1)) ? nf_hook_slow (net/netfilter/core.c:626) ip6_finish_output (net/ipv6/ip6_output.c:222) ? __pfx_ip6_finish_output (net/ipv6/ip6_output.c:215) ipvlan_xmit_mode_l3 (drivers/net/ipvlan/ipvlan_core.c:602) ipvlan ipvlan_start_xmit (drivers/net/ipvlan/ipvlan_main.c:226) ipvlan dev_hard_start_xmit (net/core/dev.c:3594) sch_direct_xmit (net/sched/sch_generic.c:343) __qdisc_run (net/sched/sch_generic.c:416) net_tx_action (net/core/dev.c:5286) handle_softirqs (kernel/softirq.c:555) __irq_exit_rcu (kernel/softirq.c:589) sysvec_apic_timer_interrupt (arch/x86/kernel/apic/apic.c:1043) The warning triggers as this: packet_sendmsg packet_snd //skb->sk is packet sk __dev_queue_xmit __dev_xmit_skb //q->enqueue is not NULL __qdisc_run sch_direct_xmit dev_hard_start_xmit ipvlan_start_xmit ipvlan_xmit_mode_l3 //l3 mode ipvlan_process_outbound //vepa flag ipvlan_process_v6_outbound ip6_local_out __ip6_finish_output ip6_finish_output2 //multicast packet sk_mc_loop //sk->sk_family is AF_PACKET Call ip{6}_local_out() with NULL sk in ipvlan as other tunnels to fix this. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: f2fs: compress: don't allow unaligned truncation on released compress inode f2fs image may be corrupted after below testcase: - mkfs.f2fs -O extra_attr,compression -f /dev/vdb - mount /dev/vdb /mnt/f2fs - touch /mnt/f2fs/file - f2fs_io setflags compression /mnt/f2fs/file - dd if=/dev/zero of=/mnt/f2fs/file bs=4k count=4 - f2fs_io release_cblocks /mnt/f2fs/file - truncate -s 8192 /mnt/f2fs/file - umount /mnt/f2fs - fsck.f2fs /dev/vdb [ASSERT] (fsck_chk_inode_blk:1256) --> ino: 0x5 has i_blocks: 0x00000002, but has 0x3 blocks [FSCK] valid_block_count matching with CP [Fail] [0x4, 0x5] [FSCK] other corrupted bugs [Fail] The reason is: partial truncation assume compressed inode has reserved blocks, after partial truncation, valid block count may change w/o .i_blocks and .total_valid_block_count update, result in corruption. This patch only allow cluster size aligned truncation on released compress inode for fixing. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 hdf5 HDF5 Library through 1.14.3 has a heap-based buffer overflow in H5D__scatter_mem in H5Dscatgath.c. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 hdf5 HDF5 Library through 1.14.3 has a heap buffer overflow in H5O__mtime_new_encode in H5Omtime.c. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 hdf5 HDF5 Library through 1.14.3 has a heap-based buffer overflow in H5O__layout_encode in H5Olayout.c, resulting in the corruption of the instruction pointer. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H', score=5.7) - Отказаться от использования библиотеки hdf5 - При использовании ПО, использующего библиотеку hdf5, выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО, использующее библиотеку hdf5, в изолированной программной среде с применением инструмента Firejail - Включить режим замкнутой программной среды - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Запретить установку бита исполнения для всех пользователей, включая администраторов - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 Astra Linux 1.8 ffmpeg FFmpeg n6.1.1 has an Out-of-bounds Read via libavcodec/ppc/vp8dsp_altivec.c, static const vec_s8 h_subpel_filters_outer [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 ffmpeg FFmpeg n7.0 is affected by a Double Free via the rkmpp_retrieve_frame function within libavcodec/rkmppdec.c. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: eeprom: at24: fix memory corruption race condition If the eeprom is not accessible, an nvmem device will be registered, the read will fail, and the device will be torn down. If another driver accesses the nvmem device after the teardown, it will reference invalid memory. Move the failure point before registering the nvmem device. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: smb: client: fix UAF in smb2_reconnect_server() The UAF bug is due to smb2_reconnect_server() accessing a session that is already being teared down by another thread that is executing __cifs_put_smb_ses(). This can happen when (a) the client has connection to the server but no session or (b) another thread ends up setting @ses->ses_status again to something different than SES_EXITING. To fix this, we need to make sure to unconditionally set @ses->ses_status to SES_EXITING and prevent any other threads from setting a new status while we're still tearing it down. The following can be reproduced by adding some delay to right after the ipc is freed in __cifs_put_smb_ses() - which will give smb2_reconnect_server() worker a chance to run and then accessing @ses->ipc: kinit ... mount.cifs //srv/share /mnt/1 -o sec=krb5,nohandlecache,echo_interval=10 [disconnect srv] ls /mnt/1 &>/dev/null sleep 30 kdestroy [reconnect srv] sleep 10 umount /mnt/1 ... CIFS: VFS: Verify user has a krb5 ticket and keyutils is installed CIFS: VFS: \\srv Send error in SessSetup = -126 CIFS: VFS: Verify user has a krb5 ticket and keyutils is installed CIFS: VFS: \\srv Send error in SessSetup = -126 general protection fault, probably for non-canonical address 0x6b6b6b6b6b6b6b6b: 0000 [#1] PREEMPT SMP NOPTI CPU: 3 PID: 50 Comm: kworker/3:1 Not tainted 6.9.0-rc2 #1 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-1.fc39 04/01/2014 Workqueue: cifsiod smb2_reconnect_server [cifs] RIP: 0010:__list_del_entry_valid_or_report+0x33/0xf0 Code: 4f 08 48 85 d2 74 42 48 85 c9 74 59 48 b8 00 01 00 00 00 00 ad de 48 39 c2 74 61 48 b8 22 01 00 00 00 00 74 69 <48> 8b 01 48 39 f8 75 7b 48 8b 72 08 48 39 c6 0f 85 88 00 00 00 b8 RSP: 0018:ffffc900001bfd70 EFLAGS: 00010a83 RAX: dead000000000122 RBX: ffff88810da53838 RCX: 6b6b6b6b6b6b6b6b RDX: 6b6b6b6b6b6b6b6b RSI: ffffffffc02f6878 RDI: ffff88810da53800 RBP: ffff88810da53800 R08: 0000000000000001 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000001 R12: ffff88810c064000 R13: 0000000000000001 R14: ffff88810c064000 R15: ffff8881039cc000 FS: 0000000000000000(0000) GS:ffff888157c00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fe3728b1000 CR3: 000000010caa4000 CR4: 0000000000750ef0 PKRU: 55555554 Call Trace: <TASK> ? die_addr+0x36/0x90 ? exc_general_protection+0x1c1/0x3f0 ? asm_exc_general_protection+0x26/0x30 ? __list_del_entry_valid_or_report+0x33/0xf0 __cifs_put_smb_ses+0x1ae/0x500 [cifs] smb2_reconnect_server+0x4ed/0x710 [cifs] process_one_work+0x205/0x6b0 worker_thread+0x191/0x360 ? __pfx_worker_thread+0x10/0x10 kthread+0xe2/0x110 ? __pfx_kthread+0x10/0x10 ret_from_fork+0x34/0x50 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1a/0x30 </TASK> [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: cfg80211: check A-MSDU format more carefully If it looks like there's another subframe in the A-MSDU but the header isn't fully there, we can end up reading data out of bounds, only to discard later. Make this a bit more careful and check if the subframe header can even be present. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: btrfs: qgroup: fix qgroup prealloc rsv leak in subvolume operations Create subvolume, create snapshot and delete subvolume all use btrfs_subvolume_reserve_metadata() to reserve metadata for the changes done to the parent subvolume's fs tree, which cannot be mediated in the normal way via start_transaction. When quota groups (squota or qgroups) are enabled, this reserves qgroup metadata of type PREALLOC. Once the operation is associated to a transaction, we convert PREALLOC to PERTRANS, which gets cleared in bulk at the end of the transaction. However, the error paths of these three operations were not implementing this lifecycle correctly. They unconditionally converted the PREALLOC to PERTRANS in a generic cleanup step regardless of errors or whether the operation was fully associated to a transaction or not. This resulted in error paths occasionally converting this rsv to PERTRANS without calling record_root_in_trans successfully, which meant that unless that root got recorded in the transaction by some other thread, the end of the transaction would not free that root's PERTRANS, leaking it. Ultimately, this resulted in hitting a WARN in CONFIG_BTRFS_DEBUG builds at unmount for the leaked reservation. The fix is to ensure that every qgroup PREALLOC reservation observes the following properties: 1. any failure before record_root_in_trans is called successfully results in freeing the PREALLOC reservation. 2. after record_root_in_trans, we convert to PERTRANS, and now the transaction owns freeing the reservation. This patch enforces those properties on the three operations. Without it, generic/269 with squotas enabled at mkfs time would fail in ~5-10 runs on my system. With this patch, it ran successfully 1000 times in a row. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: hci_sock: Fix not validating setsockopt user input Check user input length before copying data. [NistCWE(cwe='CWE-1284')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: ISO: Fix not validating setsockopt user input Check user input length before copying data. [NistCWE(cwe='CWE-1284')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: RFCOMM: Fix not validating setsockopt user input syzbot reported rfcomm_sock_setsockopt_old() is copying data without checking user input length. BUG: KASAN: slab-out-of-bounds in copy_from_sockptr_offset include/linux/sockptr.h:49 [inline] BUG: KASAN: slab-out-of-bounds in copy_from_sockptr include/linux/sockptr.h:55 [inline] BUG: KASAN: slab-out-of-bounds in rfcomm_sock_setsockopt_old net/bluetooth/rfcomm/sock.c:632 [inline] BUG: KASAN: slab-out-of-bounds in rfcomm_sock_setsockopt+0x893/0xa70 net/bluetooth/rfcomm/sock.c:673 Read of size 4 at addr ffff8880209a8bc3 by task syz-executor632/5064 [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: smb3: missing lock when picking channel Coverity spotted a place where we should have been holding the channel lock when accessing the ses channel index. Addresses-Coverity: 1582039 ("Data race condition (MISSING_LOCK)") [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm/hugetlb: fix missing hugetlb_lock for resv uncharge There is a recent report on UFFDIO_COPY over hugetlb: https://lore.kernel.org/all/000000000000ee06de0616177560@google.com/ 350: lockdep_assert_held(&hugetlb_lock); Should be an issue in hugetlb but triggered in an userfault context, where it goes into the unlikely path where two threads modifying the resv map together. Mike has a fix in that path for resv uncharge but it looks like the locking criteria was overlooked: hugetlb_cgroup_uncharge_folio_rsvd() will update the cgroup pointer, so it requires to be called with the lock held. [NistCWE(cwe='CWE-617')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: msft: fix slab-use-after-free in msft_do_close() Tying the msft->data lifetime to hdev by freeing it in hci_release_dev() to fix the following case: [use] msft_do_close() msft = hdev->msft_data; if (!msft) ...(1) <- passed. return; mutex_lock(&msft->filter_lock); ...(4) <- used after freed. [free] msft_unregister() msft = hdev->msft_data; hdev->msft_data = NULL; ...(2) kfree(msft); ...(3) <- msft is freed. ================================================================== BUG: KASAN: slab-use-after-free in __mutex_lock_common kernel/locking/mutex.c:587 [inline] BUG: KASAN: slab-use-after-free in __mutex_lock+0x8f/0xc30 kernel/locking/mutex.c:752 Read of size 8 at addr ffff888106cbbca8 by task kworker/u5:2/309 [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/arm/malidp: fix a possible null pointer dereference In malidp_mw_connector_reset, new memory is allocated with kzalloc, but no check is performed. In order to prevent null pointer dereferencing, ensure that mw_state is checked before calling __drm_atomic_helper_connector_reset. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ppdev: Add an error check in register_device In register_device, the return value of ida_simple_get is unchecked, in witch ida_simple_get will use an invalid index value. To address this issue, index should be checked after ida_simple_get. When the index value is abnormal, a warning message should be printed, the port should be dropped, and the value should be recorded. [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: rtnetlink: Correct nested IFLA_VF_VLAN_LIST attribute validation Each attribute inside a nested IFLA_VF_VLAN_LIST is assumed to be a struct ifla_vf_vlan_info so the size of such attribute needs to be at least of sizeof(struct ifla_vf_vlan_info) which is 14 bytes. The current size validation in do_setvfinfo is against NLA_HDRLEN (4 bytes) which is less than sizeof(struct ifla_vf_vlan_info) so this validation is not enough and a too small attribute might be cast to a struct ifla_vf_vlan_info, this might result in an out of bands read access when accessing the saved (casted) entry in ivvl. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm/hugetlb: fix DEBUG_LOCKS_WARN_ON(1) when dissolve_free_hugetlb_folio() When I did memory failure tests recently, below warning occurs: DEBUG_LOCKS_WARN_ON(1) WARNING: CPU: 8 PID: 1011 at kernel/locking/lockdep.c:232 __lock_acquire+0xccb/0x1ca0 Modules linked in: mce_inject hwpoison_inject CPU: 8 PID: 1011 Comm: bash Kdump: loaded Not tainted 6.9.0-rc3-next-20240410-00012-gdb69f219f4be #3 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.14.0-0-g155821a1990b-prebuilt.qemu.org 04/01/2014 RIP: 0010:__lock_acquire+0xccb/0x1ca0 RSP: 0018:ffffa7a1c7fe3bd0 EFLAGS: 00000082 RAX: 0000000000000000 RBX: eb851eb853975fcf RCX: ffffa1ce5fc1c9c8 RDX: 00000000ffffffd8 RSI: 0000000000000027 RDI: ffffa1ce5fc1c9c0 RBP: ffffa1c6865d3280 R08: ffffffffb0f570a8 R09: 0000000000009ffb R10: 0000000000000286 R11: ffffffffb0f2ad50 R12: ffffa1c6865d3d10 R13: ffffa1c6865d3c70 R14: 0000000000000000 R15: 0000000000000004 FS: 00007ff9f32aa740(0000) GS:ffffa1ce5fc00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007ff9f3134ba0 CR3: 00000008484e4000 CR4: 00000000000006f0 Call Trace: <TASK> lock_acquire+0xbe/0x2d0 _raw_spin_lock_irqsave+0x3a/0x60 hugepage_subpool_put_pages.part.0+0xe/0xc0 free_huge_folio+0x253/0x3f0 dissolve_free_huge_page+0x147/0x210 __page_handle_poison+0x9/0x70 memory_failure+0x4e6/0x8c0 hard_offline_page_store+0x55/0xa0 kernfs_fop_write_iter+0x12c/0x1d0 vfs_write+0x380/0x540 ksys_write+0x64/0xe0 do_syscall_64+0xbc/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7ff9f3114887 RSP: 002b:00007ffecbacb458 EFLAGS: 00000246 ORIG_RAX: 0000000000000001 RAX: ffffffffffffffda RBX: 000000000000000c RCX: 00007ff9f3114887 RDX: 000000000000000c RSI: 0000564494164e10 RDI: 0000000000000001 RBP: 0000564494164e10 R08: 00007ff9f31d1460 R09: 000000007fffffff R10: 0000000000000000 R11: 0000000000000246 R12: 000000000000000c R13: 00007ff9f321b780 R14: 00007ff9f3217600 R15: 00007ff9f3216a00 </TASK> Kernel panic - not syncing: kernel: panic_on_warn set ... CPU: 8 PID: 1011 Comm: bash Kdump: loaded Not tainted 6.9.0-rc3-next-20240410-00012-gdb69f219f4be #3 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.14.0-0-g155821a1990b-prebuilt.qemu.org 04/01/2014 Call Trace: <TASK> panic+0x326/0x350 check_panic_on_warn+0x4f/0x50 __warn+0x98/0x190 report_bug+0x18e/0x1a0 handle_bug+0x3d/0x70 exc_invalid_op+0x18/0x70 asm_exc_invalid_op+0x1a/0x20 RIP: 0010:__lock_acquire+0xccb/0x1ca0 RSP: 0018:ffffa7a1c7fe3bd0 EFLAGS: 00000082 RAX: 0000000000000000 RBX: eb851eb853975fcf RCX: ffffa1ce5fc1c9c8 RDX: 00000000ffffffd8 RSI: 0000000000000027 RDI: ffffa1ce5fc1c9c0 RBP: ffffa1c6865d3280 R08: ffffffffb0f570a8 R09: 0000000000009ffb R10: 0000000000000286 R11: ffffffffb0f2ad50 R12: ffffa1c6865d3d10 R13: ffffa1c6865d3c70 R14: 0000000000000000 R15: 0000000000000004 lock_acquire+0xbe/0x2d0 _raw_spin_lock_irqsave+0x3a/0x60 hugepage_subpool_put_pages.part.0+0xe/0xc0 free_huge_folio+0x253/0x3f0 dissolve_free_huge_page+0x147/0x210 __page_handle_poison+0x9/0x70 memory_failure+0x4e6/0x8c0 hard_offline_page_store+0x55/0xa0 kernfs_fop_write_iter+0x12c/0x1d0 vfs_write+0x380/0x540 ksys_write+0x64/0xe0 do_syscall_64+0xbc/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7ff9f3114887 RSP: 002b:00007ffecbacb458 EFLAGS: 00000246 ORIG_RAX: 0000000000000001 RAX: ffffffffffffffda RBX: 000000000000000c RCX: 00007ff9f3114887 RDX: 000000000000000c RSI: 0000564494164e10 RDI: 0000000000000001 RBP: 0000564494164e10 R08: 00007ff9f31d1460 R09: 000000007fffffff R10: 0000000000000000 R11: 0000000000000246 R12: 000000000000000c R13: 00007ff9f321b780 R14: 00007ff9f3217600 R15: 00007ff9f3216a00 </TASK> After git bisecting and digging into the code, I believe the root cause is that _deferred_list field of folio is unioned with _hugetlb_subpool field. In __update_and_free_hugetlb_folio(), folio->_deferred_ ---truncated--- [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: keys: Fix overwrite of key expiration on instantiation The expiry time of a key is unconditionally overwritten during instantiation, defaulting to turn it permanent. This causes a problem for DNS resolution as the expiration set by user-space is overwritten to TIME64_MAX, disabling further DNS updates. Fix this by restoring the condition that key_set_expiry is only called when the pre-parser sets a specific expiry. [NistCWE(cwe='CWE-324')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: qca: fix info leak when fetching board id Add the missing sanity check when fetching the board id to avoid leaking slab data when later requesting the firmware. [NistCWE(cwe='CWE-668')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/sched: taprio: extend minimum interval restriction to entire cycle too It is possible for syzbot to side-step the restriction imposed by the blamed commit in the Fixes: tag, because the taprio UAPI permits a cycle-time different from (and potentially shorter than) the sum of entry intervals. We need one more restriction, which is that the cycle time itself must be larger than N * ETH_ZLEN bit times, where N is the number of schedule entries. This restriction needs to apply regardless of whether the cycle time came from the user or was the implicit, auto-calculated value, so we move the existing "cycle == 0" check outside the "if "(!new->cycle_time)" branch. This way covers both conditions and scenarios. Add a selftest which illustrates the issue triggered by syzbot. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: nfnetlink_queue: acquire rcu_read_lock() in instance_destroy_rcu() syzbot reported that nf_reinject() could be called without rcu_read_lock() : WARNING: suspicious RCU usage 6.9.0-rc7-syzkaller-02060-g5c1672705a1a #0 Not tainted net/netfilter/nfnetlink_queue.c:263 suspicious rcu_dereference_check() usage! other info that might help us debug this: rcu_scheduler_active = 2, debug_locks = 1 2 locks held by syz-executor.4/13427: #0: ffffffff8e334f60 (rcu_callback){....}-{0:0}, at: rcu_lock_acquire include/linux/rcupdate.h:329 [inline] #0: ffffffff8e334f60 (rcu_callback){....}-{0:0}, at: rcu_do_batch kernel/rcu/tree.c:2190 [inline] #0: ffffffff8e334f60 (rcu_callback){....}-{0:0}, at: rcu_core+0xa86/0x1830 kernel/rcu/tree.c:2471 #1: ffff88801ca92958 (&inst->lock){+.-.}-{2:2}, at: spin_lock_bh include/linux/spinlock.h:356 [inline] #1: ffff88801ca92958 (&inst->lock){+.-.}-{2:2}, at: nfqnl_flush net/netfilter/nfnetlink_queue.c:405 [inline] #1: ffff88801ca92958 (&inst->lock){+.-.}-{2:2}, at: instance_destroy_rcu+0x30/0x220 net/netfilter/nfnetlink_queue.c:172 stack backtrace: CPU: 0 PID: 13427 Comm: syz-executor.4 Not tainted 6.9.0-rc7-syzkaller-02060-g5c1672705a1a #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 04/02/2024 Call Trace: <IRQ> __dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:114 lockdep_rcu_suspicious+0x221/0x340 kernel/locking/lockdep.c:6712 nf_reinject net/netfilter/nfnetlink_queue.c:323 [inline] nfqnl_reinject+0x6ec/0x1120 net/netfilter/nfnetlink_queue.c:397 nfqnl_flush net/netfilter/nfnetlink_queue.c:410 [inline] instance_destroy_rcu+0x1ae/0x220 net/netfilter/nfnetlink_queue.c:172 rcu_do_batch kernel/rcu/tree.c:2196 [inline] rcu_core+0xafd/0x1830 kernel/rcu/tree.c:2471 handle_softirqs+0x2d6/0x990 kernel/softirq.c:554 __do_softirq kernel/softirq.c:588 [inline] invoke_softirq kernel/softirq.c:428 [inline] __irq_exit_rcu+0xf4/0x1c0 kernel/softirq.c:637 irq_exit_rcu+0x9/0x30 kernel/softirq.c:649 instr_sysvec_apic_timer_interrupt arch/x86/kernel/apic/apic.c:1043 [inline] sysvec_apic_timer_interrupt+0xa6/0xc0 arch/x86/kernel/apic/apic.c:1043 </IRQ> <TASK> [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: SUNRPC: Fix loop termination condition in gss_free_in_token_pages() The in_token->pages[] array is not NULL terminated. This results in the following KASAN splat: KASAN: maybe wild-memory-access in range [0x04a2013400000008-0x04a201340000000f] [NistCWE(cwe='CWE-835')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 apache2 Serving WebSocket protocol upgrades over a HTTP/2 connection could result in a Null Pointer dereference, leading to a crash of the server process, degrading performance. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L', score=5.4) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 zabbix The front-end audit log allows viewing of unprotected plaintext passwords, where the passwords are displayed in plain text. [NistCWE(cwe='CWE-256'), NistCWE(cwe='CWE-522')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N', score=8.1) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix Within Zabbix, users have the ability to directly modify memory pointers in the JavaScript engine. [NistCWE(cwe='CWE-822')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H', score=9.1) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix The implementation of atob in "Zabbix JS" allows to create a string with arbitrary content and use it to access internal properties of objects. [NistCWE(cwe='CWE-767')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix A bug in the code allows an attacker to sign a forged zbx_session cookie, which then allows them to sign in with admin permissions. [NistCWE(cwe='CWE-290')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix An authenticated user with API access (e.g.: user with default User role), more specifically a user with access to the user.update API endpoint is enough to be able to add themselves to any group (e.g.: Zabbix Administrators), except to groups that are disabled or having restricted GUI access. [NistCWE(cwe='CWE-285')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/rtrs: Ensure 'ib_sge list' is accessible Move the declaration of the 'ib_sge list' variable outside the 'always_invalidate' block to ensure it remains accessible for use throughout the function. Previously, 'ib_sge list' was declared within the 'always_invalidate' block, limiting its accessibility, then caused a 'BUG: kernel NULL pointer dereference'[1]. ? __die_body.cold+0x19/0x27 ? page_fault_oops+0x15a/0x2d0 ? search_module_extables+0x19/0x60 ? search_bpf_extables+0x5f/0x80 ? exc_page_fault+0x7e/0x180 ? asm_exc_page_fault+0x26/0x30 ? memcpy_orig+0xd5/0x140 rxe_mr_copy+0x1c3/0x200 [rdma_rxe] ? rxe_pool_get_index+0x4b/0x80 [rdma_rxe] copy_data+0xa5/0x230 [rdma_rxe] rxe_requester+0xd9b/0xf70 [rdma_rxe] ? finish_task_switch.isra.0+0x99/0x2e0 rxe_sender+0x13/0x40 [rdma_rxe] do_task+0x68/0x1e0 [rdma_rxe] process_one_work+0x177/0x330 worker_thread+0x252/0x390 ? __pfx_worker_thread+0x10/0x10 This change ensures the variable is available for subsequent operations that require it. [1] https://lore.kernel.org/linux-rdma/6a1f3e8f-deb0-49f9-bc69-a9b03ecfcda7@fujitsu.com/ [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fpga: bridge: add owner module and take its refcount The current implementation of the fpga bridge assumes that the low-level module registers a driver for the parent device and uses its owner pointer to take the module's refcount. This approach is problematic since it can lead to a null pointer dereference while attempting to get the bridge if the parent device does not have a driver. To address this problem, add a module owner pointer to the fpga_bridge struct and use it to take the module's refcount. Modify the function for registering a bridge to take an additional owner module parameter and rename it to avoid conflicts. Use the old function name for a helper macro that automatically sets the module that registers the bridge as the owner. This ensures compatibility with existing low-level control modules and reduces the chances of registering a bridge without setting the owner. Also, update the documentation to keep it consistent with the new interface for registering an fpga bridge. Other changes: opportunistically move put_device() from __fpga_bridge_get() to fpga_bridge_get() and of_fpga_bridge_get() to improve code clarity since the bridge device is taken in these functions. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: relax socket state check at accept time. Christoph reported the following splat: WARNING: CPU: 1 PID: 772 at net/ipv4/af_inet.c:761 __inet_accept+0x1f4/0x4a0 Modules linked in: CPU: 1 PID: 772 Comm: syz-executor510 Not tainted 6.9.0-rc7-g7da7119fe22b #56 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.11.0-2.el7 04/01/2014 RIP: 0010:__inet_accept+0x1f4/0x4a0 net/ipv4/af_inet.c:759 Code: 04 38 84 c0 0f 85 87 00 00 00 41 c7 04 24 03 00 00 00 48 83 c4 10 5b 41 5c 41 5d 41 5e 41 5f 5d c3 cc cc cc cc e8 ec b7 da fd <0f> 0b e9 7f fe ff ff e8 e0 b7 da fd 0f 0b e9 fe fe ff ff 89 d9 80 RSP: 0018:ffffc90000c2fc58 EFLAGS: 00010293 RAX: ffffffff836bdd14 RBX: 0000000000000000 RCX: ffff888104668000 RDX: 0000000000000000 RSI: 0000000000000000 RDI: 0000000000000000 RBP: dffffc0000000000 R08: ffffffff836bdb89 R09: fffff52000185f64 R10: dffffc0000000000 R11: fffff52000185f64 R12: dffffc0000000000 R13: 1ffff92000185f98 R14: ffff88810754d880 R15: ffff8881007b7800 FS: 000000001c772880(0000) GS:ffff88811b280000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fb9fcf2e178 CR3: 00000001045d2002 CR4: 0000000000770ef0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 PKRU: 55555554 Call Trace: <TASK> inet_accept+0x138/0x1d0 net/ipv4/af_inet.c:786 do_accept+0x435/0x620 net/socket.c:1929 __sys_accept4_file net/socket.c:1969 [inline] __sys_accept4+0x9b/0x110 net/socket.c:1999 __do_sys_accept net/socket.c:2016 [inline] __se_sys_accept net/socket.c:2013 [inline] __x64_sys_accept+0x7d/0x90 net/socket.c:2013 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0x58/0x100 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x76/0x7e RIP: 0033:0x4315f9 Code: fd ff 48 81 c4 80 00 00 00 e9 f1 fe ff ff 0f 1f 00 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 0f 83 ab b4 fd ff c3 66 2e 0f 1f 84 00 00 00 00 RSP: 002b:00007ffdb26d9c78 EFLAGS: 00000246 ORIG_RAX: 000000000000002b RAX: ffffffffffffffda RBX: 0000000000400300 RCX: 00000000004315f9 RDX: 0000000000000000 RSI: 0000000000000000 RDI: 0000000000000004 RBP: 00000000006e1018 R08: 0000000000400300 R09: 0000000000400300 R10: 0000000000400300 R11: 0000000000000246 R12: 0000000000000000 R13: 000000000040cdf0 R14: 000000000040ce80 R15: 0000000000000055 </TASK> The reproducer invokes shutdown() before entering the listener status. After commit 94062790aedb ("tcp: defer shutdown(SEND_SHUTDOWN) for TCP_SYN_RECV sockets"), the above causes the child to reach the accept syscall in FIN_WAIT1 status. Eric noted we can relax the existing assertion in __inet_accept() [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tls: fix missing memory barrier in tls_init In tls_init(), a write memory barrier is missing, and store-store reordering may cause NULL dereference in tls_{setsockopt,getsockopt}. CPU0 CPU1 ----- ----- // In tls_init() // In tls_ctx_create() ctx = kzalloc() ctx->sk_proto = READ_ONCE(sk->sk_prot) -(1) // In update_sk_prot() WRITE_ONCE(sk->sk_prot, tls_prots) -(2) // In sock_common_setsockopt() READ_ONCE(sk->sk_prot)->setsockopt() // In tls_{setsockopt,getsockopt}() ctx->sk_proto->setsockopt() -(3) In the above scenario, when (1) and (2) are reordered, (3) can observe the NULL value of ctx->sk_proto, causing NULL dereference. To fix it, we rely on rcu_assign_pointer() which implies the release barrier semantic. By moving rcu_assign_pointer() after ctx->sk_proto is initialized, we can ensure that ctx->sk_proto are visible when changing sk->sk_prot. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 python-idna A vulnerability was identified in the kjd/idna library, specifically within the `idna.encode()` function, affecting version 3.6. The issue arises from the function's handling of crafted input strings, which can lead to quadratic complexity and consequently, a denial of service condition. This vulnerability is triggered by a crafted input that causes the `idna.encode()` function to process the input with considerable computational load, significantly increasing the processing time in a quadratic manner relative to the input size. [NistCWE(cwe='CWE-1333')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) - Использовать ПО python-idna только на низком или отдельно выделенном уровне целостности - При использовании ПО python-idna выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска python-idna только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 ffmpeg FFmpeg n6.1.1 has a vulnerability in the AVI demuxer of the libavformat library which allows for an integer overflow, potentially resulting in a denial-of-service (DoS) condition. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm: use memalloc_nofs_save() in page_cache_ra_order() See commit f2c817bed58d ("mm: use memalloc_nofs_save in readahead path"), ensure that page_cache_ra_order() do not attempt to reclaim file-backed pages too, or it leads to a deadlock, found issue when test ext4 large folio. INFO: task DataXceiver for:7494 blocked for more than 120 seconds. "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" disables this message. task:DataXceiver for state:D stack:0 pid:7494 ppid:1 flags:0x00000200 Call trace: __switch_to+0x14c/0x240 __schedule+0x82c/0xdd0 schedule+0x58/0xf0 io_schedule+0x24/0xa0 __folio_lock+0x130/0x300 migrate_pages_batch+0x378/0x918 migrate_pages+0x350/0x700 compact_zone+0x63c/0xb38 compact_zone_order+0xc0/0x118 try_to_compact_pages+0xb0/0x280 __alloc_pages_direct_compact+0x98/0x248 __alloc_pages+0x510/0x1110 alloc_pages+0x9c/0x130 folio_alloc+0x20/0x78 filemap_alloc_folio+0x8c/0x1b0 page_cache_ra_order+0x174/0x308 ondemand_readahead+0x1c8/0x2b8 page_cache_async_ra+0x68/0xb8 filemap_readahead.isra.0+0x64/0xa8 filemap_get_pages+0x3fc/0x5b0 filemap_splice_read+0xf4/0x280 ext4_file_splice_read+0x2c/0x48 [ext4] vfs_splice_read.part.0+0xa8/0x118 splice_direct_to_actor+0xbc/0x288 do_splice_direct+0x9c/0x108 do_sendfile+0x328/0x468 __arm64_sys_sendfile64+0x8c/0x148 invoke_syscall+0x4c/0x118 el0_svc_common.constprop.0+0xc8/0xf0 do_el0_svc+0x24/0x38 el0_svc+0x4c/0x1f8 el0t_64_sync_handler+0xc0/0xc8 el0t_64_sync+0x188/0x190 [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: fix out-of-bounds access in ops_init net_alloc_generic is called by net_alloc, which is called without any locking. It reads max_gen_ptrs, which is changed under pernet_ops_rwsem. It is read twice, first to allocate an array, then to set s.len, which is later used to limit the bounds of the array access. It is possible that the array is allocated and another thread is registering a new pernet ops, increments max_gen_ptrs, which is then used to set s.len with a larger than allocated length for the variable array. Fix it by reading max_gen_ptrs only once in net_alloc_generic. If max_gen_ptrs is later incremented, it will be caught in net_assign_generic. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tipc: fix UAF in error path Sam Page (sam4k) working with Trend Micro Zero Day Initiative reported a UAF in the tipc_buf_append() error path: BUG: KASAN: slab-use-after-free in kfree_skb_list_reason+0x47e/0x4c0 linux/net/core/skbuff.c:1183 Read of size 8 at addr ffff88804d2a7c80 by task poc/8034 CPU: 1 PID: 8034 Comm: poc Not tainted 6.8.2 #1 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.0-debian-1.16.0-5 04/01/2014 Call Trace: <IRQ> __dump_stack linux/lib/dump_stack.c:88 dump_stack_lvl+0xd9/0x1b0 linux/lib/dump_stack.c:106 print_address_description linux/mm/kasan/report.c:377 print_report+0xc4/0x620 linux/mm/kasan/report.c:488 kasan_report+0xda/0x110 linux/mm/kasan/report.c:601 kfree_skb_list_reason+0x47e/0x4c0 linux/net/core/skbuff.c:1183 skb_release_data+0x5af/0x880 linux/net/core/skbuff.c:1026 skb_release_all linux/net/core/skbuff.c:1094 __kfree_skb linux/net/core/skbuff.c:1108 kfree_skb_reason+0x12d/0x210 linux/net/core/skbuff.c:1144 kfree_skb linux/./include/linux/skbuff.h:1244 tipc_buf_append+0x425/0xb50 linux/net/tipc/msg.c:186 tipc_link_input+0x224/0x7c0 linux/net/tipc/link.c:1324 tipc_link_rcv+0x76e/0x2d70 linux/net/tipc/link.c:1824 tipc_rcv+0x45f/0x10f0 linux/net/tipc/node.c:2159 tipc_udp_recv+0x73b/0x8f0 linux/net/tipc/udp_media.c:390 udp_queue_rcv_one_skb+0xad2/0x1850 linux/net/ipv4/udp.c:2108 udp_queue_rcv_skb+0x131/0xb00 linux/net/ipv4/udp.c:2186 udp_unicast_rcv_skb+0x165/0x3b0 linux/net/ipv4/udp.c:2346 __udp4_lib_rcv+0x2594/0x3400 linux/net/ipv4/udp.c:2422 ip_protocol_deliver_rcu+0x30c/0x4e0 linux/net/ipv4/ip_input.c:205 ip_local_deliver_finish+0x2e4/0x520 linux/net/ipv4/ip_input.c:233 NF_HOOK linux/./include/linux/netfilter.h:314 NF_HOOK linux/./include/linux/netfilter.h:308 ip_local_deliver+0x18e/0x1f0 linux/net/ipv4/ip_input.c:254 dst_input linux/./include/net/dst.h:461 ip_rcv_finish linux/net/ipv4/ip_input.c:449 NF_HOOK linux/./include/linux/netfilter.h:314 NF_HOOK linux/./include/linux/netfilter.h:308 ip_rcv+0x2c5/0x5d0 linux/net/ipv4/ip_input.c:569 __netif_receive_skb_one_core+0x199/0x1e0 linux/net/core/dev.c:5534 __netif_receive_skb+0x1f/0x1c0 linux/net/core/dev.c:5648 process_backlog+0x101/0x6b0 linux/net/core/dev.c:5976 __napi_poll.constprop.0+0xba/0x550 linux/net/core/dev.c:6576 napi_poll linux/net/core/dev.c:6645 net_rx_action+0x95a/0xe90 linux/net/core/dev.c:6781 __do_softirq+0x21f/0x8e7 linux/kernel/softirq.c:553 do_softirq linux/kernel/softirq.c:454 do_softirq+0xb2/0xf0 linux/kernel/softirq.c:441 </IRQ> <TASK> __local_bh_enable_ip+0x100/0x120 linux/kernel/softirq.c:381 local_bh_enable linux/./include/linux/bottom_half.h:33 rcu_read_unlock_bh linux/./include/linux/rcupdate.h:851 __dev_queue_xmit+0x871/0x3ee0 linux/net/core/dev.c:4378 dev_queue_xmit linux/./include/linux/netdevice.h:3169 neigh_hh_output linux/./include/net/neighbour.h:526 neigh_output linux/./include/net/neighbour.h:540 ip_finish_output2+0x169f/0x2550 linux/net/ipv4/ip_output.c:235 __ip_finish_output linux/net/ipv4/ip_output.c:313 __ip_finish_output+0x49e/0x950 linux/net/ipv4/ip_output.c:295 ip_finish_output+0x31/0x310 linux/net/ipv4/ip_output.c:323 NF_HOOK_COND linux/./include/linux/netfilter.h:303 ip_output+0x13b/0x2a0 linux/net/ipv4/ip_output.c:433 dst_output linux/./include/net/dst.h:451 ip_local_out linux/net/ipv4/ip_output.c:129 ip_send_skb+0x3e5/0x560 linux/net/ipv4/ip_output.c:1492 udp_send_skb+0x73f/0x1530 linux/net/ipv4/udp.c:963 udp_sendmsg+0x1a36/0x2b40 linux/net/ipv4/udp.c:1250 inet_sendmsg+0x105/0x140 linux/net/ipv4/af_inet.c:850 sock_sendmsg_nosec linux/net/socket.c:730 __sock_sendmsg linux/net/socket.c:745 __sys_sendto+0x42c/0x4e0 linux/net/socket.c:2191 __do_sys_sendto linux/net/socket.c:2203 __se_sys_sendto linux/net/socket.c:2199 __x64_sys_sendto+0xe0/0x1c0 linux/net/socket.c:2199 do_syscall_x64 linux/arch/x86/entry/common.c:52 do_syscall_ ---truncated--- [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mptcp: ensure snd_nxt is properly initialized on connect Christoph reported a splat hinting at a corrupted snd_una: WARNING: CPU: 1 PID: 38 at net/mptcp/protocol.c:1005 __mptcp_clean_una+0x4b3/0x620 net/mptcp/protocol.c:1005 Modules linked in: CPU: 1 PID: 38 Comm: kworker/1:1 Not tainted 6.9.0-rc1-gbbeac67456c9 #59 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.11.0-2.el7 04/01/2014 Workqueue: events mptcp_worker RIP: 0010:__mptcp_clean_una+0x4b3/0x620 net/mptcp/protocol.c:1005 Code: be 06 01 00 00 bf 06 01 00 00 e8 a8 12 e7 fe e9 00 fe ff ff e8 8e 1a e7 fe 0f b7 ab 3e 02 00 00 e9 d3 fd ff ff e8 7d 1a e7 fe <0f> 0b 4c 8b bb e0 05 00 00 e9 74 fc ff ff e8 6a 1a e7 fe 0f 0b e9 RSP: 0018:ffffc9000013fd48 EFLAGS: 00010293 RAX: 0000000000000000 RBX: ffff8881029bd280 RCX: ffffffff82382fe4 RDX: ffff8881003cbd00 RSI: ffffffff823833c3 RDI: 0000000000000001 RBP: 0000000000000000 R08: 0000000000000001 R09: 0000000000000000 R10: 0000000000000000 R11: fefefefefefefeff R12: ffff888138ba8000 R13: 0000000000000106 R14: ffff8881029bd908 R15: ffff888126560000 FS: 0000000000000000(0000) GS:ffff88813bd00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f604a5dae38 CR3: 0000000101dac002 CR4: 0000000000170ef0 Call Trace: <TASK> __mptcp_clean_una_wakeup net/mptcp/protocol.c:1055 [inline] mptcp_clean_una_wakeup net/mptcp/protocol.c:1062 [inline] __mptcp_retrans+0x7f/0x7e0 net/mptcp/protocol.c:2615 mptcp_worker+0x434/0x740 net/mptcp/protocol.c:2767 process_one_work+0x1e0/0x560 kernel/workqueue.c:3254 process_scheduled_works kernel/workqueue.c:3335 [inline] worker_thread+0x3c7/0x640 kernel/workqueue.c:3416 kthread+0x121/0x170 kernel/kthread.c:388 ret_from_fork+0x44/0x50 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:243 </TASK> When fallback to TCP happens early on a client socket, snd_nxt is not yet initialized and any incoming ack will copy such value into snd_una. If the mptcp worker (dumbly) tries mptcp-level re-injection after such ack, that would unconditionally trigger a send buffer cleanup using 'bad' snd_una values. We could easily disable re-injection for fallback sockets, but such dumb behavior already helped catching a few subtle issues and a very low to zero impact in practice. Instead address the issue always initializing snd_nxt (and write_seq, for consistency) at connect time. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm/slab: make __free(kfree) accept error pointers Currently, if an automatically freed allocation is an error pointer that will lead to a crash. An example of this is in wm831x_gpio_dbg_show(). 171 char *label __free(kfree) = gpiochip_dup_line_label(chip, i); 172 if (IS_ERR(label)) { 173 dev_err(wm831x->dev, "Failed to duplicate label\n"); 174 continue; 175 } The auto clean up function should check for error pointers as well, otherwise we're going to keep hitting issues like this. [NistCWE(cwe='CWE-763')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: maple_tree: fix mas_empty_area_rev() null pointer dereference Currently the code calls mas_start() followed by mas_data_end() if the maple state is MA_START, but mas_start() may return with the maple state node == NULL. This will lead to a null pointer dereference when checking information in the NULL node, which is done in mas_data_end(). Avoid setting the offset if there is no node by waiting until after the maple state is checked for an empty or single entry state. A user could trigger the events to cause a kernel oops by unmapping all vmas to produce an empty maple tree, then mapping a vma that would cause the scenario described above. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: usb: gadget: f_fs: Fix race between aio_cancel() and AIO request complete FFS based applications can utilize the aio_cancel() callback to dequeue pending USB requests submitted to the UDC. There is a scenario where the FFS application issues an AIO cancel call, while the UDC is handling a soft disconnect. For a DWC3 based implementation, the callstack looks like the following: DWC3 Gadget FFS Application dwc3_gadget_soft_disconnect() ... --> dwc3_stop_active_transfers() --> dwc3_gadget_giveback(-ESHUTDOWN) --> ffs_epfile_async_io_complete() ffs_aio_cancel() --> usb_ep_free_request() --> usb_ep_dequeue() There is currently no locking implemented between the AIO completion handler and AIO cancel, so the issue occurs if the completion routine is running in parallel to an AIO cancel call coming from the FFS application. As the completion call frees the USB request (io_data->req) the FFS application is also referencing it for the usb_ep_dequeue() call. This can lead to accessing a stale/hanging pointer. commit b566d38857fc ("usb: gadget: f_fs: use io_data->status consistently") relocated the usb_ep_free_request() into ffs_epfile_async_io_complete(). However, in order to properly implement locking to mitigate this issue, the spinlock can't be added to ffs_epfile_async_io_complete(), as usb_ep_dequeue() (if successfully dequeuing a USB request) will call the function driver's completion handler in the same context. Hence, leading into a deadlock. Fix this issue by moving the usb_ep_free_request() back to ffs_user_copy_worker(), and ensuring that it explicitly sets io_data->req to NULL after freeing it within the ffs->eps_lock. This resolves the race condition above, as the ffs_aio_cancel() routine will not continue attempting to dequeue a request that has already been freed, or the ffs_user_copy_work() not freeing the USB request until the AIO cancel is done referencing it. This fix depends on commit b566d38857fc ("usb: gadget: f_fs: use io_data->status consistently") [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:P/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:H', score=5.6) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: USB: core: Fix access violation during port device removal Testing with KASAN and syzkaller revealed a bug in port.c:disable_store(): usb_hub_to_struct_hub() can return NULL if the hub that the port belongs to is concurrently removed, but the function does not check for this possibility before dereferencing the returned value. It turns out that the first dereference is unnecessary, since hub->intfdev is the parent of the port device, so it can be changed easily. Adding a check for hub == NULL prevents further problems. The same bug exists in the disable_show() routine, and it can be fixed the same way. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H', score=9.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Atom Integrated System Info v2_2 for DCN35 New request from KMD/VBIOS in order to support new UMA carveout model. This fixes a null dereference from accessing Ctx->dc_bios->integrated_info while it was NULL. DAL parses through the BIOS and extracts the necessary integrated_info but was missing a case for the new BIOS version 2.3. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: gpiolib: cdev: fix uninitialised kfifo If a line is requested with debounce, and that results in debouncing in software, and the line is subsequently reconfigured to enable edge detection then the allocation of the kfifo to contain edge events is overlooked. This results in events being written to and read from an uninitialised kfifo. Read events are returned to userspace. Initialise the kfifo in the case where the software debounce is already active. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ipv6: prevent NULL dereference in ip6_output() According to syzbot, there is a chance that ip6_dst_idev() returns NULL in ip6_output(). Most places in IPv6 stack deal with a NULL idev just fine, but not here. syzbot reported: general protection fault, probably for non-canonical address 0xdffffc00000000bc: 0000 [#1] PREEMPT SMP KASAN PTI KASAN: null-ptr-deref in range [0x00000000000005e0-0x00000000000005e7] CPU: 0 PID: 9775 Comm: syz-executor.4 Not tainted 6.9.0-rc5-syzkaller-00157-g6a30653b604a #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 03/27/2024 RIP: 0010:ip6_output+0x231/0x3f0 net/ipv6/ip6_output.c:237 Code: 3c 1e 00 49 89 df 74 08 4c 89 ef e8 19 58 db f7 48 8b 44 24 20 49 89 45 00 49 89 c5 48 8d 9d e0 05 00 00 48 89 d8 48 c1 e8 03 <42> 0f b6 04 38 84 c0 4c 8b 74 24 28 0f 85 61 01 00 00 8b 1b 31 ff RSP: 0018:ffffc9000927f0d8 EFLAGS: 00010202 RAX: 00000000000000bc RBX: 00000000000005e0 RCX: 0000000000040000 RDX: ffffc900131f9000 RSI: 0000000000004f47 RDI: 0000000000004f48 RBP: 0000000000000000 R08: ffffffff8a1f0b9a R09: 1ffffffff1f51fad R10: dffffc0000000000 R11: fffffbfff1f51fae R12: ffff8880293ec8c0 R13: ffff88805d7fc000 R14: 1ffff1100527d91a R15: dffffc0000000000 FS: 00007f135c6856c0(0000) GS:ffff8880b9400000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000020000080 CR3: 0000000064096000 CR4: 00000000003506f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> NF_HOOK include/linux/netfilter.h:314 [inline] ip6_xmit+0xefe/0x17f0 net/ipv6/ip6_output.c:358 sctp_v6_xmit+0x9f2/0x13f0 net/sctp/ipv6.c:248 sctp_packet_transmit+0x26ad/0x2ca0 net/sctp/output.c:653 sctp_packet_singleton+0x22c/0x320 net/sctp/outqueue.c:783 sctp_outq_flush_ctrl net/sctp/outqueue.c:914 [inline] sctp_outq_flush+0x6d5/0x3e20 net/sctp/outqueue.c:1212 sctp_side_effects net/sctp/sm_sideeffect.c:1198 [inline] sctp_do_sm+0x59cc/0x60c0 net/sctp/sm_sideeffect.c:1169 sctp_primitive_ASSOCIATE+0x95/0xc0 net/sctp/primitive.c:73 __sctp_connect+0x9cd/0xe30 net/sctp/socket.c:1234 sctp_connect net/sctp/socket.c:4819 [inline] sctp_inet_connect+0x149/0x1f0 net/sctp/socket.c:4834 __sys_connect_file net/socket.c:2048 [inline] __sys_connect+0x2df/0x310 net/socket.c:2065 __do_sys_connect net/socket.c:2075 [inline] __se_sys_connect net/socket.c:2072 [inline] __x64_sys_connect+0x7a/0x90 net/socket.c:2072 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf5/0x240 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ipv6: fib6_rules: avoid possible NULL dereference in fib6_rule_action() syzbot is able to trigger the following crash [1], caused by unsafe ip6_dst_idev() use. Indeed ip6_dst_idev() can return NULL, and must always be checked. [1] Oops: general protection fault, probably for non-canonical address 0xdffffc0000000000: 0000 [#1] PREEMPT SMP KASAN PTI KASAN: null-ptr-deref in range [0x0000000000000000-0x0000000000000007] CPU: 0 PID: 31648 Comm: syz-executor.0 Not tainted 6.9.0-rc4-next-20240417-syzkaller #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 03/27/2024 RIP: 0010:__fib6_rule_action net/ipv6/fib6_rules.c:237 [inline] RIP: 0010:fib6_rule_action+0x241/0x7b0 net/ipv6/fib6_rules.c:267 Code: 02 00 00 49 8d 9f d8 00 00 00 48 89 d8 48 c1 e8 03 42 80 3c 20 00 74 08 48 89 df e8 f9 32 bf f7 48 8b 1b 48 89 d8 48 c1 e8 03 <42> 80 3c 20 00 74 08 48 89 df e8 e0 32 bf f7 4c 8b 03 48 89 ef 4c RSP: 0018:ffffc9000fc1f2f0 EFLAGS: 00010246 RAX: 0000000000000000 RBX: 0000000000000000 RCX: 1a772f98c8186700 RDX: 0000000000000003 RSI: ffffffff8bcac4e0 RDI: ffffffff8c1f9760 RBP: ffff8880673fb980 R08: ffffffff8fac15ef R09: 1ffffffff1f582bd R10: dffffc0000000000 R11: fffffbfff1f582be R12: dffffc0000000000 R13: 0000000000000080 R14: ffff888076509000 R15: ffff88807a029a00 FS: 00007f55e82ca6c0(0000) GS:ffff8880b9400000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000001b31d23000 CR3: 0000000022b66000 CR4: 00000000003506f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> fib_rules_lookup+0x62c/0xdb0 net/core/fib_rules.c:317 fib6_rule_lookup+0x1fd/0x790 net/ipv6/fib6_rules.c:108 ip6_route_output_flags_noref net/ipv6/route.c:2637 [inline] ip6_route_output_flags+0x38e/0x610 net/ipv6/route.c:2649 ip6_route_output include/net/ip6_route.h:93 [inline] ip6_dst_lookup_tail+0x189/0x11a0 net/ipv6/ip6_output.c:1120 ip6_dst_lookup_flow+0xb9/0x180 net/ipv6/ip6_output.c:1250 sctp_v6_get_dst+0x792/0x1e20 net/sctp/ipv6.c:326 sctp_transport_route+0x12c/0x2e0 net/sctp/transport.c:455 sctp_assoc_add_peer+0x614/0x15c0 net/sctp/associola.c:662 sctp_connect_new_asoc+0x31d/0x6c0 net/sctp/socket.c:1099 __sctp_connect+0x66d/0xe30 net/sctp/socket.c:1197 sctp_connect net/sctp/socket.c:4819 [inline] sctp_inet_connect+0x149/0x1f0 net/sctp/socket.c:4834 __sys_connect_file net/socket.c:2048 [inline] __sys_connect+0x2df/0x310 net/socket.c:2065 __do_sys_connect net/socket.c:2075 [inline] __se_sys_connect net/socket.c:2072 [inline] __x64_sys_connect+0x7a/0x90 net/socket.c:2072 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf5/0x240 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tcp: Use refcount_inc_not_zero() in tcp_twsk_unique(). Anderson Nascimento reported a use-after-free splat in tcp_twsk_unique() with nice analysis. Since commit ec94c2696f0b ("tcp/dccp: avoid one atomic operation for timewait hashdance"), inet_twsk_hashdance() sets TIME-WAIT socket's sk_refcnt after putting it into ehash and releasing the bucket lock. Thus, there is a small race window where other threads could try to reuse the port during connect() and call sock_hold() in tcp_twsk_unique() for the TIME-WAIT socket with zero refcnt. If that happens, the refcnt taken by tcp_twsk_unique() is overwritten and sock_put() will cause underflow, triggering a real use-after-free somewhere else. To avoid the use-after-free, we need to use refcount_inc_not_zero() in tcp_twsk_unique() and give up on reusing the port if it returns false. [0]: refcount_t: addition on 0; use-after-free. WARNING: CPU: 0 PID: 1039313 at lib/refcount.c:25 refcount_warn_saturate+0xe5/0x110 CPU: 0 PID: 1039313 Comm: trigger Not tainted 6.8.6-200.fc39.x86_64 #1 Hardware name: VMware, Inc. VMware20,1/440BX Desktop Reference Platform, BIOS VMW201.00V.21805430.B64.2305221830 05/22/2023 RIP: 0010:refcount_warn_saturate+0xe5/0x110 Code: 42 8e ff 0f 0b c3 cc cc cc cc 80 3d aa 13 ea 01 00 0f 85 5e ff ff ff 48 c7 c7 f8 8e b7 82 c6 05 96 13 ea 01 01 e8 7b 42 8e ff <0f> 0b c3 cc cc cc cc 48 c7 c7 50 8f b7 82 c6 05 7a 13 ea 01 01 e8 RSP: 0018:ffffc90006b43b60 EFLAGS: 00010282 RAX: 0000000000000000 RBX: ffff888009bb3ef0 RCX: 0000000000000027 RDX: ffff88807be218c8 RSI: 0000000000000001 RDI: ffff88807be218c0 RBP: 0000000000069d70 R08: 0000000000000000 R09: ffffc90006b439f0 R10: ffffc90006b439e8 R11: 0000000000000003 R12: ffff8880029ede84 R13: 0000000000004e20 R14: ffffffff84356dc0 R15: ffff888009bb3ef0 FS: 00007f62c10926c0(0000) GS:ffff88807be00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000020ccb000 CR3: 000000004628c005 CR4: 0000000000f70ef0 PKRU: 55555554 Call Trace: <TASK> ? refcount_warn_saturate+0xe5/0x110 ? __warn+0x81/0x130 ? refcount_warn_saturate+0xe5/0x110 ? report_bug+0x171/0x1a0 ? refcount_warn_saturate+0xe5/0x110 ? handle_bug+0x3c/0x80 ? exc_invalid_op+0x17/0x70 ? asm_exc_invalid_op+0x1a/0x20 ? refcount_warn_saturate+0xe5/0x110 tcp_twsk_unique+0x186/0x190 __inet_check_established+0x176/0x2d0 __inet_hash_connect+0x74/0x7d0 ? __pfx___inet_check_established+0x10/0x10 tcp_v4_connect+0x278/0x530 __inet_stream_connect+0x10f/0x3d0 inet_stream_connect+0x3a/0x60 __sys_connect+0xa8/0xd0 __x64_sys_connect+0x18/0x20 do_syscall_64+0x83/0x170 entry_SYSCALL_64_after_hwframe+0x78/0x80 RIP: 0033:0x7f62c11a885d Code: ff c3 66 2e 0f 1f 84 00 00 00 00 00 90 f3 0f 1e fa 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 8b 0d a3 45 0c 00 f7 d8 64 89 01 48 RSP: 002b:00007f62c1091e58 EFLAGS: 00000296 ORIG_RAX: 000000000000002a RAX: ffffffffffffffda RBX: 0000000020ccb004 RCX: 00007f62c11a885d RDX: 0000000000000010 RSI: 0000000020ccb000 RDI: 0000000000000003 RBP: 00007f62c1091e90 R08: 0000000000000000 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000296 R12: 00007f62c10926c0 R13: ffffffffffffff88 R14: 0000000000000000 R15: 00007ffe237885b0 </TASK> [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ARM: 9381/1: kasan: clear stale stack poison We found below OOB crash: [ 33.452494] ================================================================== [ 33.453513] BUG: KASAN: stack-out-of-bounds in refresh_cpu_vm_stats.constprop.0+0xcc/0x2ec [ 33.454660] Write of size 164 at addr c1d03d30 by task swapper/0/0 [ 33.455515] [ 33.455767] CPU: 0 PID: 0 Comm: swapper/0 Tainted: G O 6.1.25-mainline #1 [ 33.456880] Hardware name: Generic DT based system [ 33.457555] unwind_backtrace from show_stack+0x18/0x1c [ 33.458326] show_stack from dump_stack_lvl+0x40/0x4c [ 33.459072] dump_stack_lvl from print_report+0x158/0x4a4 [ 33.459863] print_report from kasan_report+0x9c/0x148 [ 33.460616] kasan_report from kasan_check_range+0x94/0x1a0 [ 33.461424] kasan_check_range from memset+0x20/0x3c [ 33.462157] memset from refresh_cpu_vm_stats.constprop.0+0xcc/0x2ec [ 33.463064] refresh_cpu_vm_stats.constprop.0 from tick_nohz_idle_stop_tick+0x180/0x53c [ 33.464181] tick_nohz_idle_stop_tick from do_idle+0x264/0x354 [ 33.465029] do_idle from cpu_startup_entry+0x20/0x24 [ 33.465769] cpu_startup_entry from rest_init+0xf0/0xf4 [ 33.466528] rest_init from arch_post_acpi_subsys_init+0x0/0x18 [ 33.467397] [ 33.467644] The buggy address belongs to stack of task swapper/0/0 [ 33.468493] and is located at offset 112 in frame: [ 33.469172] refresh_cpu_vm_stats.constprop.0+0x0/0x2ec [ 33.469917] [ 33.470165] This frame has 2 objects: [ 33.470696] [32, 76) 'global_zone_diff' [ 33.470729] [112, 276) 'global_node_diff' [ 33.471294] [ 33.472095] The buggy address belongs to the physical page: [ 33.472862] page:3cd72da8 refcount:1 mapcount:0 mapping:00000000 index:0x0 pfn:0x41d03 [ 33.473944] flags: 0x1000(reserved|zone=0) [ 33.474565] raw: 00001000 ed741470 ed741470 00000000 00000000 00000000 ffffffff 00000001 [ 33.475656] raw: 00000000 [ 33.476050] page dumped because: kasan: bad access detected [ 33.476816] [ 33.477061] Memory state around the buggy address: [ 33.477732] c1d03c00: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 [ 33.478630] c1d03c80: 00 00 00 00 00 00 00 00 f1 f1 f1 f1 00 00 00 00 [ 33.479526] >c1d03d00: 00 04 f2 f2 f2 f2 00 00 00 00 00 00 f1 f1 f1 f1 [ 33.480415] ^ [ 33.481195] c1d03d80: 00 00 00 00 00 00 00 00 00 00 04 f3 f3 f3 f3 f3 [ 33.482088] c1d03e00: f3 f3 f3 f3 00 00 00 00 00 00 00 00 00 00 00 00 [ 33.482978] ================================================================== We find the root cause of this OOB is that arm does not clear stale stack poison in the case of cpuidle. This patch refer to arch/arm64/kernel/sleep.S to resolve this issue. From cited commit [1] that explain the problem Functions which the compiler has instrumented for KASAN place poison on the stack shadow upon entry and remove this poison prior to returning. In the case of cpuidle, CPUs exit the kernel a number of levels deep in C code. Any instrumented functions on this critical path will leave portions of the stack shadow poisoned. If CPUs lose context and return to the kernel via a cold path, we restore a prior context saved in __cpu_suspend_enter are forgotten, and we never remove the poison they placed in the stack shadow area by functions calls between this and the actual exit of the kernel. Thus, (depending on stackframe layout) subsequent calls to instrumented functions may hit this stale poison, resulting in (spurious) KASAN splats to the console. To avoid this, clear any stale poison from the idle thread for a CPU prior to bringing a CPU online. From cited commit [2] Extend to check for CONFIG_KASAN_STACK [1] commit 0d97e6d8024c ("arm64: kasan: clear stale stack poison") [2] commit d56a9ef84bd0 ("kasan, arm64: unpoison stack only with CONFIG_KASAN_STACK") [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: uio_hv_generic: Don't free decrypted memory In CoCo VMs it is possible for the untrusted host to cause set_memory_encrypted() or set_memory_decrypted() to fail such that an error is returned and the resulting memory is shared. Callers need to take care to handle these errors to avoid returning decrypted (shared) memory to the page allocator, which could lead to functional or security issues. The VMBus device UIO driver could free decrypted/shared pages if set_memory_decrypted() fails. Check the decrypted field in the gpadl to decide whether to free the memory. [NistCWE(cwe='CWE-200')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Drivers: hv: vmbus: Track decrypted status in vmbus_gpadl In CoCo VMs it is possible for the untrusted host to cause set_memory_encrypted() or set_memory_decrypted() to fail such that an error is returned and the resulting memory is shared. Callers need to take care to handle these errors to avoid returning decrypted (shared) memory to the page allocator, which could lead to functional or security issues. In order to make sure callers of vmbus_establish_gpadl() and vmbus_teardown_gpadl() don't return decrypted/shared pages to allocators, add a field in struct vmbus_gpadl to keep track of the decryption status of the buffers. This will allow the callers to know if they should free or leak the pages. [NistCWE(cwe='CWE-1258')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Skip on writeback when it's not applicable [WHY] dynamic memory safety error detector (KASAN) catches and generates error messages "BUG: KASAN: slab-out-of-bounds" as writeback connector does not support certain features which are not initialized. [HOW] Skip them when connector type is DRM_MODE_CONNECTOR_WRITEBACK. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nfc: llcp: fix nfc_llcp_setsockopt() unsafe copies syzbot reported unsafe calls to copy_from_sockptr() [1] Use copy_safe_from_sockptr() instead. [1] BUG: KASAN: slab-out-of-bounds in copy_from_sockptr_offset include/linux/sockptr.h:49 [inline] BUG: KASAN: slab-out-of-bounds in copy_from_sockptr include/linux/sockptr.h:55 [inline] BUG: KASAN: slab-out-of-bounds in nfc_llcp_setsockopt+0x6c2/0x850 net/nfc/llcp_sock.c:255 Read of size 4 at addr ffff88801caa1ec3 by task syz-executor459/5078 CPU: 0 PID: 5078 Comm: syz-executor459 Not tainted 6.8.0-syzkaller-08951-gfe46a7dd189e #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 03/27/2024 Call Trace: <TASK> __dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:114 print_address_description mm/kasan/report.c:377 [inline] print_report+0x169/0x550 mm/kasan/report.c:488 kasan_report+0x143/0x180 mm/kasan/report.c:601 copy_from_sockptr_offset include/linux/sockptr.h:49 [inline] copy_from_sockptr include/linux/sockptr.h:55 [inline] nfc_llcp_setsockopt+0x6c2/0x850 net/nfc/llcp_sock.c:255 do_sock_setsockopt+0x3b1/0x720 net/socket.c:2311 __sys_setsockopt+0x1ae/0x250 net/socket.c:2334 __do_sys_setsockopt net/socket.c:2343 [inline] __se_sys_setsockopt net/socket.c:2340 [inline] __x64_sys_setsockopt+0xb5/0xd0 net/socket.c:2340 do_syscall_64+0xfd/0x240 entry_SYSCALL_64_after_hwframe+0x6d/0x75 RIP: 0033:0x7f7fac07fd89 Code: 28 00 00 00 75 05 48 83 c4 28 c3 e8 91 18 00 00 90 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 c7 c1 b8 ff ff ff f7 d8 64 89 01 48 RSP: 002b:00007fff660eb788 EFLAGS: 00000246 ORIG_RAX: 0000000000000036 RAX: ffffffffffffffda RBX: 0000000000000003 RCX: 00007f7fac07fd89 RDX: 0000000000000000 RSI: 0000000000000118 RDI: 0000000000000004 RBP: 0000000000000000 R08: 0000000000000002 R09: 0000000000000000 R10: 0000000020000a80 R11: 0000000000000246 R12: 0000000000000000 R13: 0000000000000000 R14: 0000000000000000 R15: 0000000000000000 [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: block: fix overflow in blk_ioctl_discard() There is no check for overflow of 'start + len' in blk_ioctl_discard(). Hung task occurs if submit an discard ioctl with the following param: start = 0x80000000000ff000, len = 0x8000000000fff000; Add the overflow validation now. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Check bloom filter map value size This patch adds a missing check to bloom filter creating, rejecting values above KMALLOC_MAX_SIZE. This brings the bloom map in line with many other map types. The lack of this protection can cause kernel crashes for value sizes that overflow int's. Such a crash was caught by syzkaller. The next patch adds more guard-rails at a lower level. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: lpfc: Release hbalock before calling lpfc_worker_wake_up() lpfc_worker_wake_up() calls the lpfc_work_done() routine, which takes the hbalock. Thus, lpfc_worker_wake_up() should not be called while holding the hbalock to avoid potential deadlock. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: powerpc/pseries/iommu: LPAR panics during boot up with a frozen PE At the time of LPAR boot up, partition firmware provides Open Firmware property ibm,dma-window for the PE. This property is provided on the PCI bus the PE is attached to. There are execptions where the partition firmware might not provide this property for the PE at the time of LPAR boot up. One of the scenario is where the firmware has frozen the PE due to some error condition. This PE is frozen for 24 hours or unless the whole system is reinitialized. Within this time frame, if the LPAR is booted, the frozen PE will be presented to the LPAR but ibm,dma-window property could be missing. Today, under these circumstances, the LPAR oopses with NULL pointer dereference, when configuring the PCI bus the PE is attached to. BUG: Kernel NULL pointer dereference on read at 0x000000c8 Faulting instruction address: 0xc0000000001024c0 Oops: Kernel access of bad area, sig: 7 [#1] LE PAGE_SIZE=64K MMU=Radix SMP NR_CPUS=2048 NUMA pSeries Modules linked in: Supported: Yes CPU: 0 PID: 1 Comm: swapper/0 Not tainted 6.4.0-150600.9-default #1 Hardware name: IBM,9043-MRX POWER10 (raw) 0x800200 0xf000006 of:IBM,FW1060.00 (NM1060_023) hv:phyp pSeries NIP: c0000000001024c0 LR: c0000000001024b0 CTR: c000000000102450 REGS: c0000000037db5c0 TRAP: 0300 Not tainted (6.4.0-150600.9-default) MSR: 8000000002009033 <SF,VEC,EE,ME,IR,DR,RI,LE> CR: 28000822 XER: 00000000 CFAR: c00000000010254c DAR: 00000000000000c8 DSISR: 00080000 IRQMASK: 0 ... NIP [c0000000001024c0] pci_dma_bus_setup_pSeriesLP+0x70/0x2a0 LR [c0000000001024b0] pci_dma_bus_setup_pSeriesLP+0x60/0x2a0 Call Trace: pci_dma_bus_setup_pSeriesLP+0x60/0x2a0 (unreliable) pcibios_setup_bus_self+0x1c0/0x370 __of_scan_bus+0x2f8/0x330 pcibios_scan_phb+0x280/0x3d0 pcibios_init+0x88/0x12c do_one_initcall+0x60/0x320 kernel_init_freeable+0x344/0x3e4 kernel_init+0x34/0x1d0 ret_from_kernel_user_thread+0x14/0x1c [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: spi: fix null pointer dereference within spi_sync If spi_sync() is called with the non-empty queue and the same spi_message is then reused, the complete callback for the message remains set while the context is cleared, leading to a null pointer dereference when the callback is invoked from spi_finalize_current_message(). With function inlining disabled, the call stack might look like this: _raw_spin_lock_irqsave from complete_with_flags+0x18/0x58 complete_with_flags from spi_complete+0x8/0xc spi_complete from spi_finalize_current_message+0xec/0x184 spi_finalize_current_message from spi_transfer_one_message+0x2a8/0x474 spi_transfer_one_message from __spi_pump_transfer_message+0x104/0x230 __spi_pump_transfer_message from __spi_transfer_message_noqueue+0x30/0xc4 __spi_transfer_message_noqueue from __spi_sync+0x204/0x248 __spi_sync from spi_sync+0x24/0x3c spi_sync from mcp251xfd_regmap_crc_read+0x124/0x28c [mcp251xfd] mcp251xfd_regmap_crc_read [mcp251xfd] from _regmap_raw_read+0xf8/0x154 _regmap_raw_read from _regmap_bus_read+0x44/0x70 _regmap_bus_read from _regmap_read+0x60/0xd8 _regmap_read from regmap_read+0x3c/0x5c regmap_read from mcp251xfd_alloc_can_err_skb+0x1c/0x54 [mcp251xfd] mcp251xfd_alloc_can_err_skb [mcp251xfd] from mcp251xfd_irq+0x194/0xe70 [mcp251xfd] mcp251xfd_irq [mcp251xfd] from irq_thread_fn+0x1c/0x78 irq_thread_fn from irq_thread+0x118/0x1f4 irq_thread from kthread+0xd8/0xf4 kthread from ret_from_fork+0x14/0x28 Fix this by also setting message->complete to NULL when the transfer is complete. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: s390/cio: Ensure the copied buf is NUL terminated Currently, we allocate a lbuf-sized kernel buffer and copy lbuf from userspace to that buffer. Later, we use scanf on this buffer but we don't ensure that the string is terminated inside the buffer, this can lead to OOB read when using scanf. Fix this issue by using memdup_user_nul instead. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nsh: Restore skb->{protocol,data,mac_header} for outer header in nsh_gso_segment(). syzbot triggered various splats (see [0] and links) by a crafted GSO packet of VIRTIO_NET_HDR_GSO_UDP layering the following protocols: ETH_P_8021AD + ETH_P_NSH + ETH_P_IPV6 + IPPROTO_UDP NSH can encapsulate IPv4, IPv6, Ethernet, NSH, and MPLS. As the inner protocol can be Ethernet, NSH GSO handler, nsh_gso_segment(), calls skb_mac_gso_segment() to invoke inner protocol GSO handlers. nsh_gso_segment() does the following for the original skb before calling skb_mac_gso_segment() 1. reset skb->network_header 2. save the original skb->{mac_heaeder,mac_len} in a local variable 3. pull the NSH header 4. resets skb->mac_header 5. set up skb->mac_len and skb->protocol for the inner protocol. and does the following for the segmented skb 6. set ntohs(ETH_P_NSH) to skb->protocol 7. push the NSH header 8. restore skb->mac_header 9. set skb->mac_header + mac_len to skb->network_header 10. restore skb->mac_len There are two problems in 6-7 and 8-9. (a) After 6 & 7, skb->data points to the NSH header, so the outer header (ETH_P_8021AD in this case) is stripped when skb is sent out of netdev. Also, if NSH is encapsulated by NSH + Ethernet (so NSH-Ethernet-NSH), skb_pull() in the first nsh_gso_segment() will make skb->data point to the middle of the outer NSH or Ethernet header because the Ethernet header is not pulled by the second nsh_gso_segment(). (b) While restoring skb->{mac_header,network_header} in 8 & 9, nsh_gso_segment() does not assume that the data in the linear buffer is shifted. However, udp6_ufo_fragment() could shift the data and change skb->mac_header accordingly as demonstrated by syzbot. If this happens, even the restored skb->mac_header points to the middle of the outer header. It seems nsh_gso_segment() has never worked with outer headers so far. At the end of nsh_gso_segment(), the outer header must be restored for the segmented skb, instead of the NSH header. To do that, let's calculate the outer header position relatively from the inner header and set skb->{data,mac_header,protocol} properly. [0]: BUG: KMSAN: uninit-value in ipvlan_process_outbound drivers/net/ipvlan/ipvlan_core.c:524 [inline] BUG: KMSAN: uninit-value in ipvlan_xmit_mode_l3 drivers/net/ipvlan/ipvlan_core.c:602 [inline] BUG: KMSAN: uninit-value in ipvlan_queue_xmit+0xf44/0x16b0 drivers/net/ipvlan/ipvlan_core.c:668 ipvlan_process_outbound drivers/net/ipvlan/ipvlan_core.c:524 [inline] ipvlan_xmit_mode_l3 drivers/net/ipvlan/ipvlan_core.c:602 [inline] ipvlan_queue_xmit+0xf44/0x16b0 drivers/net/ipvlan/ipvlan_core.c:668 ipvlan_start_xmit+0x5c/0x1a0 drivers/net/ipvlan/ipvlan_main.c:222 __netdev_start_xmit include/linux/netdevice.h:4989 [inline] netdev_start_xmit include/linux/netdevice.h:5003 [inline] xmit_one net/core/dev.c:3547 [inline] dev_hard_start_xmit+0x244/0xa10 net/core/dev.c:3563 __dev_queue_xmit+0x33ed/0x51c0 net/core/dev.c:4351 dev_queue_xmit include/linux/netdevice.h:3171 [inline] packet_xmit+0x9c/0x6b0 net/packet/af_packet.c:276 packet_snd net/packet/af_packet.c:3081 [inline] packet_sendmsg+0x8aef/0x9f10 net/packet/af_packet.c:3113 sock_sendmsg_nosec net/socket.c:730 [inline] __sock_sendmsg net/socket.c:745 [inline] __sys_sendto+0x735/0xa10 net/socket.c:2191 __do_sys_sendto net/socket.c:2203 [inline] __se_sys_sendto net/socket.c:2199 [inline] __x64_sys_sendto+0x125/0x1c0 net/socket.c:2199 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcf/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x63/0x6b Uninit was created at: slab_post_alloc_hook mm/slub.c:3819 [inline] slab_alloc_node mm/slub.c:3860 [inline] __do_kmalloc_node mm/slub.c:3980 [inline] __kmalloc_node_track_caller+0x705/0x1000 mm/slub.c:4001 kmalloc_reserve+0x249/0x4a0 net/core/skbuff.c:582 __ ---truncated--- [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bna: ensure the copied buf is NUL terminated Currently, we allocate a nbytes-sized kernel buffer and copy nbytes from userspace to that buffer. Later, we use sscanf on this buffer but we don't ensure that the string is terminated inside the buffer, this can lead to OOB read when using sscanf. Fix this issue by using memdup_user_nul instead of memdup_user. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: xdp: use flags field to disambiguate broadcast redirect When redirecting a packet using XDP, the bpf_redirect_map() helper will set up the redirect destination information in struct bpf_redirect_info (using the __bpf_xdp_redirect_map() helper function), and the xdp_do_redirect() function will read this information after the XDP program returns and pass the frame on to the right redirect destination. When using the BPF_F_BROADCAST flag to do multicast redirect to a whole map, __bpf_xdp_redirect_map() sets the 'map' pointer in struct bpf_redirect_info to point to the destination map to be broadcast. And xdp_do_redirect() reacts to the value of this map pointer to decide whether it's dealing with a broadcast or a single-value redirect. However, if the destination map is being destroyed before xdp_do_redirect() is called, the map pointer will be cleared out (by bpf_clear_redirect_map()) without waiting for any XDP programs to stop running. This causes xdp_do_redirect() to think that the redirect was to a single target, but the target pointer is also NULL (since broadcast redirects don't have a single target), so this causes a crash when a NULL pointer is passed to dev_map_enqueue(). To fix this, change xdp_do_redirect() to react directly to the presence of the BPF_F_BROADCAST flag in the 'flags' value in struct bpf_redirect_info to disambiguate between a single-target and a broadcast redirect. And only read the 'map' pointer if the broadcast flag is set, aborting if that has been cleared out in the meantime. This prevents the crash, while keeping the atomic (cmpxchg-based) clearing of the map pointer itself, and without adding any more checks in the non-broadcast fast path. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf, skmsg: Fix NULL pointer dereference in sk_psock_skb_ingress_enqueue Fix NULL pointer data-races in sk_psock_skb_ingress_enqueue() which syzbot reported [1]. [1] BUG: KCSAN: data-race in sk_psock_drop / sk_psock_skb_ingress_enqueue write to 0xffff88814b3278b8 of 8 bytes by task 10724 on cpu 1: sk_psock_stop_verdict net/core/skmsg.c:1257 [inline] sk_psock_drop+0x13e/0x1f0 net/core/skmsg.c:843 sk_psock_put include/linux/skmsg.h:459 [inline] sock_map_close+0x1a7/0x260 net/core/sock_map.c:1648 unix_release+0x4b/0x80 net/unix/af_unix.c:1048 __sock_release net/socket.c:659 [inline] sock_close+0x68/0x150 net/socket.c:1421 __fput+0x2c1/0x660 fs/file_table.c:422 __fput_sync+0x44/0x60 fs/file_table.c:507 __do_sys_close fs/open.c:1556 [inline] __se_sys_close+0x101/0x1b0 fs/open.c:1541 __x64_sys_close+0x1f/0x30 fs/open.c:1541 do_syscall_64+0xd3/0x1d0 entry_SYSCALL_64_after_hwframe+0x6d/0x75 read to 0xffff88814b3278b8 of 8 bytes by task 10713 on cpu 0: sk_psock_data_ready include/linux/skmsg.h:464 [inline] sk_psock_skb_ingress_enqueue+0x32d/0x390 net/core/skmsg.c:555 sk_psock_skb_ingress_self+0x185/0x1e0 net/core/skmsg.c:606 sk_psock_verdict_apply net/core/skmsg.c:1008 [inline] sk_psock_verdict_recv+0x3e4/0x4a0 net/core/skmsg.c:1202 unix_read_skb net/unix/af_unix.c:2546 [inline] unix_stream_read_skb+0x9e/0xf0 net/unix/af_unix.c:2682 sk_psock_verdict_data_ready+0x77/0x220 net/core/skmsg.c:1223 unix_stream_sendmsg+0x527/0x860 net/unix/af_unix.c:2339 sock_sendmsg_nosec net/socket.c:730 [inline] __sock_sendmsg+0x140/0x180 net/socket.c:745 ____sys_sendmsg+0x312/0x410 net/socket.c:2584 ___sys_sendmsg net/socket.c:2638 [inline] __sys_sendmsg+0x1e9/0x280 net/socket.c:2667 __do_sys_sendmsg net/socket.c:2676 [inline] __se_sys_sendmsg net/socket.c:2674 [inline] __x64_sys_sendmsg+0x46/0x50 net/socket.c:2674 do_syscall_64+0xd3/0x1d0 entry_SYSCALL_64_after_hwframe+0x6d/0x75 value changed: 0xffffffff83d7feb0 -> 0x0000000000000000 Reported by Kernel Concurrency Sanitizer on: CPU: 0 PID: 10713 Comm: syz-executor.4 Tainted: G W 6.8.0-syzkaller-08951-gfe46a7dd189e #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 02/29/2024 Prior to this, commit 4cd12c6065df ("bpf, sockmap: Fix NULL pointer dereference in sk_psock_verdict_data_ready()") fixed one NULL pointer similarly due to no protection of saved_data_ready. Here is another different caller causing the same issue because of the same reason. So we should protect it with sk_callback_lock read lock because the writer side in the sk_psock_drop() uses "write_lock_bh(&sk->sk_callback_lock);". To avoid errors that could happen in future, I move those two pairs of lock into the sk_psock_data_ready(), which is suggested by John Fastabend. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nfs: Handle error of rpc_proc_register() in nfs_net_init(). syzkaller reported a warning [0] triggered while destroying immature netns. rpc_proc_register() was called in init_nfs_fs(), but its error has been ignored since at least the initial commit 1da177e4c3f4 ("Linux-2.6.12-rc2"). Recently, commit d47151b79e32 ("nfs: expose /proc/net/sunrpc/nfs in net namespaces") converted the procfs to per-netns and made the problem more visible. Even when rpc_proc_register() fails, nfs_net_init() could succeed, and thus nfs_net_exit() will be called while destroying the netns. Then, remove_proc_entry() will be called for non-existing proc directory and trigger the warning below. Let's handle the error of rpc_proc_register() properly in nfs_net_init(). [0]: name 'nfs' WARNING: CPU: 1 PID: 1710 at fs/proc/generic.c:711 remove_proc_entry+0x1bb/0x2d0 fs/proc/generic.c:711 Modules linked in: CPU: 1 PID: 1710 Comm: syz-executor.2 Not tainted 6.8.0-12822-gcd51db110a7e #12 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.16.0-0-gd239552ce722-prebuilt.qemu.org 04/01/2014 RIP: 0010:remove_proc_entry+0x1bb/0x2d0 fs/proc/generic.c:711 Code: 41 5d 41 5e c3 e8 85 09 b5 ff 48 c7 c7 88 58 64 86 e8 09 0e 71 02 e8 74 09 b5 ff 4c 89 e6 48 c7 c7 de 1b 80 84 e8 c5 ad 97 ff <0f> 0b eb b1 e8 5c 09 b5 ff 48 c7 c7 88 58 64 86 e8 e0 0d 71 02 eb RSP: 0018:ffffc9000c6d7ce0 EFLAGS: 00010286 RAX: 0000000000000000 RBX: ffff8880422b8b00 RCX: ffffffff8110503c RDX: ffff888030652f00 RSI: ffffffff81105045 RDI: 0000000000000001 RBP: 0000000000000000 R08: 0000000000000001 R09: 0000000000000000 R10: 0000000000000001 R11: ffffffff81bb62cb R12: ffffffff84807ffc R13: ffff88804ad6fcc0 R14: ffffffff84807ffc R15: ffffffff85741ff8 FS: 00007f30cfba8640(0000) GS:ffff88807dd00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007ff51afe8000 CR3: 000000005a60a005 CR4: 0000000000770ef0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 PKRU: 55555554 Call Trace: <TASK> rpc_proc_unregister+0x64/0x70 net/sunrpc/stats.c:310 nfs_net_exit+0x1c/0x30 fs/nfs/inode.c:2438 ops_exit_list+0x62/0xb0 net/core/net_namespace.c:170 setup_net+0x46c/0x660 net/core/net_namespace.c:372 copy_net_ns+0x244/0x590 net/core/net_namespace.c:505 create_new_namespaces+0x2ed/0x770 kernel/nsproxy.c:110 unshare_nsproxy_namespaces+0xae/0x160 kernel/nsproxy.c:228 ksys_unshare+0x342/0x760 kernel/fork.c:3322 __do_sys_unshare kernel/fork.c:3393 [inline] __se_sys_unshare kernel/fork.c:3391 [inline] __x64_sys_unshare+0x1f/0x30 kernel/fork.c:3391 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0x4f/0x110 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x46/0x4e RIP: 0033:0x7f30d0febe5d Code: ff c3 66 2e 0f 1f 84 00 00 00 00 00 90 f3 0f 1e fa 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 8b 0d 73 9f 1b 00 f7 d8 64 89 01 48 RSP: 002b:00007f30cfba7cc8 EFLAGS: 00000246 ORIG_RAX: 0000000000000110 RAX: ffffffffffffffda RBX: 00000000004bbf80 RCX: 00007f30d0febe5d RDX: 0000000000000000 RSI: 0000000000000000 RDI: 000000006c020600 RBP: 00000000004bbf80 R08: 0000000000000000 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000246 R12: 0000000000000002 R13: 000000000000000b R14: 00007f30d104c530 R15: 0000000000000000 </TASK> [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: pinctrl: core: delete incorrect free in pinctrl_enable() The "pctldev" struct is allocated in devm_pinctrl_register_and_init(). It's a devm_ managed pointer that is freed by devm_pinctrl_dev_release(), so freeing it in pinctrl_enable() will lead to a double free. The devm_pinctrl_dev_release() function frees the pindescs and destroys the mutex as well. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: nl80211: don't free NULL coalescing rule If the parsing fails, we can dereference a NULL pointer here. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Reapply "drm/qxl: simplify qxl_fence_wait" This reverts commit 07ed11afb68d94eadd4ffc082b97c2331307c5ea. Stephen Rostedt reports: "I went to run my tests on my VMs and the tests hung on boot up. Unfortunately, the most I ever got out was: [ 93.607888] Testing event system initcall: OK [ 93.667730] Running tests on all trace events: [ 93.669757] Testing all events: OK [ 95.631064] ------------[ cut here ]------------ Timed out after 60 seconds" and further debugging points to a possible circular locking dependency between the console_owner locking and the worker pool locking. Reverting the commit allows Steve's VM to boot to completion again. [ This may obviously result in the "[TTM] Buffer eviction failed" messages again, which was the reason for that original revert. But at this point this seems preferable to a non-booting system... ] [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/smc: fix neighbour and rtable leak in smc_ib_find_route() In smc_ib_find_route(), the neighbour found by neigh_lookup() and rtable resolved by ip_route_output_flow() are not released or put before return. It may cause the refcount leak, so fix it. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: qibfs: fix dentry leak simple_recursive_removal() drops the pinning references to all positives in subtree. For the cases when its argument has been kept alive by the pinning alone that's exactly the right thing to do, but here the argument comes from dcache lookup, that needs to be balanced by explicit dput(). Fucked-up-by: Al Viro <viro@zeniv.linux.org.uk> [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: lpfc: Move NPIV's transport unregistration to after resource clean up There are cases after NPIV deletion where the fabric switch still believes the NPIV is logged into the fabric. This occurs when a vport is unregistered before the Remove All DA_ID CT and LOGO ELS are sent to the fabric. Currently fc_remove_host(), which calls dev_loss_tmo for all D_IDs including the fabric D_ID, removes the last ndlp reference and frees the ndlp rport object. This sometimes causes the race condition where the final DA_ID and LOGO are skipped from being sent to the fabric switch. Fix by moving the fc_remove_host() and scsi_remove_host() calls after DA_ID and LOGO are sent. [NistCWE(cwe='CWE-459')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: KVM: arm64: vgic-v2: Check for non-NULL vCPU in vgic_v2_parse_attr() vgic_v2_parse_attr() is responsible for finding the vCPU that matches the user-provided CPUID, which (of course) may not be valid. If the ID is invalid, kvm_get_vcpu_by_id() returns NULL, which isn't handled gracefully. Similar to the GICv3 uaccess flow, check that kvm_get_vcpu_by_id() actually returns something and fail the ioctl if not. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tipc: fix a possible memleak in tipc_buf_append __skb_linearize() doesn't free the skb when it fails, so move '*buf = NULL' after __skb_linearize(), so that the skb can be freed on the err path. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ALSA: hda: intel-sdw-acpi: fix usage of device_get_named_child_node() The documentation for device_get_named_child_node() mentions this important point: " The caller is responsible for calling fwnode_handle_put() on the returned fwnode pointer. " Add fwnode_handle_put() to avoid a leaked reference. [NistCWE(cwe='CWE-200')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=7.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: octeontx2-af: avoid off-by-one read from userspace We try to access count + 1 byte from userspace with memdup_user(buffer, count + 1). However, the userspace only provides buffer of count bytes and only these count bytes are verified to be okay to access. To ensure the copied buffer is NUL terminated, we use memdup_user_nul instead. [NistCWE(cwe='CWE-193')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: pinctrl: devicetree: fix refcount leak in pinctrl_dt_to_map() If we fail to allocate propname buffer, we need to drop the reference count we just took. Because the pinctrl_dt_free_maps() includes the droping operation, here we call it directly. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/vmwgfx: Fix invalid reads in fence signaled events Correctly set the length of the drm_event to the size of the structure that's actually used. The length of the drm_event was set to the parent structure instead of to the drm_vmw_event_fence which is supposed to be read. drm_read uses the length parameter to copy the event to the user space thus resuling in oob reads. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: ks8851: Queue RX packets in IRQ handler instead of disabling BHs Currently the driver uses local_bh_disable()/local_bh_enable() in its IRQ handler to avoid triggering net_rx_action() softirq on exit from netif_rx(). The net_rx_action() could trigger this driver .start_xmit callback, which is protected by the same lock as the IRQ handler, so calling the .start_xmit from netif_rx() from the IRQ handler critical section protected by the lock could lead to an attempt to claim the already claimed lock, and a hang. The local_bh_disable()/local_bh_enable() approach works only in case the IRQ handler is protected by a spinlock, but does not work if the IRQ handler is protected by mutex, i.e. this works for KS8851 with Parallel bus interface, but not for KS8851 with SPI bus interface. Remove the BH manipulation and instead of calling netif_rx() inside the IRQ handler code protected by the lock, queue all the received SKBs in the IRQ handler into a queue first, and once the IRQ handler exits the critical section protected by the lock, dequeue all the queued SKBs and push them all into netif_rx(). At this point, it is safe to trigger the net_rx_action() softirq, since the netif_rx() call is outside of the lock that protects the IRQ handler. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: remoteproc: mediatek: Make sure IPI buffer fits in L2TCM The IPI buffer location is read from the firmware that we load to the System Companion Processor, and it's not granted that both the SRAM (L2TCM) size that is defined in the devicetree node is large enough for that, and while this is especially true for multi-core SCP, it's still useful to check on single-core variants as well. Failing to perform this check may make this driver perform R/W operations out of the L2TCM boundary, resulting (at best) in a kernel panic. To fix that, check that the IPI buffer fits, otherwise return a failure and refuse to boot the relevant SCP core (or the SCP at all, if this is single core). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: KEYS: trusted: Fix memory leak in tpm2_key_encode() 'scratch' is never freed. Fix this by calling kfree() in the success, and in the error case. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: af_unix: Update unix_sk(sk)->oob_skb under sk_receive_queue lock. Billy Jheng Bing-Jhong reported a race between __unix_gc() and queue_oob(). __unix_gc() tries to garbage-collect close()d inflight sockets, and then if the socket has MSG_OOB in unix_sk(sk)->oob_skb, GC will drop the reference and set NULL to it locklessly. However, the peer socket still can send MSG_OOB message and queue_oob() can update unix_sk(sk)->oob_skb concurrently, leading NULL pointer dereference. [0] To fix the issue, let's update unix_sk(sk)->oob_skb under the sk_receive_queue's lock and take it everywhere we touch oob_skb. Note that we defer kfree_skb() in manage_oob() to silence lockdep false-positive (See [1]). [0]: BUG: kernel NULL pointer dereference, address: 0000000000000008 PF: supervisor write access in kernel mode PF: error_code(0x0002) - not-present page PGD 8000000009f5e067 P4D 8000000009f5e067 PUD 9f5d067 PMD 0 Oops: 0002 [#1] PREEMPT SMP PTI CPU: 3 PID: 50 Comm: kworker/3:1 Not tainted 6.9.0-rc5-00191-gd091e579b864 #110 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.16.0-0-gd239552ce722-prebuilt.qemu.org 04/01/2014 Workqueue: events delayed_fput RIP: 0010:skb_dequeue (./include/linux/skbuff.h:2386 ./include/linux/skbuff.h:2402 net/core/skbuff.c:3847) Code: 39 e3 74 3e 8b 43 10 48 89 ef 83 e8 01 89 43 10 49 8b 44 24 08 49 c7 44 24 08 00 00 00 00 49 8b 14 24 49 c7 04 24 00 00 00 00 <48> 89 42 08 48 89 10 e8 e7 c5 42 00 4c 89 e0 5b 5d 41 5c c3 cc cc RSP: 0018:ffffc900001bfd48 EFLAGS: 00000002 RAX: 0000000000000000 RBX: ffff8880088f5ae8 RCX: 00000000361289f9 RDX: 0000000000000000 RSI: 0000000000000206 RDI: ffff8880088f5b00 RBP: ffff8880088f5b00 R08: 0000000000080000 R09: 0000000000000001 R10: 0000000000000003 R11: 0000000000000001 R12: ffff8880056b6a00 R13: ffff8880088f5280 R14: 0000000000000001 R15: ffff8880088f5a80 FS: 0000000000000000(0000) GS:ffff88807dd80000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000000008 CR3: 0000000006314000 CR4: 00000000007506f0 PKRU: 55555554 Call Trace: <TASK> unix_release_sock (net/unix/af_unix.c:654) unix_release (net/unix/af_unix.c:1050) __sock_release (net/socket.c:660) sock_close (net/socket.c:1423) __fput (fs/file_table.c:423) delayed_fput (fs/file_table.c:444 (discriminator 3)) process_one_work (kernel/workqueue.c:3259) worker_thread (kernel/workqueue.c:3329 kernel/workqueue.c:3416) kthread (kernel/kthread.c:388) ret_from_fork (arch/x86/kernel/process.c:153) ret_from_fork_asm (arch/x86/entry/entry_64.S:257) </TASK> Modules linked in: CR2: 0000000000000008 [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: misc: microchip: pci1xxxx: fix double free in the error handling of gp_aux_bus_probe() When auxiliary_device_add() returns error and then calls auxiliary_device_uninit(), callback function gp_auxiliary_device_release() calls ida_free() and kfree(aux_device_wrapper) to free memory. We should't call them again in the error handling path. Fix this by skipping the redundant cleanup functions. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/sched: taprio: always validate TCA_TAPRIO_ATTR_PRIOMAP If one TCA_TAPRIO_ATTR_PRIOMAP attribute has been provided, taprio_parse_mqprio_opt() must validate it, or userspace can inject arbitrary data to the kernel, the second time taprio_change() is called. First call (with valid attributes) sets dev->num_tc to a non zero value. Second call (with arbitrary mqprio attributes) returns early from taprio_parse_mqprio_opt() and bad things can happen. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: KEYS: trusted: Do not use WARN when encode fails When asn1_encode_sequence() fails, WARN is not the correct solution. 1. asn1_encode_sequence() is not an internal function (located in lib/asn1_encode.c). 2. Location is known, which makes the stack trace useless. 3. Results a crash if panic_on_warn is set. It is also noteworthy that the use of WARN is undocumented, and it should be avoided unless there is a carefully considered rationale to use it. Replace WARN with pr_err, and print the return value instead, which is only useful piece of information. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: usb: dwc3: Wait unconditionally after issuing EndXfer command Currently all controller IP/revisions except DWC3_usb3 >= 310a wait 1ms unconditionally for ENDXFER completion when IOC is not set. This is because DWC_usb3 controller revisions >= 3.10a supports GUCTL2[14: Rst_actbitlater] bit which allows polling CMDACT bit to know whether ENDXFER command is completed. Consider a case where an IN request was queued, and parallelly soft_disconnect was called (due to ffs_epfile_release). This eventually calls stop_active_transfer with IOC cleared, hence send_gadget_ep_cmd() skips waiting for CMDACT cleared during EndXfer. For DWC3 controllers with revisions >= 310a, we don't forcefully wait for 1ms either, and we proceed by unmapping the requests. If ENDXFER didn't complete by this time, it leads to SMMU faults since the controller would still be accessing those requests. Fix this by ensuring ENDXFER completion by adding 1ms delay in __dwc3_stop_active_transfer() unconditionally. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nilfs2: fix potential kernel bug due to lack of writeback flag waiting Destructive writes to a block device on which nilfs2 is mounted can cause a kernel bug in the folio/page writeback start routine or writeback end routine (__folio_start_writeback in the log below): kernel BUG at mm/page-writeback.c:3070! Oops: invalid opcode: 0000 [#1] PREEMPT SMP KASAN PTI ... RIP: 0010:__folio_start_writeback+0xbaa/0x10e0 Code: 25 ff 0f 00 00 0f 84 18 01 00 00 e8 40 ca c6 ff e9 17 f6 ff ff e8 36 ca c6 ff 4c 89 f7 48 c7 c6 80 c0 12 84 e8 e7 b3 0f 00 90 <0f> 0b e8 1f ca c6 ff 4c 89 f7 48 c7 c6 a0 c6 12 84 e8 d0 b3 0f 00 ... Call Trace: <TASK> nilfs_segctor_do_construct+0x4654/0x69d0 [nilfs2] nilfs_segctor_construct+0x181/0x6b0 [nilfs2] nilfs_segctor_thread+0x548/0x11c0 [nilfs2] kthread+0x2f0/0x390 ret_from_fork+0x4b/0x80 ret_from_fork_asm+0x1a/0x30 </TASK> This is because when the log writer starts a writeback for segment summary blocks or a super root block that use the backing device's page cache, it does not wait for the ongoing folio/page writeback, resulting in an inconsistent writeback state. Fix this issue by waiting for ongoing writebacks when putting folios/pages on the backing device into writeback state. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 python-urllib3 urllib3 is a user-friendly HTTP client library for Python. When using urllib3's proxy support with `ProxyManager`, the `Proxy-Authorization` header is only sent to the configured proxy, as expected. However, when sending HTTP requests *without* using urllib3's proxy support, it's possible to accidentally configure the `Proxy-Authorization` header even though it won't have any effect as the request is not using a forwarding proxy or a tunneling proxy. In those cases, urllib3 doesn't treat the `Proxy-Authorization` HTTP header as one carrying authentication material and thus doesn't strip the header on cross-origin redirects. Because this is a highly unlikely scenario, we believe the severity of this vulnerability is low for almost all users. Out of an abundance of caution urllib3 will automatically strip the `Proxy-Authorization` header during cross-origin redirects to avoid the small chance that users are doing this on accident. Users should use urllib3's proxy support or disable automatic redirects to achieve safe processing of the `Proxy-Authorization` header, but we still decided to strip the header by default in order to further protect users who aren't using the correct approach. We believe the number of usages affected by this advisory is low. It requires all of the following to be true to be exploited: 1. Setting the `Proxy-Authorization` header without using urllib3's built-in proxy support. 2. Not disabling HTTP redirects. 3. Either not using an HTTPS origin server or for the proxy or target origin to redirect to a malicious origin. Users are advised to update to either version 1.26.19 or version 2.2.2. Users unable to upgrade may use the `Proxy-Authorization` header with urllib3's `ProxyManager`, disable HTTP redirects using `redirects=False` when sending requests, or not user the `Proxy-Authorization` header as mitigations. [NistCWE(cwe='CWE-669')] None NistCVSS3(cvss='AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N', score=4.4) - Использовать ПО python-urllib3 только на низком или отдельно выделенном уровне целостности - При использовании ПО python-urllib3 выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска python-urllib3 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nfc: nci: Fix uninit-value in nci_rx_work syzbot reported the following uninit-value access issue [1] nci_rx_work() parses received packet from ndev->rx_q. It should be validated header size, payload size and total packet size before processing the packet. If an invalid packet is detected, it should be silently discarded. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ALSA: hda/cs_dsp_ctl: Use private_free for control cleanup Use the control private_free callback to free the associated data block. This ensures that the memory won't leak, whatever way the control gets destroyed. The original implementation didn't actually remove the ALSA controls in hda_cs_dsp_control_remove(). It only freed the internal tracking structure. This meant it was possible to remove/unload the amp driver while leaving its ALSA controls still present in the soundcard. Obviously attempting to access them could cause segfaults or at least dereferencing stale pointers. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L', score=3.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/msm/a6xx: Avoid a nullptr dereference when speedbin setting fails Calling a6xx_destroy() before adreno_gpu_init() leads to a null pointer dereference on: msm_gpu_cleanup() : platform_set_drvdata(gpu->pdev, NULL); as gpu->pdev is only assigned in: a6xx_gpu_init() |_ adreno_gpu_init |_ msm_gpu_init() Instead of relying on handwavy null checks down the cleanup chain, explicitly de-allocate the LLC data and free a6xx_gpu instead. Patchwork: https://patchwork.freedesktop.org/patch/588919/ [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 apache2 Encoding problem in mod_proxy in Apache HTTP Server 2.4.59 and earlier allows request URLs with incorrect encoding to be sent to backend services, potentially bypassing authentication via crafted requests. Users are recommended to upgrade to version 2.4.60, which fixes this issue. [NistCWE(cwe='CWE-116')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=8.1) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 apache2 Substitution encoding issue in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows attacker to execute scripts in directories permitted by the configuration but not directly reachable by any URL or source disclosure of scripts meant to only to be executed as CGI. Users are recommended to upgrade to version 2.4.60, which fixes this issue. Some RewriteRules that capture and substitute unsafely will now fail unless rewrite flag "UnsafeAllow3F" is specified. [NistCWE(cwe='CWE-116')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 apache2 Improper escaping of output in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows an attacker to map URLs to filesystem locations that are permitted to be served by the server but are not intentionally/directly reachable by any URL, resulting in code execution or source code disclosure. Substitutions in server context that use a backreferences or variables as the first segment of the substitution are affected.  Some unsafe RewiteRules will be broken by this change and the rewrite flag "UnsafePrefixStat" can be used to opt back in once ensuring the substitution is appropriately constrained. [NistCWE(cwe='CWE-116')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N', score=9.1) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 apache2 Vulnerability in core of Apache HTTP Server 2.4.59 and earlier are vulnerably to information disclosure, SSRF or local script execution via backend applications whose response headers are malicious or exploitable. Users are recommended to upgrade to version 2.4.60, which fixes this issue. [NistCWE(cwe='CWE-829')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 apache2 null pointer dereference in mod_proxy in Apache HTTP Server 2.4.59 and earlier allows an attacker to crash the server via a malicious request. Users are recommended to upgrade to version 2.4.60, which fixes this issue. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: bridge: xmit: make sure we have at least eth header len bytes syzbot triggered an uninit value[1] error in bridge device's xmit path by sending a short (less than ETH_HLEN bytes) skb. To fix it check if we can actually pull that amount instead of assuming. Tested with dropwatch: drop at: br_dev_xmit+0xb93/0x12d0 [bridge] (0xffffffffc06739b3) origin: software timestamp: Mon May 13 11:31:53 2024 778214037 nsec protocol: 0x88a8 length: 2 original length: 2 drop reason: PKT_TOO_SMALL [1] BUG: KMSAN: uninit-value in br_dev_xmit+0x61d/0x1cb0 net/bridge/br_device.c:65 br_dev_xmit+0x61d/0x1cb0 net/bridge/br_device.c:65 __netdev_start_xmit include/linux/netdevice.h:4903 [inline] netdev_start_xmit include/linux/netdevice.h:4917 [inline] xmit_one net/core/dev.c:3531 [inline] dev_hard_start_xmit+0x247/0xa20 net/core/dev.c:3547 __dev_queue_xmit+0x34db/0x5350 net/core/dev.c:4341 dev_queue_xmit include/linux/netdevice.h:3091 [inline] __bpf_tx_skb net/core/filter.c:2136 [inline] __bpf_redirect_common net/core/filter.c:2180 [inline] __bpf_redirect+0x14a6/0x1620 net/core/filter.c:2187 ____bpf_clone_redirect net/core/filter.c:2460 [inline] bpf_clone_redirect+0x328/0x470 net/core/filter.c:2432 ___bpf_prog_run+0x13fe/0xe0f0 kernel/bpf/core.c:1997 __bpf_prog_run512+0xb5/0xe0 kernel/bpf/core.c:2238 bpf_dispatcher_nop_func include/linux/bpf.h:1234 [inline] __bpf_prog_run include/linux/filter.h:657 [inline] bpf_prog_run include/linux/filter.h:664 [inline] bpf_test_run+0x499/0xc30 net/bpf/test_run.c:425 bpf_prog_test_run_skb+0x14ea/0x1f20 net/bpf/test_run.c:1058 bpf_prog_test_run+0x6b7/0xad0 kernel/bpf/syscall.c:4269 __sys_bpf+0x6aa/0xd90 kernel/bpf/syscall.c:5678 __do_sys_bpf kernel/bpf/syscall.c:5767 [inline] __se_sys_bpf kernel/bpf/syscall.c:5765 [inline] __x64_sys_bpf+0xa0/0xe0 kernel/bpf/syscall.c:5765 x64_sys_call+0x96b/0x3b50 arch/x86/include/generated/asm/syscalls_64.h:322 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcf/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bnxt_re: avoid shift undefined behavior in bnxt_qplib_alloc_init_hwq Undefined behavior is triggered when bnxt_qplib_alloc_init_hwq is called with hwq_attr->aux_depth != 0 and hwq_attr->aux_stride == 0. In that case, "roundup_pow_of_two(hwq_attr->aux_stride)" gets called. roundup_pow_of_two is documented as undefined for 0. Fix it in the one caller that had this combination. The undefined behavior was detected by UBSAN: UBSAN: shift-out-of-bounds in ./include/linux/log2.h:57:13 shift exponent 64 is too large for 64-bit type 'long unsigned int' CPU: 24 PID: 1075 Comm: (udev-worker) Not tainted 6.9.0-rc6+ #4 Hardware name: Abacus electric, s.r.o. - servis@abacus.cz Super Server/H12SSW-iN, BIOS 2.7 10/25/2023 Call Trace: <TASK> dump_stack_lvl+0x5d/0x80 ubsan_epilogue+0x5/0x30 __ubsan_handle_shift_out_of_bounds.cold+0x61/0xec __roundup_pow_of_two+0x25/0x35 [bnxt_re] bnxt_qplib_alloc_init_hwq+0xa1/0x470 [bnxt_re] bnxt_qplib_create_qp+0x19e/0x840 [bnxt_re] bnxt_re_create_qp+0x9b1/0xcd0 [bnxt_re] ? srso_alias_return_thunk+0x5/0xfbef5 ? srso_alias_return_thunk+0x5/0xfbef5 ? __kmalloc+0x1b6/0x4f0 ? create_qp.part.0+0x128/0x1c0 [ib_core] ? __pfx_bnxt_re_create_qp+0x10/0x10 [bnxt_re] create_qp.part.0+0x128/0x1c0 [ib_core] ib_create_qp_kernel+0x50/0xd0 [ib_core] create_mad_qp+0x8e/0xe0 [ib_core] ? __pfx_qp_event_handler+0x10/0x10 [ib_core] ib_mad_init_device+0x2be/0x680 [ib_core] add_client_context+0x10d/0x1a0 [ib_core] enable_device_and_get+0xe0/0x1d0 [ib_core] ib_register_device+0x53c/0x630 [ib_core] ? srso_alias_return_thunk+0x5/0xfbef5 bnxt_re_probe+0xbd8/0xe50 [bnxt_re] ? __pfx_bnxt_re_probe+0x10/0x10 [bnxt_re] auxiliary_bus_probe+0x49/0x80 ? driver_sysfs_add+0x57/0xc0 really_probe+0xde/0x340 ? pm_runtime_barrier+0x54/0x90 ? __pfx___driver_attach+0x10/0x10 __driver_probe_device+0x78/0x110 driver_probe_device+0x1f/0xa0 __driver_attach+0xba/0x1c0 bus_for_each_dev+0x8f/0xe0 bus_add_driver+0x146/0x220 driver_register+0x72/0xd0 __auxiliary_driver_register+0x6e/0xd0 ? __pfx_bnxt_re_mod_init+0x10/0x10 [bnxt_re] bnxt_re_mod_init+0x3e/0xff0 [bnxt_re] ? __pfx_bnxt_re_mod_init+0x10/0x10 [bnxt_re] do_one_initcall+0x5b/0x310 do_init_module+0x90/0x250 init_module_from_file+0x86/0xc0 idempotent_init_module+0x121/0x2b0 __x64_sys_finit_module+0x5e/0xb0 do_syscall_64+0x82/0x160 ? srso_alias_return_thunk+0x5/0xfbef5 ? syscall_exit_to_user_mode_prepare+0x149/0x170 ? srso_alias_return_thunk+0x5/0xfbef5 ? syscall_exit_to_user_mode+0x75/0x230 ? srso_alias_return_thunk+0x5/0xfbef5 ? do_syscall_64+0x8e/0x160 ? srso_alias_return_thunk+0x5/0xfbef5 ? __count_memcg_events+0x69/0x100 ? srso_alias_return_thunk+0x5/0xfbef5 ? count_memcg_events.constprop.0+0x1a/0x30 ? srso_alias_return_thunk+0x5/0xfbef5 ? handle_mm_fault+0x1f0/0x300 ? srso_alias_return_thunk+0x5/0xfbef5 ? do_user_addr_fault+0x34e/0x640 ? srso_alias_return_thunk+0x5/0xfbef5 ? srso_alias_return_thunk+0x5/0xfbef5 entry_SYSCALL_64_after_hwframe+0x76/0x7e RIP: 0033:0x7f4e5132821d Code: ff c3 66 2e 0f 1f 84 00 00 00 00 00 90 f3 0f 1e fa 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 8b 0d e3 db 0c 00 f7 d8 64 89 01 48 RSP: 002b:00007ffca9c906a8 EFLAGS: 00000246 ORIG_RAX: 0000000000000139 RAX: ffffffffffffffda RBX: 0000563ec8a8f130 RCX: 00007f4e5132821d RDX: 0000000000000000 RSI: 00007f4e518fa07d RDI: 000000000000003b RBP: 00007ffca9c90760 R08: 00007f4e513f6b20 R09: 00007ffca9c906f0 R10: 0000563ec8a8faa0 R11: 0000000000000246 R12: 00007f4e518fa07d R13: 0000000000020000 R14: 0000563ec8409e90 R15: 0000563ec8a8fa60 </TASK> ---[ end trace ]--- [] None NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: lib/test_hmm.c: handle src_pfns and dst_pfns allocation failure The kcalloc() in dmirror_device_evict_chunk() will return null if the physical memory has run out. As a result, if src_pfns or dst_pfns is dereferenced, the null pointer dereference bug will happen. Moreover, the device is going away. If the kcalloc() fails, the pages mapping a chunk could not be evicted. So add a __GFP_NOFAIL flag in kcalloc(). Finally, as there is no need to have physically contiguous memory, Switch kcalloc() to kvcalloc() in order to avoid failing allocations. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/rxe: Fix seg fault in rxe_comp_queue_pkt In rxe_comp_queue_pkt() an incoming response packet skb is enqueued to the resp_pkts queue and then a decision is made whether to run the completer task inline or schedule it. Finally the skb is dereferenced to bump a 'hw' performance counter. This is wrong because if the completer task is already running in a separate thread it may have already processed the skb and freed it which can cause a seg fault. This has been observed infrequently in testing at high scale. This patch fixes this by changing the order of enqueuing the packet until after the counter is accessed. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:H', score=6.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm: vc4: Fix possible null pointer dereference In vc4_hdmi_audio_init() of_get_address() may return NULL which is later dereferenced. Fix this bug by adding NULL check. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: media: atomisp: ssh_css: Fix a null-pointer dereference in load_video_binaries The allocation failure of mycs->yuv_scaler_binary in load_video_binaries() is followed with a dereference of mycs->yuv_scaler_binary after the following call chain: sh_css_pipe_load_binaries() |-> load_video_binaries(mycs->yuv_scaler_binary == NULL) | |-> sh_css_pipe_unload_binaries() |-> unload_video_binaries() In unload_video_binaries(), it calls to ia_css_binary_unload with argument &pipe->pipe_settings.video.yuv_scaler_binary[i], which refers to the same memory slot as mycs->yuv_scaler_binary. Thus, a null-pointer dereference is triggered. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm: bridge: cdns-mhdp8546: Fix possible null pointer dereference In cdns_mhdp_atomic_enable(), the return value of drm_mode_duplicate() is assigned to mhdp_state->current_mode, and there is a dereference of it in drm_mode_set_name(), which will lead to a NULL pointer dereference on failure of drm_mode_duplicate(). Fix this bug add a check of mhdp_state->current_mode. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/mediatek: Add 0 size check to mtk_drm_gem_obj Add a check to mtk_drm_gem_init if we attempt to allocate a GEM object of 0 bytes. Currently, no such check exists and the kernel will panic if a userspace application attempts to allocate a 0x0 GBM buffer. Tested by attempting to allocate a 0x0 GBM buffer on an MT8188 and verifying that we now return EINVAL. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ASoC: kirkwood: Fix potential NULL dereference In kirkwood_dma_hw_params() mv_mbus_dram_info() returns NULL if CONFIG_PLAT_ORION macro is not defined. Fix this bug by adding NULL check. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: fec: remove .ndo_poll_controller to avoid deadlocks There is a deadlock issue found in sungem driver, please refer to the commit ac0a230f719b ("eth: sungem: remove .ndo_poll_controller to avoid deadlocks"). The root cause of the issue is that netpoll is in atomic context and disable_irq() is called by .ndo_poll_controller interface of sungem driver, however, disable_irq() might sleep. After analyzing the implementation of fec_poll_controller(), the fec driver should have the same issue. Due to the fec driver uses NAPI for TX completions, the .ndo_poll_controller is unnecessary to be implemented in the fec driver, so fec_poll_controller() can be safely removed. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ax25: Fix reference count leak issue of net_device There is a reference count leak issue of the object "net_device" in ax25_dev_device_down(). When the ax25 device is shutting down, the ax25_dev_device_down() drops the reference count of net_device one or zero times depending on if we goto unlock_put or not, which will cause memory leak. In order to solve the above issue, decrease the reference count of net_device after dev->ax25_ptr is set to null. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5: Add a timeout to acquire the command queue semaphore Prevent forced completion handling on an entry that has not yet been assigned an index, causing an out of bounds access on idx = -22. Instead of waiting indefinitely for the sem, blocking flow now waits for index to be allocated or a sem acquisition timeout before beginning the timer for FW completion. Kernel log example: mlx5_core 0000:06:00.0: wait_func_handle_exec_timeout:1128:(pid 185911): cmd[-22]: CREATE_UCTX(0xa04) No done completion [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: openvswitch: fix overwriting ct original tuple for ICMPv6 OVS_PACKET_CMD_EXECUTE has 3 main attributes: - OVS_PACKET_ATTR_KEY - Packet metadata in a netlink format. - OVS_PACKET_ATTR_PACKET - Binary packet content. - OVS_PACKET_ATTR_ACTIONS - Actions to execute on the packet. OVS_PACKET_ATTR_KEY is parsed first to populate sw_flow_key structure with the metadata like conntrack state, input port, recirculation id, etc. Then the packet itself gets parsed to populate the rest of the keys from the packet headers. Whenever the packet parsing code starts parsing the ICMPv6 header, it first zeroes out fields in the key corresponding to Neighbor Discovery information even if it is not an ND packet. It is an 'ipv6.nd' field. However, the 'ipv6' is a union that shares the space between 'nd' and 'ct_orig' that holds the original tuple conntrack metadata parsed from the OVS_PACKET_ATTR_KEY. ND packets should not normally have conntrack state, so it's fine to share the space, but normal ICMPv6 Echo packets or maybe other types of ICMPv6 can have the state attached and it should not be overwritten. The issue results in all but the last 4 bytes of the destination address being wiped from the original conntrack tuple leading to incorrect packet matching and potentially executing wrong actions in case this packet recirculates within the datapath or goes back to userspace. ND fields should not be accessed in non-ND packets, so not clearing them should be fine. Executing memset() only for actual ND packets to avoid the issue. Initializing the whole thing before parsing is needed because ND packet may not contain all the options. The issue only affects the OVS_PACKET_CMD_EXECUTE path and doesn't affect packets entering OVS datapath from network interfaces, because in this case CT metadata is populated from skb after the packet is already parsed. [NistCWE(cwe='CWE-665')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: kunit: Fix kthread reference There is a race condition when a kthread finishes after the deadline and before the call to kthread_stop(), which may lead to use after free. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: carl9170: add a proper sanity check for endpoints Syzkaller reports [1] hitting a warning which is caused by presence of a wrong endpoint type at the URB sumbitting stage. While there was a check for a specific 4th endpoint, since it can switch types between bulk and interrupt, other endpoints are trusted implicitly. Similar warning is triggered in a couple of other syzbot issues [2]. Fix the issue by doing a comprehensive check of all endpoints taking into account difference between high- and full-speed configuration. [1] Syzkaller report: ... WARNING: CPU: 0 PID: 4721 at drivers/usb/core/urb.c:504 usb_submit_urb+0xed6/0x1880 drivers/usb/core/urb.c:504 ... Call Trace: <TASK> carl9170_usb_send_rx_irq_urb+0x273/0x340 drivers/net/wireless/ath/carl9170/usb.c:504 carl9170_usb_init_device drivers/net/wireless/ath/carl9170/usb.c:939 [inline] carl9170_usb_firmware_finish drivers/net/wireless/ath/carl9170/usb.c:999 [inline] carl9170_usb_firmware_step2+0x175/0x240 drivers/net/wireless/ath/carl9170/usb.c:1028 request_firmware_work_func+0x130/0x240 drivers/base/firmware_loader/main.c:1107 process_one_work+0x9bf/0x1710 kernel/workqueue.c:2289 worker_thread+0x669/0x1090 kernel/workqueue.c:2436 kthread+0x2e8/0x3a0 kernel/kthread.c:376 ret_from_fork+0x1f/0x30 arch/x86/entry/entry_64.S:308 </TASK> [2] Related syzkaller crashes: [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drivers/perf: hisi: hns3: Fix out-of-bound access when valid event group The perf tool allows users to create event groups through following cmd [1], but the driver does not check whether the array index is out of bounds when writing data to the event_group array. If the number of events in an event_group is greater than HNS3_PMU_MAX_HW_EVENTS, the memory write overflow of event_group array occurs. Add array index check to fix the possible array out of bounds violation, and return directly when write new events are written to array bounds. There are 9 different events in an event_group. [1] perf stat -e '{pmu/event1/, ... ,pmu/event9/} [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drivers/perf: hisi_pcie: Fix out-of-bound access when valid event group The perf tool allows users to create event groups through following cmd [1], but the driver does not check whether the array index is out of bounds when writing data to the event_group array. If the number of events in an event_group is greater than HISI_PCIE_MAX_COUNTERS, the memory write overflow of event_group array occurs. Add array index check to fix the possible array out of bounds violation, and return directly when write new events are written to array bounds. There are 9 different events in an event_group. [1] perf stat -e '{pmu/event1/, ... ,pmu/event9/}' [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: thermal/drivers/tsens: Fix null pointer dereference compute_intercept_slope() is called from calibrate_8960() (in tsens-8960.c) as compute_intercept_slope(priv, p1, NULL, ONE_PT_CALIB) which lead to null pointer dereference (if DEBUG or DYNAMIC_DEBUG set). Fix this bug by adding null pointer check. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: brcmfmac: pcie: handle randbuf allocation failure The kzalloc() in brcmf_pcie_download_fw_nvram() will return null if the physical memory has run out. As a result, if we use get_random_bytes() to generate random bytes in the randbuf, the null pointer dereference bug will happen. In order to prevent allocation failure, this patch adds a separate function using buffer on kernel stack to generate random bytes in the randbuf, which could prevent the kernel stack from overflow. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: rcu: Fix buffer overflow in print_cpu_stall_info() The rcuc-starvation output from print_cpu_stall_info() might overflow the buffer if there is a huge difference in jiffies difference. The situation might seem improbable, but computers sometimes get very confused about time, which can result in full-sized integers, and, in this case, buffer overflow. Also, the unsigned jiffies difference is printed using %ld, which is normally for signed integers. This is intentional for debugging purposes, but it is not obvious from the code. This commit therefore changes sprintf() to snprintf() and adds a clarifying comment about intention of %ld format. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ecryptfs: Fix buffer size for tag 66 packet The 'TAG 66 Packet Format' description is missing the cipher code and checksum fields that are packed into the message packet. As a result, the buffer allocated for the packet is 3 bytes too small and write_tag_66_packet() will write up to 3 bytes past the end of the buffer. Fix this by increasing the size of the allocation so the whole packet will always fit in the buffer. This fixes the below kasan slab-out-of-bounds bug: BUG: KASAN: slab-out-of-bounds in ecryptfs_generate_key_packet_set+0x7d6/0xde0 Write of size 1 at addr ffff88800afbb2a5 by task touch/181 CPU: 0 PID: 181 Comm: touch Not tainted 6.6.13-gnu #1 4c9534092be820851bb687b82d1f92a426598dc6 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.2/GNU Guix 04/01/2014 Call Trace: <TASK> dump_stack_lvl+0x4c/0x70 print_report+0xc5/0x610 ? ecryptfs_generate_key_packet_set+0x7d6/0xde0 ? kasan_complete_mode_report_info+0x44/0x210 ? ecryptfs_generate_key_packet_set+0x7d6/0xde0 kasan_report+0xc2/0x110 ? ecryptfs_generate_key_packet_set+0x7d6/0xde0 __asan_store1+0x62/0x80 ecryptfs_generate_key_packet_set+0x7d6/0xde0 ? __pfx_ecryptfs_generate_key_packet_set+0x10/0x10 ? __alloc_pages+0x2e2/0x540 ? __pfx_ovl_open+0x10/0x10 [overlay 30837f11141636a8e1793533a02e6e2e885dad1d] ? dentry_open+0x8f/0xd0 ecryptfs_write_metadata+0x30a/0x550 ? __pfx_ecryptfs_write_metadata+0x10/0x10 ? ecryptfs_get_lower_file+0x6b/0x190 ecryptfs_initialize_file+0x77/0x150 ecryptfs_create+0x1c2/0x2f0 path_openat+0x17cf/0x1ba0 ? __pfx_path_openat+0x10/0x10 do_filp_open+0x15e/0x290 ? __pfx_do_filp_open+0x10/0x10 ? __kasan_check_write+0x18/0x30 ? _raw_spin_lock+0x86/0xf0 ? __pfx__raw_spin_lock+0x10/0x10 ? __kasan_check_write+0x18/0x30 ? alloc_fd+0xf4/0x330 do_sys_openat2+0x122/0x160 ? __pfx_do_sys_openat2+0x10/0x10 __x64_sys_openat+0xef/0x170 ? __pfx___x64_sys_openat+0x10/0x10 do_syscall_64+0x60/0xd0 entry_SYSCALL_64_after_hwframe+0x6e/0xd8 RIP: 0033:0x7f00a703fd67 Code: 25 00 00 41 00 3d 00 00 41 00 74 37 64 8b 04 25 18 00 00 00 85 c0 75 5b 44 89 e2 48 89 ee bf 9c ff ff ff b8 01 01 00 00 0f 05 <48> 3d 00 f0 ff ff 0f 87 85 00 00 00 48 83 c4 68 5d 41 5c c3 0f 1f RSP: 002b:00007ffc088e30b0 EFLAGS: 00000246 ORIG_RAX: 0000000000000101 RAX: ffffffffffffffda RBX: 00007ffc088e3368 RCX: 00007f00a703fd67 RDX: 0000000000000941 RSI: 00007ffc088e48d7 RDI: 00000000ffffff9c RBP: 00007ffc088e48d7 R08: 0000000000000001 R09: 0000000000000000 R10: 00000000000001b6 R11: 0000000000000246 R12: 0000000000000941 R13: 0000000000000000 R14: 00007ffc088e48d7 R15: 00007f00a7180040 </TASK> Allocated by task 181: kasan_save_stack+0x2f/0x60 kasan_set_track+0x29/0x40 kasan_save_alloc_info+0x25/0x40 __kasan_kmalloc+0xc5/0xd0 __kmalloc+0x66/0x160 ecryptfs_generate_key_packet_set+0x6d2/0xde0 ecryptfs_write_metadata+0x30a/0x550 ecryptfs_initialize_file+0x77/0x150 ecryptfs_create+0x1c2/0x2f0 path_openat+0x17cf/0x1ba0 do_filp_open+0x15e/0x290 do_sys_openat2+0x122/0x160 __x64_sys_openat+0xef/0x170 do_syscall_64+0x60/0xd0 entry_SYSCALL_64_after_hwframe+0x6e/0xd8 [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: crypto: bcm - Fix pointer arithmetic In spu2_dump_omd() value of ptr is increased by ciph_key_len instead of hash_iv_len which could lead to going beyond the buffer boundaries. Fix this bug by changing ciph_key_len to hash_iv_len. Found by Linux Verification Center (linuxtesting.org) with SVACE. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tools/nolibc/stdlib: fix memory error in realloc() Pass user_p_len to memcpy() instead of heap->len to prevent realloc() from copying an extra sizeof(heap) bytes from beyond the allocated region. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: r8169: Fix possible ring buffer corruption on fragmented Tx packets. An issue was found on the RTL8125b when transmitting small fragmented packets, whereby invalid entries were inserted into the transmit ring buffer, subsequently leading to calls to dma_unmap_single() with a null address. This was caused by rtl8169_start_xmit() not noticing changes to nr_frags which may occur when small packets are padded (to work around hardware quirks) in rtl8169_tso_csum_v2(). To fix this, postpone inspecting nr_frags until after any padding has been applied. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: speakup: Fix sizeof() vs ARRAY_SIZE() bug The "buf" pointer is an array of u16 values. This code should be using ARRAY_SIZE() (which is 256) instead of sizeof() (which is 512), otherwise it can the still got out of bounds. [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ftrace: Fix possible use-after-free issue in ftrace_location() KASAN reports a bug: BUG: KASAN: use-after-free in ftrace_location+0x90/0x120 Read of size 8 at addr ffff888141d40010 by task insmod/424 CPU: 8 PID: 424 Comm: insmod Tainted: G W 6.9.0-rc2+ [...] Call Trace: <TASK> dump_stack_lvl+0x68/0xa0 print_report+0xcf/0x610 kasan_report+0xb5/0xe0 ftrace_location+0x90/0x120 register_kprobe+0x14b/0xa40 kprobe_init+0x2d/0xff0 [kprobe_example] do_one_initcall+0x8f/0x2d0 do_init_module+0x13a/0x3c0 load_module+0x3082/0x33d0 init_module_from_file+0xd2/0x130 __x64_sys_finit_module+0x306/0x440 do_syscall_64+0x68/0x140 entry_SYSCALL_64_after_hwframe+0x71/0x79 The root cause is that, in lookup_rec(), ftrace record of some address is being searched in ftrace pages of some module, but those ftrace pages at the same time is being freed in ftrace_release_mod() as the corresponding module is being deleted: CPU1 | CPU2 register_kprobes() { | delete_module() { check_kprobe_address_safe() { | arch_check_ftrace_location() { | ftrace_location() { | lookup_rec() // USE! | ftrace_release_mod() // Free! To fix this issue: 1. Hold rcu lock as accessing ftrace pages in ftrace_location_range(); 2. Use ftrace_location_range() instead of lookup_rec() in ftrace_location(); 3. Call synchronize_rcu() before freeing any ftrace pages both in ftrace_process_locs()/ftrace_release_mod()/ftrace_free_mem(). [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/hns: Modify the print level of CQE error Too much print may lead to a panic in kernel. Change ibdev_err() to ibdev_err_ratelimited(), and change the printing level of cqe dump to debug level. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/hns: Fix deadlock on SRQ async events. xa_lock for SRQ table may be required in AEQ. Use xa_store_irq()/ xa_erase_irq() to avoid deadlock. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: af_unix: Fix data races in unix_release_sock/unix_stream_sendmsg A data-race condition has been identified in af_unix. In one data path, the write function unix_release_sock() atomically writes to sk->sk_shutdown using WRITE_ONCE. However, on the reader side, unix_stream_sendmsg() does not read it atomically. Consequently, this issue is causing the following KCSAN splat to occur: BUG: KCSAN: data-race in unix_release_sock / unix_stream_sendmsg write (marked) to 0xffff88867256ddbb of 1 bytes by task 7270 on cpu 28: unix_release_sock (net/unix/af_unix.c:640) unix_release (net/unix/af_unix.c:1050) sock_close (net/socket.c:659 net/socket.c:1421) __fput (fs/file_table.c:422) __fput_sync (fs/file_table.c:508) __se_sys_close (fs/open.c:1559 fs/open.c:1541) __x64_sys_close (fs/open.c:1541) x64_sys_call (arch/x86/entry/syscall_64.c:33) do_syscall_64 (arch/x86/entry/common.c:?) entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:130) read to 0xffff88867256ddbb of 1 bytes by task 989 on cpu 14: unix_stream_sendmsg (net/unix/af_unix.c:2273) __sock_sendmsg (net/socket.c:730 net/socket.c:745) ____sys_sendmsg (net/socket.c:2584) __sys_sendmmsg (net/socket.c:2638 net/socket.c:2724) __x64_sys_sendmmsg (net/socket.c:2753 net/socket.c:2750 net/socket.c:2750) x64_sys_call (arch/x86/entry/syscall_64.c:33) do_syscall_64 (arch/x86/entry/common.c:?) entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:130) value changed: 0x01 -> 0x03 The line numbers are related to commit dd5a440a31fa ("Linux 6.9-rc7"). Commit e1d09c2c2f57 ("af_unix: Fix data races around sk->sk_shutdown.") addressed a comparable issue in the past regarding sk->sk_shutdown. However, it overlooked resolving this particular data path. This patch only offending unix_stream_sendmsg() function, since the other reads seem to be protected by unix_state_lock() as discussed in [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: eth: sungem: remove .ndo_poll_controller to avoid deadlocks Erhard reports netpoll warnings from sungem: netpoll_send_skb_on_dev(): eth0 enabled interrupts in poll (gem_start_xmit+0x0/0x398) WARNING: CPU: 1 PID: 1 at net/core/netpoll.c:370 netpoll_send_skb+0x1fc/0x20c gem_poll_controller() disables interrupts, which may sleep. We can't sleep in netpoll, it has interrupts disabled completely. Strangely, gem_poll_controller() doesn't even poll the completions, and instead acts as if an interrupt has fired so it just schedules NAPI and exits. None of this has been necessary for years, since netpoll invokes NAPI directly. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: md: fix resync softlockup when bitmap size is less than array size Is is reported that for dm-raid10, lvextend + lvchange --syncaction will trigger following softlockup: kernel:watchdog: BUG: soft lockup - CPU#3 stuck for 26s! [mdX_resync:6976] CPU: 7 PID: 3588 Comm: mdX_resync Kdump: loaded Not tainted 6.9.0-rc4-next-20240419 #1 RIP: 0010:_raw_spin_unlock_irq+0x13/0x30 Call Trace: <TASK> md_bitmap_start_sync+0x6b/0xf0 raid10_sync_request+0x25c/0x1b40 [raid10] md_do_sync+0x64b/0x1020 md_thread+0xa7/0x170 kthread+0xcf/0x100 ret_from_fork+0x30/0x50 ret_from_fork_asm+0x1a/0x30 And the detailed process is as follows: md_do_sync j = mddev->resync_min while (j < max_sectors) sectors = raid10_sync_request(mddev, j, &skipped) if (!md_bitmap_start_sync(..., &sync_blocks)) // md_bitmap_start_sync set sync_blocks to 0 return sync_blocks + sectors_skippe; // sectors = 0; j += sectors; // j never change Root cause is that commit 301867b1c168 ("md/raid10: check slab-out-of-bounds in md_bitmap_get_counter") return early from md_bitmap_get_counter(), without setting returned blocks. Fix this problem by always set returned blocks from md_bitmap_get_counter"(), as it used to be. Noted that this patch just fix the softlockup problem in kernel, the case that bitmap size doesn't match array size still need to be fixed. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: jffs2: prevent xattr node from overflowing the eraseblock Add a check to make sure that the requested xattr node size is no larger than the eraseblock minus the cleanmarker. Unlike the usual inode nodes, the xattr nodes aren't split into parts and spread across multiple eraseblocks, which means that a xattr node must not occupy more than one eraseblock. If the requested xattr value is too large, the xattr node can spill onto the next eraseblock, overwriting the nodes and causing errors such as: jffs2: argh. node added in wrong place at 0x0000b050(2) jffs2: nextblock 0x0000a000, expected at 0000b00c jffs2: error: (823) do_verify_xattr_datum: node CRC failed at 0x01e050, read=0xfc892c93, calc=0x000000 jffs2: notice: (823) jffs2_get_inode_nodes: Node header CRC failed at 0x01e00c. {848f,2fc4,0fef511f,59a3d171} jffs2: Node at 0x0000000c with length 0x00001044 would run over the end of the erase block jffs2: Perhaps the file system was created with the wrong erase size? jffs2: jffs2_scan_eraseblock(): Magic bitmask 0x1985 not found at 0x00000010: 0x1044 instead This breaks the filesystem and can lead to KASAN crashes such as: BUG: KASAN: slab-out-of-bounds in jffs2_sum_add_kvec+0x125e/0x15d0 Read of size 4 at addr ffff88802c31e914 by task repro/830 CPU: 0 PID: 830 Comm: repro Not tainted 6.9.0-rc3+ #1 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS Arch Linux 1.16.3-1-1 04/01/2014 Call Trace: <TASK> dump_stack_lvl+0xc6/0x120 print_report+0xc4/0x620 ? __virt_addr_valid+0x308/0x5b0 kasan_report+0xc1/0xf0 ? jffs2_sum_add_kvec+0x125e/0x15d0 ? jffs2_sum_add_kvec+0x125e/0x15d0 jffs2_sum_add_kvec+0x125e/0x15d0 jffs2_flash_direct_writev+0xa8/0xd0 jffs2_flash_writev+0x9c9/0xef0 ? __x64_sys_setxattr+0xc4/0x160 ? do_syscall_64+0x69/0x140 ? entry_SYSCALL_64_after_hwframe+0x76/0x7e [...] Found by Linux Verification Center (linuxtesting.org) with Syzkaller. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ring-buffer: Fix a race between readers and resize checks The reader code in rb_get_reader_page() swaps a new reader page into the ring buffer by doing cmpxchg on old->list.prev->next to point it to the new page. Following that, if the operation is successful, old->list.next->prev gets updated too. This means the underlying doubly-linked list is temporarily inconsistent, page->prev->next or page->next->prev might not be equal back to page for some page in the ring buffer. The resize operation in ring_buffer_resize() can be invoked in parallel. It calls rb_check_pages() which can detect the described inconsistency and stop further tracing: [ 190.271762] ------------[ cut here ]------------ [ 190.271771] WARNING: CPU: 1 PID: 6186 at kernel/trace/ring_buffer.c:1467 rb_check_pages.isra.0+0x6a/0xa0 [ 190.271789] Modules linked in: [...] [ 190.271991] Unloaded tainted modules: intel_uncore_frequency(E):1 skx_edac(E):1 [ 190.272002] CPU: 1 PID: 6186 Comm: cmd.sh Kdump: loaded Tainted: G E 6.9.0-rc6-default #5 158d3e1e6d0b091c34c3b96bfd99a1c58306d79f [ 190.272011] Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS rel-1.16.0-0-gd239552c-rebuilt.opensuse.org 04/01/2014 [ 190.272015] RIP: 0010:rb_check_pages.isra.0+0x6a/0xa0 [ 190.272023] Code: [...] [ 190.272028] RSP: 0018:ffff9c37463abb70 EFLAGS: 00010206 [ 190.272034] RAX: ffff8eba04b6cb80 RBX: 0000000000000007 RCX: ffff8eba01f13d80 [ 190.272038] RDX: ffff8eba01f130c0 RSI: ffff8eba04b6cd00 RDI: ffff8eba0004c700 [ 190.272042] RBP: ffff8eba0004c700 R08: 0000000000010002 R09: 0000000000000000 [ 190.272045] R10: 00000000ffff7f52 R11: ffff8eba7f600000 R12: ffff8eba0004c720 [ 190.272049] R13: ffff8eba00223a00 R14: 0000000000000008 R15: ffff8eba067a8000 [ 190.272053] FS: 00007f1bd64752c0(0000) GS:ffff8eba7f680000(0000) knlGS:0000000000000000 [ 190.272057] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 190.272061] CR2: 00007f1bd6662590 CR3: 000000010291e001 CR4: 0000000000370ef0 [ 190.272070] DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 [ 190.272073] DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 [ 190.272077] Call Trace: [ 190.272098] <TASK> [ 190.272189] ring_buffer_resize+0x2ab/0x460 [ 190.272199] __tracing_resize_ring_buffer.part.0+0x23/0xa0 [ 190.272206] tracing_resize_ring_buffer+0x65/0x90 [ 190.272216] tracing_entries_write+0x74/0xc0 [ 190.272225] vfs_write+0xf5/0x420 [ 190.272248] ksys_write+0x67/0xe0 [ 190.272256] do_syscall_64+0x82/0x170 [ 190.272363] entry_SYSCALL_64_after_hwframe+0x76/0x7e [ 190.272373] RIP: 0033:0x7f1bd657d263 [ 190.272381] Code: [...] [ 190.272385] RSP: 002b:00007ffe72b643f8 EFLAGS: 00000246 ORIG_RAX: 0000000000000001 [ 190.272391] RAX: ffffffffffffffda RBX: 0000000000000002 RCX: 00007f1bd657d263 [ 190.272395] RDX: 0000000000000002 RSI: 0000555a6eb538e0 RDI: 0000000000000001 [ 190.272398] RBP: 0000555a6eb538e0 R08: 000000000000000a R09: 0000000000000000 [ 190.272401] R10: 0000555a6eb55190 R11: 0000000000000246 R12: 00007f1bd6662500 [ 190.272404] R13: 0000000000000002 R14: 00007f1bd6667c00 R15: 0000000000000002 [ 190.272412] </TASK> [ 190.272414] ---[ end trace 0000000000000000 ]--- Note that ring_buffer_resize() calls rb_check_pages() only if the parent trace_buffer has recording disabled. Recent commit d78ab792705c ("tracing: Stop current tracer when resizing buffer") causes that it is now always the case which makes it more likely to experience this issue. The window to hit this race is nonetheless very small. To help reproducing it, one can add a delay loop in rb_get_reader_page(): ret = rb_head_page_replace(reader, cpu_buffer->reader_page); if (!ret) goto spin; for (unsigned i = 0; i < 1U << 26; i++) /* inserted delay loop */ __asm__ __volatile__ ("" : : : "memory"); rb_list_head(reader->list.next)->prev = &cpu_buffer->reader_page->list; .. ---truncated--- [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ax25: Fix reference count leak issues of ax25_dev The ax25_addr_ax25dev() and ax25_dev_device_down() exist a reference count leak issue of the object "ax25_dev". Memory leak issue in ax25_addr_ax25dev(): The reference count of the object "ax25_dev" can be increased multiple times in ax25_addr_ax25dev(). This will cause a memory leak. Memory leak issues in ax25_dev_device_down(): The reference count of ax25_dev is set to 1 in ax25_dev_device_up() and then increase the reference count when ax25_dev is added to ax25_dev_list. As a result, the reference count of ax25_dev is 2. But when the device is shutting down. The ax25_dev_device_down() drops the reference count once or twice depending on if we goto unlock_put or not, which will cause memory leak. As for the issue of ax25_addr_ax25dev(), it is impossible for one pointer to be on a list twice. So add a break in ax25_addr_ax25dev(). As for the issue of ax25_dev_device_down(), increase the reference count of ax25_dev once in ax25_dev_device_up() and decrease the reference count of ax25_dev after it is removed from the ax25_dev_list. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drivers/perf: hisi: hns3: Actually use devm_add_action_or_reset() pci_alloc_irq_vectors() allocates an irq vector. When devm_add_action() fails, the irq vector is not freed, which leads to a memory leak. Replace the devm_add_action with devm_add_action_or_reset to ensure the irq vector can be destroyed when it fails. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ALSA: core: Fix NULL module pointer assignment at card init The commit 81033c6b584b ("ALSA: core: Warn on empty module") introduced a WARN_ON() for a NULL module pointer passed at snd_card object creation, and it also wraps the code around it with '#ifdef MODULE'. This works in most cases, but the devils are always in details. "MODULE" is defined when the target code (i.e. the sound core) is built as a module; but this doesn't mean that the caller is also built-in or not. Namely, when only the sound core is built-in (CONFIG_SND=y) while the driver is a module (CONFIG_SND_USB_AUDIO=m), the passed module pointer is ignored even if it's non-NULL, and card->module remains as NULL. This would result in the missing module reference up/down at the device open/close, leading to a race with the code execution after the module removal. For addressing the bug, move the assignment of card->module again out of ifdef. The WARN_ON() is still wrapped with ifdef because the module can be really NULL when all sound drivers are built-in. Note that we keep 'ifdef MODULE' for WARN_ON(), otherwise it would lead to a false-positive NULL module check. Admittedly it won't catch perfectly, i.e. no check is performed when CONFIG_SND=y. But, it's no real problem as it's only for debugging, and the condition is pretty rare. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: macintosh/via-macii: Fix "BUG: sleeping function called from invalid context" The via-macii ADB driver calls request_irq() after disabling hard interrupts. But disabling interrupts isn't necessary here because the VIA shift register interrupt was masked during VIA1 initialization. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drivers/virt/acrn: fix PFNMAP PTE checks in acrn_vm_ram_map() Patch series "mm: follow_pte() improvements and acrn follow_pte() fixes". Patch #1 fixes a bunch of issues I spotted in the acrn driver. It compiles, that's all I know. I'll appreciate some review and testing from acrn folks. Patch #2+#3 improve follow_pte(), passing a VMA instead of the MM, adding more sanity checks, and improving the documentation. Gave it a quick test on x86-64 using VM_PAT that ends up using follow_pte(). This patch (of 3): We currently miss handling various cases, resulting in a dangerous follow_pte() (previously follow_pfn()) usage. (1) We're not checking PTE write permissions. Maybe we should simply always require pte_write() like we do for pin_user_pages_fast(FOLL_WRITE)? Hard to tell, so let's check for ACRN_MEM_ACCESS_WRITE for now. (2) We're not rejecting refcounted pages. As we are not using MMU notifiers, messing with refcounted pages is dangerous and can result in use-after-free. Let's make sure to reject them. (3) We are only looking at the first PTE of a bigger range. We only lookup a single PTE, but memmap->len may span a larger area. Let's loop over all involved PTEs and make sure the PFN range is actually contiguous. Reject everything else: it couldn't have worked either way, and rather made use access PFNs we shouldn't be accessing. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ipv6: sr: fix invalid unregister error path The error path of seg6_init() is wrong in case CONFIG_IPV6_SEG6_LWTUNNEL is not defined. In that case if seg6_hmac_init() fails, the genl_unregister_family() isn't called. This issue exist since commit 46738b1317e1 ("ipv6: sr: add option to control lwtunnel support"), and commit 5559cea2d5aa ("ipv6: sr: fix possible use-after-free and null-ptr-deref") replaced unregister_pernet_subsys() with genl_unregister_family() in this error path. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: m68k: Fix spinlock race in kernel thread creation Context switching does take care to retain the correct lock owner across the switch from 'prev' to 'next' tasks. This does rely on interrupts remaining disabled for the entire duration of the switch. This condition is guaranteed for normal process creation and context switching between already running processes, because both 'prev' and 'next' already have interrupts disabled in their saved copies of the status register. The situation is different for newly created kernel threads. The status register is set to PS_S in copy_thread(), which does leave the IPL at 0. Upon restoring the 'next' thread's status register in switch_to() aka resume(), interrupts then become enabled prematurely. resume() then returns via ret_from_kernel_thread() and schedule_tail() where run queue lock is released (see finish_task_switch() and finish_lock_switch()). A timer interrupt calling scheduler_tick() before the lock is released in finish_task_switch() will find the lock already taken, with the current task as lock owner. This causes a spinlock recursion warning as reported by Guenter Roeck. As far as I can ascertain, this race has been opened in commit 533e6903bea0 ("m68k: split ret_from_fork(), simplify kernel_thread()") but I haven't done a detailed study of kernel history so it may well predate that commit. Interrupts cannot be disabled in the saved status register copy for kernel threads (init will complain about interrupts disabled when finally starting user space). Disable interrupts temporarily when switching the tasks' register sets in resume(). Note that a simple oriw 0x700,%sr after restoring sr is not enough here - this leaves enough of a race for the 'spinlock recursion' warning to still be observed. Tested on ARAnyM and qemu (Quadra 800 emulation). [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: carl9170: re-fix fortified-memset warning The carl9170_tx_release() function sometimes triggers a fortified-memset warning in my randconfig builds: In file included from include/linux/string.h:254, from drivers/net/wireless/ath/carl9170/tx.c:40: In function 'fortify_memset_chk', inlined from 'carl9170_tx_release' at drivers/net/wireless/ath/carl9170/tx.c:283:2, inlined from 'kref_put' at include/linux/kref.h:65:3, inlined from 'carl9170_tx_put_skb' at drivers/net/wireless/ath/carl9170/tx.c:342:9: include/linux/fortify-string.h:493:25: error: call to '__write_overflow_field' declared with attribute warning: detected write beyond size of field (1st parameter); maybe use struct_group()? [-Werror=attribute-warning] 493 | __write_overflow_field(p_size_field, size); Kees previously tried to avoid this by using memset_after(), but it seems this does not fully address the problem. I noticed that the memset_after() here is done on a different part of the union (status) than the original cast was from (rate_driver_data), which may confuse the compiler. Unfortunately, the memset_after() trick does not work on driver_rates[] because that is part of an anonymous struct, and I could not get struct_group() to do this either. Using two separate memset() calls on the two members does address the warning though. [NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H', score=8.2) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: usb-storage: alauda: Check whether the media is initialized The member "uzonesize" of struct alauda_info will remain 0 if alauda_init_media() fails, potentially causing divide errors in alauda_read_data() and alauda_write_lba(). - Add a member "media_initialized" to struct alauda_info. - Change a condition in alauda_check_media() to ensure the first initialization. - Add an error check for the return value of alauda_init_media(). [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fs/ntfs3: Use variable length array instead of fixed size Should fix smatch warning: ntfs_set_label() error: __builtin_memcpy() 'uni->name' too small (20 vs 256) [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fs/ntfs3: Use 64 bit variable to avoid 32 bit overflow For example, in the expression: vbo = 2 * vbo + skip [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: stm class: Fix a double free in stm_register_device() The put_device(&stm->dev) call will trigger stm_device_release() which frees "stm" so the vfree(stm) on the next line is a double free. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: usb: gadget: u_audio: Fix race condition use of controls after free during gadget unbind. Hang on to the control IDs instead of pointers since those are correctly handled with locks. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: vfio/pci: fix potential memory leak in vfio_intx_enable() If vfio_irq_ctx_alloc() failed will lead to 'name' memory leak. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: serial: max3100: Update uart_driver_registered on driver removal The removal of the last MAX3100 device triggers the removal of the driver. However, code doesn't update the respective global variable and after insmod — rmmod — insmod cycle the kernel oopses: max3100 spi-PRP0001:01: max3100_probe: adding port 0 BUG: kernel NULL pointer dereference, address: 0000000000000408 ... RIP: 0010:serial_core_register_port+0xa0/0x840 ... max3100_probe+0x1b6/0x280 [max3100] spi_probe+0x8d/0xb0 Update the actual state so next time UART driver will be registered again. Hugo also noticed, that the error path in the probe also affected by having the variable set, and not cleared. Instead of clearing it move the assignment after the successfull uart_register_driver() call. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: serial: max3100: Lock port->lock when calling uart_handle_cts_change() uart_handle_cts_change() has to be called with port lock taken, Since we run it in a separate work, the lock may not be taken at the time of running. Make sure that it's taken by explicitly doing that. Without it we got a splat: WARNING: CPU: 0 PID: 10 at drivers/tty/serial/serial_core.c:3491 uart_handle_cts_change+0xa6/0xb0 ... Workqueue: max3100-0 max3100_work [max3100] RIP: 0010:uart_handle_cts_change+0xa6/0xb0 ... max3100_handlerx+0xc5/0x110 [max3100] max3100_work+0x12a/0x340 [max3100] [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: f2fs: multidev: fix to recognize valid zero block address As reported by Yi Zhang in mailing list [1], kernel warning was catched during zbd/010 test as below: ./check zbd/010 zbd/010 (test gap zone support with F2FS) [failed] runtime ... 3.752s something found in dmesg: [ 4378.146781] run blktests zbd/010 at 2024-02-18 11:31:13 [ 4378.192349] null_blk: module loaded [ 4378.209860] null_blk: disk nullb0 created [ 4378.413285] scsi_debug:sdebug_driver_probe: scsi_debug: trim poll_queues to 0. poll_q/nr_hw = (0/1) [ 4378.422334] scsi host15: scsi_debug: version 0191 [20210520] dev_size_mb=1024, opts=0x0, submit_queues=1, statistics=0 [ 4378.434922] scsi 15:0:0:0: Direct-Access-ZBC Linux scsi_debug 0191 PQ: 0 ANSI: 7 [ 4378.443343] scsi 15:0:0:0: Power-on or device reset occurred [ 4378.449371] sd 15:0:0:0: Attached scsi generic sg5 type 20 [ 4378.449418] sd 15:0:0:0: [sdf] Host-managed zoned block device ... (See '/mnt/tests/gitlab.com/api/v4/projects/19168116/repository/archive.zip/storage/blktests/blk/blktests/results/nodev/zbd/010.dmesg' WARNING: CPU: 22 PID: 44011 at fs/iomap/iter.c:51 CPU: 22 PID: 44011 Comm: fio Not tainted 6.8.0-rc3+ #1 RIP: 0010:iomap_iter+0x32b/0x350 Call Trace: <TASK> __iomap_dio_rw+0x1df/0x830 f2fs_file_read_iter+0x156/0x3d0 [f2fs] aio_read+0x138/0x210 io_submit_one+0x188/0x8c0 __x64_sys_io_submit+0x8c/0x1a0 do_syscall_64+0x86/0x170 entry_SYSCALL_64_after_hwframe+0x6e/0x76 Shinichiro Kawasaki helps to analyse this issue and proposes a potential fixing patch in [2]. Quoted from reply of Shinichiro Kawasaki: "I confirmed that the trigger commit is dbf8e63f48af as Yi reported. I took a look in the commit, but it looks fine to me. So I thought the cause is not in the commit diff. I found the WARN is printed when the f2fs is set up with multiple devices, and read requests are mapped to the very first block of the second device in the direct read path. In this case, f2fs_map_blocks() and f2fs_map_blocks_cached() modify map->m_pblk as the physical block address from each block device. It becomes zero when it is mapped to the first block of the device. However, f2fs_iomap_begin() assumes that map->m_pblk is the physical block address of the whole f2fs, across the all block devices. It compares map->m_pblk against NULL_ADDR == 0, then go into the unexpected branch and sets the invalid iomap->length. The WARN catches the invalid iomap->length. This WARN is printed even for non-zoned block devices, by following steps. - Create two (non-zoned) null_blk devices memory backed with 128MB size each: nullb0 and nullb1. # mkfs.f2fs /dev/nullb0 -c /dev/nullb1 # mount -t f2fs /dev/nullb0 "${mount_dir}" # dd if=/dev/zero of="${mount_dir}/test.dat" bs=1M count=192 # dd if="${mount_dir}/test.dat" of=/dev/null bs=1M count=192 iflag=direct ..." So, the root cause of this issue is: when multi-devices feature is on, f2fs_map_blocks() may return zero blkaddr in non-primary device, which is a verified valid block address, however, f2fs_iomap_begin() treats it as an invalid block address, and then it triggers the warning in iomap framework code. Finally, as discussed, we decide to use a more simple and direct way that checking (map.m_flags & F2FS_MAP_MAPPED) condition instead of (map.m_pblk != NULL_ADDR) to fix this issue. Thanks a lot for the effort of Yi Zhang and Shinichiro Kawasaki on this issue. [1] https://lore.kernel.org/linux-f2fs-devel/CAHj4cs-kfojYC9i0G73PRkYzcxCTex=-vugRFeP40g_URGvnfQ@mail.gmail.com/ [2] https://lore.kernel.org/linux-f2fs-devel/gngdj77k4picagsfdtiaa7gpgnup6fsgwzsltx6milmhegmjff@iax2n4wvrqye/ [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: greybus: lights: check return of get_channel_from_mode If channel for the given node is not found we return null from get_channel_from_mode. Make sure we validate the return pointer before using it in two of the missing places. This was originally reported in [0]: Found by Linux Verification Center (linuxtesting.org) with SVACE. [0] https://lore.kernel.org/all/20240301190425.120605-1-m.lobanov@rosalinux.ru [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: enic: Validate length of nl attributes in enic_set_vf_port enic_set_vf_port assumes that the nl attribute IFLA_PORT_PROFILE is of length PORT_PROFILE_MAX and that the nl attributes IFLA_PORT_INSTANCE_UUID, IFLA_PORT_HOST_UUID are of length PORT_UUID_MAX. These attributes are validated (in the function do_setlink in rtnetlink.c) using the nla_policy ifla_port_policy. The policy defines IFLA_PORT_PROFILE as NLA_STRING, IFLA_PORT_INSTANCE_UUID as NLA_BINARY and IFLA_PORT_HOST_UUID as NLA_STRING. That means that the length validation using the policy is for the max size of the attributes and not on exact size so the length of these attributes might be less than the sizes that enic_set_vf_port expects. This might cause an out of bands read access in the memcpys of the data of these attributes in enic_set_vf_port. [NistCWE(cwe='CWE-1284')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: s390/ap: Fix crash in AP internal function modify_bitmap() A system crash like this Failing address: 200000cb7df6f000 TEID: 200000cb7df6f403 Fault in home space mode while using kernel ASCE. AS:00000002d71bc007 R3:00000003fe5b8007 S:000000011a446000 P:000000015660c13d Oops: 0038 ilc:3 [#1] PREEMPT SMP Modules linked in: mlx5_ib ... CPU: 8 PID: 7556 Comm: bash Not tainted 6.9.0-rc7 #8 Hardware name: IBM 3931 A01 704 (LPAR) Krnl PSW : 0704e00180000000 0000014b75e7b606 (ap_parse_bitmap_str+0x10e/0x1f8) R:0 T:1 IO:1 EX:1 Key:0 M:1 W:0 P:0 AS:3 CC:2 PM:0 RI:0 EA:3 Krnl GPRS: 0000000000000001 ffffffffffffffc0 0000000000000001 00000048f96b75d3 000000cb00000100 ffffffffffffffff ffffffffffffffff 000000cb7df6fce0 000000cb7df6fce0 00000000ffffffff 000000000000002b 00000048ffffffff 000003ff9b2dbc80 200000cb7df6fcd8 0000014bffffffc0 000000cb7df6fbc8 Krnl Code: 0000014b75e7b5fc: a7840047 brc 8,0000014b75e7b68a 0000014b75e7b600: 18b2 lr %r11,%r2 #0000014b75e7b602: a7f4000a brc 15,0000014b75e7b616 >0000014b75e7b606: eb22d00000e6 laog %r2,%r2,0(%r13) 0000014b75e7b60c: a7680001 lhi %r6,1 0000014b75e7b610: 187b lr %r7,%r11 0000014b75e7b612: 84960021 brxh %r9,%r6,0000014b75e7b654 0000014b75e7b616: 18e9 lr %r14,%r9 Call Trace: [<0000014b75e7b606>] ap_parse_bitmap_str+0x10e/0x1f8 ([<0000014b75e7b5dc>] ap_parse_bitmap_str+0xe4/0x1f8) [<0000014b75e7b758>] apmask_store+0x68/0x140 [<0000014b75679196>] kernfs_fop_write_iter+0x14e/0x1e8 [<0000014b75598524>] vfs_write+0x1b4/0x448 [<0000014b7559894c>] ksys_write+0x74/0x100 [<0000014b7618a440>] __do_syscall+0x268/0x328 [<0000014b761a3558>] system_call+0x70/0x98 INFO: lockdep is turned off. Last Breaking-Event-Address: [<0000014b75e7b636>] ap_parse_bitmap_str+0x13e/0x1f8 Kernel panic - not syncing: Fatal exception: panic_on_oops occured when /sys/bus/ap/a[pq]mask was updated with a relative mask value (like +0x10-0x12,+60,-90) with one of the numeric values exceeding INT_MAX. The fix is simple: use unsigned long values for the internal variables. The correct checks are already in place in the function but a simple int for the internal variables was used with the possibility to overflow. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Allow delete from sockmap/sockhash only if update is allowed We have seen an influx of syzkaller reports where a BPF program attached to a tracepoint triggers a locking rule violation by performing a map_delete on a sockmap/sockhash. We don't intend to support this artificial use scenario. Extend the existing verifier allowed-program-type check for updating sockmap/sockhash to also cover deleting from a map. From now on only BPF programs which were previously allowed to update sockmap/sockhash can delete from these map types. [] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:N', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: dma-buf/sw-sync: don't enable IRQ from sync_print_obj() Since commit a6aa8fca4d79 ("dma-buf/sw-sync: Reduce irqsave/irqrestore from known context") by error replaced spin_unlock_irqrestore() with spin_unlock_irq() for both sync_debugfs_show() and sync_print_obj() despite sync_print_obj() is called from sync_debugfs_show(), lockdep complains inconsistent lock state warning. Use plain spin_{lock,unlock}() for sync_print_obj(), for sync_debugfs_show() is already using spin_{lock,unlock}_irq(). [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ext4: fix mb_cache_entry's e_refcnt leak in ext4_xattr_block_cache_find() Syzbot reports a warning as follows: ============================================ WARNING: CPU: 0 PID: 5075 at fs/mbcache.c:419 mb_cache_destroy+0x224/0x290 Modules linked in: CPU: 0 PID: 5075 Comm: syz-executor199 Not tainted 6.9.0-rc6-gb947cc5bf6d7 RIP: 0010:mb_cache_destroy+0x224/0x290 fs/mbcache.c:419 Call Trace: <TASK> ext4_put_super+0x6d4/0xcd0 fs/ext4/super.c:1375 generic_shutdown_super+0x136/0x2d0 fs/super.c:641 kill_block_super+0x44/0x90 fs/super.c:1675 ext4_kill_sb+0x68/0xa0 fs/ext4/super.c:7327 [...] ============================================ This is because when finding an entry in ext4_xattr_block_cache_find(), if ext4_sb_bread() returns -ENOMEM, the ce's e_refcnt, which has already grown in the __entry_find(), won't be put away, and eventually trigger the above issue in mb_cache_destroy() due to reference count leakage. So call mb_cache_entry_put() on the -ENOMEM error branch as a quick fix. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: um: Add winch to winch_handlers before registering winch IRQ Registering a winch IRQ is racy, an interrupt may occur before the winch is added to the winch_handlers list. If that happens, register_winch_irq() adds to that list a winch that is scheduled to be (or has already been) freed, causing a panic later in winch_cleanup(). Avoid the race by adding the winch to the winch_handlers list before registering the IRQ, and rolling back if um_request_irq() fails. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm/memory-failure: fix handling of dissolved but not taken off from buddy pages When I did memory failure tests recently, below panic occurs: page: refcount:0 mapcount:0 mapping:0000000000000000 index:0x0 pfn:0x8cee00 flags: 0x6fffe0000000000(node=1|zone=2|lastcpupid=0x7fff) raw: 06fffe0000000000 dead000000000100 dead000000000122 0000000000000000 raw: 0000000000000000 0000000000000009 00000000ffffffff 0000000000000000 page dumped because: VM_BUG_ON_PAGE(!PageBuddy(page)) ------------[ cut here ]------------ kernel BUG at include/linux/page-flags.h:1009! invalid opcode: 0000 [#1] PREEMPT SMP NOPTI RIP: 0010:__del_page_from_free_list+0x151/0x180 RSP: 0018:ffffa49c90437998 EFLAGS: 00000046 RAX: 0000000000000035 RBX: 0000000000000009 RCX: ffff8dd8dfd1c9c8 RDX: 0000000000000000 RSI: 0000000000000027 RDI: ffff8dd8dfd1c9c0 RBP: ffffd901233b8000 R08: ffffffffab5511f8 R09: 0000000000008c69 R10: 0000000000003c15 R11: ffffffffab5511f8 R12: ffff8dd8fffc0c80 R13: 0000000000000001 R14: ffff8dd8fffc0c80 R15: 0000000000000009 FS: 00007ff916304740(0000) GS:ffff8dd8dfd00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000055eae50124c8 CR3: 00000008479e0000 CR4: 00000000000006f0 Call Trace: <TASK> __rmqueue_pcplist+0x23b/0x520 get_page_from_freelist+0x26b/0xe40 __alloc_pages_noprof+0x113/0x1120 __folio_alloc_noprof+0x11/0xb0 alloc_buddy_hugetlb_folio.isra.0+0x5a/0x130 __alloc_fresh_hugetlb_folio+0xe7/0x140 alloc_pool_huge_folio+0x68/0x100 set_max_huge_pages+0x13d/0x340 hugetlb_sysctl_handler_common+0xe8/0x110 proc_sys_call_handler+0x194/0x280 vfs_write+0x387/0x550 ksys_write+0x64/0xe0 do_syscall_64+0xc2/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7ff916114887 RSP: 002b:00007ffec8a2fd78 EFLAGS: 00000246 ORIG_RAX: 0000000000000001 RAX: ffffffffffffffda RBX: 000055eae500e350 RCX: 00007ff916114887 RDX: 0000000000000004 RSI: 000055eae500e390 RDI: 0000000000000003 RBP: 000055eae50104c0 R08: 0000000000000000 R09: 000055eae50104c0 R10: 0000000000000077 R11: 0000000000000246 R12: 0000000000000004 R13: 0000000000000004 R14: 00007ff916216b80 R15: 00007ff916216a00 </TASK> Modules linked in: mce_inject hwpoison_inject ---[ end trace 0000000000000000 ]--- And before the panic, there had an warning about bad page state: BUG: Bad page state in process page-types pfn:8cee00 page: refcount:0 mapcount:0 mapping:0000000000000000 index:0x0 pfn:0x8cee00 flags: 0x6fffe0000000000(node=1|zone=2|lastcpupid=0x7fff) page_type: 0xffffff7f(buddy) raw: 06fffe0000000000 ffffd901241c0008 ffffd901240f8008 0000000000000000 raw: 0000000000000000 0000000000000009 00000000ffffff7f 0000000000000000 page dumped because: nonzero mapcount Modules linked in: mce_inject hwpoison_inject CPU: 8 PID: 154211 Comm: page-types Not tainted 6.9.0-rc4-00499-g5544ec3178e2-dirty #22 Call Trace: <TASK> dump_stack_lvl+0x83/0xa0 bad_page+0x63/0xf0 free_unref_page+0x36e/0x5c0 unpoison_memory+0x50b/0x630 simple_attr_write_xsigned.constprop.0.isra.0+0xb3/0x110 debugfs_attr_write+0x42/0x60 full_proxy_write+0x5b/0x80 vfs_write+0xcd/0x550 ksys_write+0x64/0xe0 do_syscall_64+0xc2/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f189a514887 RSP: 002b:00007ffdcd899718 EFLAGS: 00000246 ORIG_RAX: 0000000000000001 RAX: ffffffffffffffda RBX: 0000000000000000 RCX: 00007f189a514887 RDX: 0000000000000009 RSI: 00007ffdcd899730 RDI: 0000000000000003 RBP: 00007ffdcd8997a0 R08: 0000000000000000 R09: 00007ffdcd8994b2 R10: 0000000000000000 R11: 0000000000000246 R12: 00007ffdcda199a8 R13: 0000000000404af1 R14: 000000000040ad78 R15: 00007f189a7a5040 </TASK> The root cause should be the below race: memory_failure try_memory_failure_hugetlb me_huge_page __page_handle_poison dissolve_free_hugetlb_folio drain_all_pages -- Buddy page can be isolated e.g. for compaction. take_page_off_buddy -- Failed as page is not in the ---truncated--- [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/9p: fix uninit-value in p9_client_rpc() Syzbot with the help of KMSAN reported the following error: BUG: KMSAN: uninit-value in trace_9p_client_res include/trace/events/9p.h:146 [inline] BUG: KMSAN: uninit-value in p9_client_rpc+0x1314/0x1340 net/9p/client.c:754 trace_9p_client_res include/trace/events/9p.h:146 [inline] p9_client_rpc+0x1314/0x1340 net/9p/client.c:754 p9_client_create+0x1551/0x1ff0 net/9p/client.c:1031 v9fs_session_init+0x1b9/0x28e0 fs/9p/v9fs.c:410 v9fs_mount+0xe2/0x12b0 fs/9p/vfs_super.c:122 legacy_get_tree+0x114/0x290 fs/fs_context.c:662 vfs_get_tree+0xa7/0x570 fs/super.c:1797 do_new_mount+0x71f/0x15e0 fs/namespace.c:3352 path_mount+0x742/0x1f20 fs/namespace.c:3679 do_mount fs/namespace.c:3692 [inline] __do_sys_mount fs/namespace.c:3898 [inline] __se_sys_mount+0x725/0x810 fs/namespace.c:3875 __x64_sys_mount+0xe4/0x150 fs/namespace.c:3875 do_syscall_64+0xd5/0x1f0 entry_SYSCALL_64_after_hwframe+0x6d/0x75 Uninit was created at: __alloc_pages+0x9d6/0xe70 mm/page_alloc.c:4598 __alloc_pages_node include/linux/gfp.h:238 [inline] alloc_pages_node include/linux/gfp.h:261 [inline] alloc_slab_page mm/slub.c:2175 [inline] allocate_slab mm/slub.c:2338 [inline] new_slab+0x2de/0x1400 mm/slub.c:2391 ___slab_alloc+0x1184/0x33d0 mm/slub.c:3525 __slab_alloc mm/slub.c:3610 [inline] __slab_alloc_node mm/slub.c:3663 [inline] slab_alloc_node mm/slub.c:3835 [inline] kmem_cache_alloc+0x6d3/0xbe0 mm/slub.c:3852 p9_tag_alloc net/9p/client.c:278 [inline] p9_client_prepare_req+0x20a/0x1770 net/9p/client.c:641 p9_client_rpc+0x27e/0x1340 net/9p/client.c:688 p9_client_create+0x1551/0x1ff0 net/9p/client.c:1031 v9fs_session_init+0x1b9/0x28e0 fs/9p/v9fs.c:410 v9fs_mount+0xe2/0x12b0 fs/9p/vfs_super.c:122 legacy_get_tree+0x114/0x290 fs/fs_context.c:662 vfs_get_tree+0xa7/0x570 fs/super.c:1797 do_new_mount+0x71f/0x15e0 fs/namespace.c:3352 path_mount+0x742/0x1f20 fs/namespace.c:3679 do_mount fs/namespace.c:3692 [inline] __do_sys_mount fs/namespace.c:3898 [inline] __se_sys_mount+0x725/0x810 fs/namespace.c:3875 __x64_sys_mount+0xe4/0x150 fs/namespace.c:3875 do_syscall_64+0xd5/0x1f0 entry_SYSCALL_64_after_hwframe+0x6d/0x75 If p9_check_errors() fails early in p9_client_rpc(), req->rc.tag will not be properly initialized. However, trace_9p_client_res() ends up trying to print it out anyway before p9_client_rpc() finishes. Fix this issue by assigning default values to p9_fcall fields such as 'tag' and (just in case KMSAN unearths something new) 'id' during the tag allocation stage. [NistCWE(cwe='CWE-665')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: io_uring: check for non-NULL file pointer in io_file_can_poll() In earlier kernels, it was possible to trigger a NULL pointer dereference off the forced async preparation path, if no file had been assigned. The trace leading to that looks as follows: BUG: kernel NULL pointer dereference, address: 00000000000000b0 PGD 0 P4D 0 Oops: 0000 [#1] PREEMPT SMP CPU: 67 PID: 1633 Comm: buf-ring-invali Not tainted 6.8.0-rc3+ #1 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS unknown 2/2/2022 RIP: 0010:io_buffer_select+0xc3/0x210 Code: 00 00 48 39 d1 0f 82 ae 00 00 00 48 81 4b 48 00 00 01 00 48 89 73 70 0f b7 50 0c 66 89 53 42 85 ed 0f 85 d2 00 00 00 48 8b 13 <48> 8b 92 b0 00 00 00 48 83 7a 40 00 0f 84 21 01 00 00 4c 8b 20 5b RSP: 0018:ffffb7bec38c7d88 EFLAGS: 00010246 RAX: ffff97af2be61000 RBX: ffff97af234f1700 RCX: 0000000000000040 RDX: 0000000000000000 RSI: ffff97aecfb04820 RDI: ffff97af234f1700 RBP: 0000000000000000 R08: 0000000000200030 R09: 0000000000000020 R10: ffffb7bec38c7dc8 R11: 000000000000c000 R12: ffffb7bec38c7db8 R13: ffff97aecfb05800 R14: ffff97aecfb05800 R15: ffff97af2be5e000 FS: 00007f852f74b740(0000) GS:ffff97b1eeec0000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00000000000000b0 CR3: 000000016deab005 CR4: 0000000000370ef0 Call Trace: <TASK> ? __die+0x1f/0x60 ? page_fault_oops+0x14d/0x420 ? do_user_addr_fault+0x61/0x6a0 ? exc_page_fault+0x6c/0x150 ? asm_exc_page_fault+0x22/0x30 ? io_buffer_select+0xc3/0x210 __io_import_iovec+0xb5/0x120 io_readv_prep_async+0x36/0x70 io_queue_sqe_fallback+0x20/0x260 io_submit_sqes+0x314/0x630 __do_sys_io_uring_enter+0x339/0xbc0 ? __do_sys_io_uring_register+0x11b/0xc50 ? vm_mmap_pgoff+0xce/0x160 do_syscall_64+0x5f/0x180 entry_SYSCALL_64_after_hwframe+0x46/0x4e RIP: 0033:0x55e0a110a67e Code: ba cc 00 00 00 45 31 c0 44 0f b6 92 d0 00 00 00 31 d2 41 b9 08 00 00 00 41 83 e2 01 41 c1 e2 04 41 09 c2 b8 aa 01 00 00 0f 05 <c3> 90 89 30 eb a9 0f 1f 40 00 48 8b 42 20 8b 00 a8 06 75 af 85 f6 because the request is marked forced ASYNC and has a bad file fd, and hence takes the forced async prep path. Current kernels with the request async prep cleaned up can no longer hit this issue, but for ease of backporting, let's add this safety check in here too as it really doesn't hurt. For both cases, this will inevitably end with a CQE posted with -EBADF. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: 9p: add missing locking around taking dentry fid list Fix a use-after-free on dentry's d_fsdata fid list when a thread looks up a fid through dentry while another thread unlinks it: UAF thread: refcount_t: addition on 0; use-after-free. p9_fid_get linux/./include/net/9p/client.h:262 v9fs_fid_find+0x236/0x280 linux/fs/9p/fid.c:129 v9fs_fid_lookup_with_uid linux/fs/9p/fid.c:181 v9fs_fid_lookup+0xbf/0xc20 linux/fs/9p/fid.c:314 v9fs_vfs_getattr_dotl+0xf9/0x360 linux/fs/9p/vfs_inode_dotl.c:400 vfs_statx+0xdd/0x4d0 linux/fs/stat.c:248 Freed by: p9_fid_destroy (inlined) p9_client_clunk+0xb0/0xe0 linux/net/9p/client.c:1456 p9_fid_put linux/./include/net/9p/client.h:278 v9fs_dentry_release+0xb5/0x140 linux/fs/9p/vfs_dentry.c:55 v9fs_remove+0x38f/0x620 linux/fs/9p/vfs_inode.c:518 vfs_unlink+0x29a/0x810 linux/fs/namei.c:4335 The problem is that d_fsdata was not accessed under d_lock, because d_release() normally is only called once the dentry is otherwise no longer accessible but since we also call it explicitly in v9fs_remove that lock is required: move the hlist out of the dentry under lock then unref its fids once they are no longer accessible. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: thermal/drivers/qcom/lmh: Check for SCM availability at probe Up until now, the necessary scm availability check has not been performed, leading to possible null pointer dereferences (which did happen for me on RB1). Fix that. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: smb: client: fix deadlock in smb2_find_smb_tcon() Unlock cifs_tcp_ses_lock before calling cifs_put_smb_ses() to avoid such deadlock. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nilfs2: fix nilfs_empty_dir() misjudgment and long loop on I/O errors The error handling in nilfs_empty_dir() when a directory folio/page read fails is incorrect, as in the old ext2 implementation, and if the folio/page cannot be read or nilfs_check_folio() fails, it will falsely determine the directory as empty and corrupt the file system. In addition, since nilfs_empty_dir() does not immediately return on a failed folio/page read, but continues to loop, this can cause a long loop with I/O if i_size of the directory's inode is also corrupted, causing the log writer thread to wait and hang, as reported by syzbot. Fix these issues by making nilfs_empty_dir() immediately return a false value (0) if it fails to get a directory folio/page. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: add error handle to avoid out-of-bounds if the sdma_v4_0_irq_id_to_seq return -EINVAL, the process should be stop to avoid out-of-bounds read, so directly return -EINVAL. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: xfs: fix log recovery buffer allocation for the legacy h_size fixup Commit a70f9fe52daa ("xfs: detect and handle invalid iclog size set by mkfs") added a fixup for incorrect h_size values used for the initial umount record in old xfsprogs versions. Later commit 0c771b99d6c9 ("xfs: clean up calculation of LR header blocks") cleaned up the log reover buffer calculation, but stoped using the fixed up h_size value to size the log recovery buffer, which can lead to an out of bounds access when the incorrect h_size does not come from the old mkfs tool, but a fuzzer. Fix this by open coding xlog_logrec_hblks and taking the fixed h_size into account for this calculation. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm/vmalloc: fix vmalloc which may return null if called with __GFP_NOFAIL commit a421ef303008 ("mm: allow !GFP_KERNEL allocations for kvmalloc") includes support for __GFP_NOFAIL, but it presents a conflict with commit dd544141b9eb ("vmalloc: back off when the current task is OOM-killed"). A possible scenario is as follows: process-a __vmalloc_node_range(GFP_KERNEL | __GFP_NOFAIL) __vmalloc_area_node() vm_area_alloc_pages() --> oom-killer send SIGKILL to process-a if (fatal_signal_pending(current)) break; --> return NULL; To fix this, do not check fatal_signal_pending() in vm_area_alloc_pages() if __GFP_NOFAIL set. This issue occurred during OPLUS KASAN TEST. Below is part of the log -> oom-killer sends signal to process [65731.222840] [ T1308] oom-kill:constraint=CONSTRAINT_NONE,nodemask=(null),cpuset=/,mems_allowed=0,global_oom,task_memcg=/apps/uid_10198,task=gs.intelligence,pid=32454,uid=10198 [65731.259685] [T32454] Call trace: [65731.259698] [T32454] dump_backtrace+0xf4/0x118 [65731.259734] [T32454] show_stack+0x18/0x24 [65731.259756] [T32454] dump_stack_lvl+0x60/0x7c [65731.259781] [T32454] dump_stack+0x18/0x38 [65731.259800] [T32454] mrdump_common_die+0x250/0x39c [mrdump] [65731.259936] [T32454] ipanic_die+0x20/0x34 [mrdump] [65731.260019] [T32454] atomic_notifier_call_chain+0xb4/0xfc [65731.260047] [T32454] notify_die+0x114/0x198 [65731.260073] [T32454] die+0xf4/0x5b4 [65731.260098] [T32454] die_kernel_fault+0x80/0x98 [65731.260124] [T32454] __do_kernel_fault+0x160/0x2a8 [65731.260146] [T32454] do_bad_area+0x68/0x148 [65731.260174] [T32454] do_mem_abort+0x151c/0x1b34 [65731.260204] [T32454] el1_abort+0x3c/0x5c [65731.260227] [T32454] el1h_64_sync_handler+0x54/0x90 [65731.260248] [T32454] el1h_64_sync+0x68/0x6c [65731.260269] [T32454] z_erofs_decompress_queue+0x7f0/0x2258 --> be->decompressed_pages = kvcalloc(be->nr_pages, sizeof(struct page *), GFP_KERNEL | __GFP_NOFAIL); kernel panic by NULL pointer dereference. erofs assume kvmalloc with __GFP_NOFAIL never return NULL. [65731.260293] [T32454] z_erofs_runqueue+0xf30/0x104c [65731.260314] [T32454] z_erofs_readahead+0x4f0/0x968 [65731.260339] [T32454] read_pages+0x170/0xadc [65731.260364] [T32454] page_cache_ra_unbounded+0x874/0xf30 [65731.260388] [T32454] page_cache_ra_order+0x24c/0x714 [65731.260411] [T32454] filemap_fault+0xbf0/0x1a74 [65731.260437] [T32454] __do_fault+0xd0/0x33c [65731.260462] [T32454] handle_mm_fault+0xf74/0x3fe0 [65731.260486] [T32454] do_mem_abort+0x54c/0x1b34 [65731.260509] [T32454] el0_da+0x44/0x94 [65731.260531] [T32454] el0t_64_sync_handler+0x98/0xb4 [65731.260553] [T32454] el0t_64_sync+0x198/0x19c [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fbdev: savage: Handle err return when savagefb_check_var failed The commit 04e5eac8f3ab("fbdev: savage: Error out if pixclock equals zero") checks the value of pixclock to avoid divide-by-zero error. However the function savagefb_probe doesn't handle the error return of savagefb_check_var. When pixclock is 0, it will cause divide-by-zero error. [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: md/raid5: fix deadlock that raid5d() wait for itself to clear MD_SB_CHANGE_PENDING Xiao reported that lvm2 test lvconvert-raid-takeover.sh can hang with small possibility, the root cause is exactly the same as commit bed9e27baf52 ("Revert "md/raid5: Wait for MD_SB_CHANGE_PENDING in raid5d"") However, Dan reported another hang after that, and junxiao investigated the problem and found out that this is caused by plugged bio can't issue from raid5d(). Current implementation in raid5d() has a weird dependence: 1) md_check_recovery() from raid5d() must hold 'reconfig_mutex' to clear MD_SB_CHANGE_PENDING; 2) raid5d() handles IO in a deadloop, until all IO are issued; 3) IO from raid5d() must wait for MD_SB_CHANGE_PENDING to be cleared; This behaviour is introduce before v2.6, and for consequence, if other context hold 'reconfig_mutex', and md_check_recovery() can't update super_block, then raid5d() will waste one cpu 100% by the deadloop, until 'reconfig_mutex' is released. Refer to the implementation from raid1 and raid10, fix this problem by skipping issue IO if MD_SB_CHANGE_PENDING is still set after md_check_recovery(), daemon thread will be woken up when 'reconfig_mutex' is released. Meanwhile, the hang problem will be fixed as well. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: kdb: Fix buffer overflow during tab-complete Currently, when the user attempts symbol completion with the Tab key, kdb will use strncpy() to insert the completed symbol into the command buffer. Unfortunately it passes the size of the source buffer rather than the destination to strncpy() with predictably horrible results. Most obviously if the command buffer is already full but cp, the cursor position, is in the middle of the buffer, then we will write past the end of the supplied buffer. Fix this by replacing the dubious strncpy() calls with memmove()/memcpy() calls plus explicit boundary checks to make sure we have enough space before we start moving characters around. [NistCWE(cwe='CWE-120'), NistCWE(cwe='CWE-121')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: media: mc: Fix graph walk in media_pipeline_start The graph walk tries to follow all links, even if they are not between pads. This causes a crash with, e.g. a MEDIA_LNK_FL_ANCILLARY_LINK link. Fix this by allowing the walk to proceed only for MEDIA_LNK_FL_DATA_LINK links. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bcache: fix variable length array abuse in btree_iter btree_iter is used in two ways: either allocated on the stack with a fixed size MAX_BSETS, or from a mempool with a dynamic size based on the specific cache set. Previously, the struct had a fixed-length array of size MAX_BSETS which was indexed out-of-bounds for the dynamically-sized iterators, which causes UBSAN to complain. This patch uses the same approach as in bcachefs's sort_iter and splits the iterator into a btree_iter with a flexible array member and a btree_iter_stack which embeds a btree_iter as well as a fixed-length data array. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mmc: davinci: Don't strip remove function when driver is builtin Using __exit for the remove function results in the remove callback being discarded with CONFIG_MMC_DAVINCI=y. When such a device gets unbound (e.g. using sysfs or hotplug), the driver is just removed without the cleanup being performed. This results in resource leaks. Fix it by compiling in the remove callback unconditionally. This also fixes a W=1 modpost warning: WARNING: modpost: drivers/mmc/host/davinci_mmc: section mismatch in reference: davinci_mmcsd_driver+0x10 (section: .data) -> davinci_mmcsd_remove (section: .exit.text) [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bonding: Fix out-of-bounds read in bond_option_arp_ip_targets_set() In function bond_option_arp_ip_targets_set(), if newval->string is an empty string, newval->string+1 will point to the byte after the string, causing an out-of-bound read. BUG: KASAN: slab-out-of-bounds in strlen+0x7d/0xa0 lib/string.c:418 Read of size 1 at addr ffff8881119c4781 by task syz-executor665/8107 CPU: 1 PID: 8107 Comm: syz-executor665 Not tainted 6.7.0-rc7 #1 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.15.0-1 04/01/2014 Call Trace: <TASK> __dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0xd9/0x150 lib/dump_stack.c:106 print_address_description mm/kasan/report.c:364 [inline] print_report+0xc1/0x5e0 mm/kasan/report.c:475 kasan_report+0xbe/0xf0 mm/kasan/report.c:588 strlen+0x7d/0xa0 lib/string.c:418 __fortify_strlen include/linux/fortify-string.h:210 [inline] in4_pton+0xa3/0x3f0 net/core/utils.c:130 bond_option_arp_ip_targets_set+0xc2/0x910 drivers/net/bonding/bond_options.c:1201 __bond_opt_set+0x2a4/0x1030 drivers/net/bonding/bond_options.c:767 __bond_opt_set_notify+0x48/0x150 drivers/net/bonding/bond_options.c:792 bond_opt_tryset_rtnl+0xda/0x160 drivers/net/bonding/bond_options.c:817 bonding_sysfs_store_option+0xa1/0x120 drivers/net/bonding/bond_sysfs.c:156 dev_attr_store+0x54/0x80 drivers/base/core.c:2366 sysfs_kf_write+0x114/0x170 fs/sysfs/file.c:136 kernfs_fop_write_iter+0x337/0x500 fs/kernfs/file.c:334 call_write_iter include/linux/fs.h:2020 [inline] new_sync_write fs/read_write.c:491 [inline] vfs_write+0x96a/0xd80 fs/read_write.c:584 ksys_write+0x122/0x250 fs/read_write.c:637 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0x40/0x110 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x63/0x6b ---[ end trace ]--- Fix it by adding a check of string length before using it. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ipv6: sr: fix memleak in seg6_hmac_init_algo seg6_hmac_init_algo returns without cleaning up the previous allocations if one fails, so it's going to leak all that memory and the crypto tfms. Update seg6_hmac_exit to only free the memory when allocated, so we can reuse the code directly. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ipv6: sr: fix missing sk_buff release in seg6_input_core The seg6_input() function is responsible for adding the SRH into a packet, delegating the operation to the seg6_input_core(). This function uses the skb_cow_head() to ensure that there is sufficient headroom in the sk_buff for accommodating the link-layer header. In the event that the skb_cow_header() function fails, the seg6_input_core() catches the error but it does not release the sk_buff, which will result in a memory leak. This issue was introduced in commit af3b5158b89d ("ipv6: sr: fix BUG due to headroom too small after SRH push") and persists even after commit 7a3f5b0de364 ("netfilter: add netfilter hooks to SRv6 data plane"), where the entire seg6_input() code was refactored to deal with netfilter hooks. The proposed patch addresses the identified memory leak by requiring the seg6_input_core() function to release the sk_buff in the event that skb_cow_head() fails. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=6.2) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: crypto: qat - Fix ADF_DEV_RESET_SYNC memory leak Using completion_done to determine whether the caller has gone away only works after a complete call. Furthermore it's still possible that the caller has not yet called wait_for_completion, resulting in another potential UAF. Fix this by making the caller use cancel_work_sync and then freeing the memory safely. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: btrfs: zoned: fix use-after-free due to race with dev replace While loading a zone's info during creation of a block group, we can race with a device replace operation and then trigger a use-after-free on the device that was just replaced (source device of the replace operation). This happens because at btrfs_load_zone_info() we extract a device from the chunk map into a local variable and then use the device while not under the protection of the device replace rwsem. So if there's a device replace operation happening when we extract the device and that device is the source of the replace operation, we will trigger a use-after-free if before we finish using the device the replace operation finishes and frees the device. Fix this by enlarging the critical section under the protection of the device replace rwsem so that all uses of the device are done inside the critical section. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/shmem-helper: Fix BUG_ON() on mmap(PROT_WRITE, MAP_PRIVATE) Lack of check for copy-on-write (COW) mapping in drm_gem_shmem_mmap allows users to call mmap with PROT_WRITE and MAP_PRIVATE flag causing a kernel panic due to BUG_ON in vmf_insert_pfn_prot: BUG_ON((vma->vm_flags & VM_PFNMAP) && is_cow_mapping(vma->vm_flags)); Return -EINVAL early if COW mapping is detected. This bug affects all drm drivers using default shmem helpers. It can be reproduced by this simple example: void *ptr = mmap(0, size, PROT_WRITE, MAP_PRIVATE, fd, mmap_offset); ptr[0] = 0; [NistCWE(cwe='CWE-617')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: vmci: prevent speculation leaks by sanitizing event in event_deliver() Coverity spotted that event_msg is controlled by user-space, event_msg->event_data.event is passed to event_deliver() and used as an index without sanitization. This change ensures that the event index is sanitized to mitigate any possibility of speculative information leaks. This bug was discovered and resolved using Coverity Static Analysis Security Testing (SAST) by Synopsys, Inc. Only compile tested, no access to HW. [NistCWE(cwe='CWE-668')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority. [] None None - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ionic: fix use after netif_napi_del() When queues are started, netif_napi_add() and napi_enable() are called. If there are 4 queues and only 3 queues are used for the current configuration, only 3 queues' napi should be registered and enabled. The ionic_qcq_enable() checks whether the .poll pointer is not NULL for enabling only the using queue' napi. Unused queues' napi will not be registered by netif_napi_add(), so the .poll pointer indicates NULL. But it couldn't distinguish whether the napi was unregistered or not because netif_napi_del() doesn't reset the .poll pointer to NULL. So, ionic_qcq_enable() calls napi_enable() for the queue, which was unregistered by netif_napi_del(). Reproducer: ethtool -L <interface name> rx 1 tx 1 combined 0 ethtool -L <interface name> rx 0 tx 0 combined 1 ethtool -L <interface name> rx 0 tx 0 combined 4 Splat looks like: kernel BUG at net/core/dev.c:6666! Oops: invalid opcode: 0000 [#1] PREEMPT SMP NOPTI CPU: 3 PID: 1057 Comm: kworker/3:3 Not tainted 6.10.0-rc2+ #16 Workqueue: events ionic_lif_deferred_work [ionic] RIP: 0010:napi_enable+0x3b/0x40 Code: 48 89 c2 48 83 e2 f6 80 b9 61 09 00 00 00 74 0d 48 83 bf 60 01 00 00 00 74 03 80 ce 01 f0 4f RSP: 0018:ffffb6ed83227d48 EFLAGS: 00010246 RAX: 0000000000000000 RBX: ffff97560cda0828 RCX: 0000000000000029 RDX: 0000000000000001 RSI: 0000000000000000 RDI: ffff97560cda0a28 RBP: ffffb6ed83227d50 R08: 0000000000000400 R09: 0000000000000001 R10: 0000000000000001 R11: 0000000000000001 R12: 0000000000000000 R13: ffff97560ce3c1a0 R14: 0000000000000000 R15: ffff975613ba0a20 FS: 0000000000000000(0000) GS:ffff975d5f780000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f8f734ee200 CR3: 0000000103e50000 CR4: 00000000007506f0 PKRU: 55555554 Call Trace: <TASK> ? die+0x33/0x90 ? do_trap+0xd9/0x100 ? napi_enable+0x3b/0x40 ? do_error_trap+0x83/0xb0 ? napi_enable+0x3b/0x40 ? napi_enable+0x3b/0x40 ? exc_invalid_op+0x4e/0x70 ? napi_enable+0x3b/0x40 ? asm_exc_invalid_op+0x16/0x20 ? napi_enable+0x3b/0x40 ionic_qcq_enable+0xb7/0x180 [ionic 59bdfc8a035436e1c4224ff7d10789e3f14643f8] ionic_start_queues+0xc4/0x290 [ionic 59bdfc8a035436e1c4224ff7d10789e3f14643f8] ionic_link_status_check+0x11c/0x170 [ionic 59bdfc8a035436e1c4224ff7d10789e3f14643f8] ionic_lif_deferred_work+0x129/0x280 [ionic 59bdfc8a035436e1c4224ff7d10789e3f14643f8] process_one_work+0x145/0x360 worker_thread+0x2bb/0x3d0 ? __pfx_worker_thread+0x10/0x10 kthread+0xcc/0x100 ? __pfx_kthread+0x10/0x10 ret_from_fork+0x2d/0x50 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1a/0x30 [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: ipset: Fix race between namespace cleanup and gc in the list:set type Lion Ackermann reported that there is a race condition between namespace cleanup in ipset and the garbage collection of the list:set type. The namespace cleanup can destroy the list:set type of sets while the gc of the set type is waiting to run in rcu cleanup. The latter uses data from the destroyed set which thus leads use after free. The patch contains the following parts: - When destroying all sets, first remove the garbage collectors, then wait if needed and then destroy the sets. - Fix the badly ordered "wait then remove gc" for the destroy a single set case. - Fix the missing rcu locking in the list:set type in the userspace test case. - Use proper RCU list handlings in the list:set type. The patch depends on c1193d9bbbd3 (netfilter: ipset: Add list flush to cancel_gc). [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/komeda: check for error-valued pointer komeda_pipeline_get_state() may return an error-valued pointer, thus check the pointer for negative or null value before dereferencing. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: liquidio: Adjust a NULL pointer handling path in lio_vf_rep_copy_packet In lio_vf_rep_copy_packet() pg_info->page is compared to a NULL value, but then it is unconditionally passed to skb_add_rx_frag() which looks strange and could lead to null pointer dereference. lio_vf_rep_copy_packet() call trace looks like: octeon_droq_process_packets octeon_droq_fast_process_packets octeon_droq_dispatch_pkt octeon_create_recv_info ...search in the dispatch_list... ->disp_fn(rdisp->rinfo, ...) lio_vf_rep_pkt_recv(struct octeon_recv_info *recv_info, ...) In this path there is no code which sets pg_info->page to NULL. So this check looks unneeded and doesn't solve potential problem. But I guess the author had reason to add a check and I have no such card and can't do real test. In addition, the code in the function liquidio_push_packet() in liquidio/lio_core.c does exactly the same. Based on this, I consider the most acceptable compromise solution to adjust this issue by moving skb_add_rx_frag() into conditional scope. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: hns3: fix kernel crash problem in concurrent scenario When link status change, the nic driver need to notify the roce driver to handle this event, but at this time, the roce driver may uninit, then cause kernel crash. To fix the problem, when link status change, need to check whether the roce registered, and when uninit, need to wait link update finish. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: HID: core: remove unnecessary WARN_ON() in implement() Syzkaller hit a warning [1] in a call to implement() when trying to write a value into a field of smaller size in an output report. Since implement() already has a warn message printed out with the help of hid_warn() and value in question gets trimmed with: ... value &= m; ... WARN_ON may be considered superfluous. Remove it to suppress future syzkaller triggers. [1] WARNING: CPU: 0 PID: 5084 at drivers/hid/hid-core.c:1451 implement drivers/hid/hid-core.c:1451 [inline] WARNING: CPU: 0 PID: 5084 at drivers/hid/hid-core.c:1451 hid_output_report+0x548/0x760 drivers/hid/hid-core.c:1863 Modules linked in: CPU: 0 PID: 5084 Comm: syz-executor424 Not tainted 6.9.0-rc7-syzkaller-00183-gcf87f46fd34d #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 04/02/2024 RIP: 0010:implement drivers/hid/hid-core.c:1451 [inline] RIP: 0010:hid_output_report+0x548/0x760 drivers/hid/hid-core.c:1863 ... Call Trace: <TASK> __usbhid_submit_report drivers/hid/usbhid/hid-core.c:591 [inline] usbhid_submit_report+0x43d/0x9e0 drivers/hid/usbhid/hid-core.c:636 hiddev_ioctl+0x138b/0x1f00 drivers/hid/usbhid/hiddev.c:726 vfs_ioctl fs/ioctl.c:51 [inline] __do_sys_ioctl fs/ioctl.c:904 [inline] __se_sys_ioctl+0xfc/0x170 fs/ioctl.c:890 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf5/0x240 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f ... [NistCWE(cwe='CWE-617')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 apache2 Potential SSRF in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows an attacker to cause unsafe RewriteRules to unexpectedly setup URL's to be handled by mod_proxy. Users are recommended to upgrade to version 2.4.60, which fixes this issue. [NistCWE(cwe='CWE-20')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 xrdp xrdp is an open source RDP server. xrdp versions prior to 0.10.0 have a vulnerability that allows attackers to make an infinite number of login attempts. The number of max login attempts is supposed to be limited by a configuration parameter `MaxLoginRetry` in `/etc/xrdp/sesman.ini`. However, this mechanism was not effectively working. As a result, xrdp allows an infinite number of login attempts. [NistCWE(cwe='CWE-307'), NistCWE(cwe='CWE-307')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L', score=7.2) - Ограничьте доступ к серверу xrdp только доверенным IP-адресам через межсетевой экран - Запретите прямой доступ к xrdp из внешних сетей - Используйте сложные пароли для учётных записей, доступных через xrdp - Запускайте службу xrdp под отдельной учётной записью с минимальными правами - Настройте правила для мониторинга аномальной активности на порту 3389 Astra Linux 1.8 apache2 A partial fix for  CVE-2024-39884 in the core of Apache HTTP Server 2.4.61 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted. Users are recommended to upgrade to version 2.4.62, which fixes this issue. [NistCWE(cwe='CWE-668')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 bind9 Client queries that trigger serving stale data and that also require lookups in local authoritative zone data may result in an assertion failure. This issue affects BIND 9 versions 9.16.13 through 9.16.50, 9.18.0 through 9.18.27, 9.19.0 through 9.19.24, 9.11.33-S1 through 9.11.37-S1, 9.16.13-S1 through 9.16.50-S1, and 9.18.11-S1 through 9.18.27-S1. [NistCWE(cwe='CWE-617')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска bind9 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk A use-after-free issue was addressed with improved memory management. This issue is fixed in Safari 17.6, iOS 16.7.9 and iPadOS 16.7.9, iOS 17.6 and iPadOS 17.6, macOS Sonoma 14.6, tvOS 17.6, visionOS 1.3, watchOS 10.6. Processing maliciously crafted web content may lead to an unexpected process crash. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L', score=4.3) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk An out-of-bounds read was addressed with improved bounds checking. This issue is fixed in Safari 17.6, iOS 16.7.9 and iPadOS 16.7.9, iOS 17.6 and iPadOS 17.6, macOS Sonoma 14.6, tvOS 17.6, visionOS 1.3, watchOS 10.6. Processing maliciously crafted web content may lead to an unexpected process crash. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk An out-of-bounds read was addressed with improved bounds checking. This issue is fixed in Safari 17.6, iOS 16.7.9 and iPadOS 16.7.9, iOS 17.6 and iPadOS 17.6, macOS Sonoma 14.6, tvOS 17.6, visionOS 1.3, watchOS 10.6. Processing maliciously crafted web content may lead to an unexpected process crash. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk An out-of-bounds access issue was addressed with improved bounds checking. This issue is fixed in Safari 17.6, iOS 16.7.9 and iPadOS 16.7.9, iOS 17.6 and iPadOS 17.6, macOS Sonoma 14.6, tvOS 17.6, visionOS 1.3, watchOS 10.6. Processing maliciously crafted web content may lead to an unexpected process crash. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk The issue was addressed with improved UI. This issue is fixed in Safari 18, macOS Sequoia 15. Visiting a malicious website may lead to address bar spoofing. [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cachefiles: remove requests from xarray during flushing requests Even with CACHEFILES_DEAD set, we can still read the requests, so in the following concurrency the request may be used after it has been freed: mount | daemon_thread1 | daemon_thread2 ------------------------------------------------------------ cachefiles_ondemand_init_object cachefiles_ondemand_send_req REQ_A = kzalloc(sizeof(*req) + data_len) wait_for_completion(&REQ_A->done) cachefiles_daemon_read cachefiles_ondemand_daemon_read // close dev fd cachefiles_flush_reqs complete(&REQ_A->done) kfree(REQ_A) xa_lock(&cache->reqs); cachefiles_ondemand_select_req req->msg.opcode != CACHEFILES_OP_READ // req use-after-free !!! xa_unlock(&cache->reqs); xa_destroy(&cache->reqs) Hence remove requests from cache->reqs when flushing them to avoid accessing freed requests. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: mpt3sas: Avoid test/set_bit() operating in non-allocated memory There is a potential out-of-bounds access when using test_bit() on a single word. The test_bit() and set_bit() functions operate on long values, and when testing or setting a single word, they can exceed the word boundary. KASAN detects this issue and produces a dump: BUG: KASAN: slab-out-of-bounds in _scsih_add_device.constprop.0 (./arch/x86/include/asm/bitops.h:60 ./include/asm-generic/bitops/instrumented-atomic.h:29 drivers/scsi/mpt3sas/mpt3sas_scsih.c:7331) mpt3sas Write of size 8 at addr ffff8881d26e3c60 by task kworker/u1536:2/2965 For full log, please look at [1]. Make the allocation at least the size of sizeof(unsigned long) so that set_bit() and test_bit() have sufficient room for read/write operations without overwriting unallocated memory. [1] Link: https://lore.kernel.org/all/ZkNcALr3W3KGYYJG@gmail.com/ [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: USB: class: cdc-wdm: Fix CPU lockup caused by excessive log messages The syzbot fuzzer found that the interrupt-URB completion callback in the cdc-wdm driver was taking too long, and the driver's immediate resubmission of interrupt URBs with -EPROTO status combined with the dummy-hcd emulation to cause a CPU lockup: cdc_wdm 1-1:1.0: nonzero urb status received: -71 cdc_wdm 1-1:1.0: wdm_int_callback - 0 bytes watchdog: BUG: soft lockup - CPU#0 stuck for 26s! [syz-executor782:6625] CPU#0 Utilization every 4s during lockup: #1: 98% system, 0% softirq, 3% hardirq, 0% idle #2: 98% system, 0% softirq, 3% hardirq, 0% idle #3: 98% system, 0% softirq, 3% hardirq, 0% idle #4: 98% system, 0% softirq, 3% hardirq, 0% idle #5: 98% system, 1% softirq, 3% hardirq, 0% idle Modules linked in: irq event stamp: 73096 hardirqs last enabled at (73095): [<ffff80008037bc00>] console_emit_next_record kernel/printk/printk.c:2935 [inline] hardirqs last enabled at (73095): [<ffff80008037bc00>] console_flush_all+0x650/0xb74 kernel/printk/printk.c:2994 hardirqs last disabled at (73096): [<ffff80008af10b00>] __el1_irq arch/arm64/kernel/entry-common.c:533 [inline] hardirqs last disabled at (73096): [<ffff80008af10b00>] el1_interrupt+0x24/0x68 arch/arm64/kernel/entry-common.c:551 softirqs last enabled at (73048): [<ffff8000801ea530>] softirq_handle_end kernel/softirq.c:400 [inline] softirqs last enabled at (73048): [<ffff8000801ea530>] handle_softirqs+0xa60/0xc34 kernel/softirq.c:582 softirqs last disabled at (73043): [<ffff800080020de8>] __do_softirq+0x14/0x20 kernel/softirq.c:588 CPU: 0 PID: 6625 Comm: syz-executor782 Tainted: G W 6.10.0-rc2-syzkaller-g8867bbd4a056 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 04/02/2024 Testing showed that the problem did not occur if the two error messages -- the first two lines above -- were removed; apparently adding material to the kernel log takes a surprisingly large amount of time. In any case, the best approach for preventing these lockups and to avoid spamming the log with thousands of error messages per second is to ratelimit the two dev_err() calls. Therefore we replace them with dev_err_ratelimited(). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ipv6: fix possible race in __fib6_drop_pcpu_from() syzbot found a race in __fib6_drop_pcpu_from() [1] If compiler reads more than once (*ppcpu_rt), second read could read NULL, if another cpu clears the value in rt6_get_pcpu_route(). Add a READ_ONCE() to prevent this race. Also add rcu_read_lock()/rcu_read_unlock() because we rely on RCU protection while dereferencing pcpu_rt. [1] Oops: general protection fault, probably for non-canonical address 0xdffffc0000000012: 0000 [#1] PREEMPT SMP KASAN PTI KASAN: null-ptr-deref in range [0x0000000000000090-0x0000000000000097] CPU: 0 PID: 7543 Comm: kworker/u8:17 Not tainted 6.10.0-rc1-syzkaller-00013-g2bfcfd584ff5 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 04/02/2024 Workqueue: netns cleanup_net RIP: 0010:__fib6_drop_pcpu_from.part.0+0x10a/0x370 net/ipv6/ip6_fib.c:984 Code: f8 48 c1 e8 03 80 3c 28 00 0f 85 16 02 00 00 4d 8b 3f 4d 85 ff 74 31 e8 74 a7 fa f7 49 8d bf 90 00 00 00 48 89 f8 48 c1 e8 03 <80> 3c 28 00 0f 85 1e 02 00 00 49 8b 87 90 00 00 00 48 8b 0c 24 48 RSP: 0018:ffffc900040df070 EFLAGS: 00010206 RAX: 0000000000000012 RBX: 0000000000000001 RCX: ffffffff89932e16 RDX: ffff888049dd1e00 RSI: ffffffff89932d7c RDI: 0000000000000091 RBP: dffffc0000000000 R08: 0000000000000005 R09: 0000000000000007 R10: 0000000000000001 R11: 0000000000000006 R12: ffff88807fa080b8 R13: fffffbfff1a9a07d R14: ffffed100ff41022 R15: 0000000000000001 FS: 0000000000000000(0000) GS:ffff8880b9200000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000001b32c26000 CR3: 000000005d56e000 CR4: 00000000003526f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> __fib6_drop_pcpu_from net/ipv6/ip6_fib.c:966 [inline] fib6_drop_pcpu_from net/ipv6/ip6_fib.c:1027 [inline] fib6_purge_rt+0x7f2/0x9f0 net/ipv6/ip6_fib.c:1038 fib6_del_route net/ipv6/ip6_fib.c:1998 [inline] fib6_del+0xa70/0x17b0 net/ipv6/ip6_fib.c:2043 fib6_clean_node+0x426/0x5b0 net/ipv6/ip6_fib.c:2205 fib6_walk_continue+0x44f/0x8d0 net/ipv6/ip6_fib.c:2127 fib6_walk+0x182/0x370 net/ipv6/ip6_fib.c:2175 fib6_clean_tree+0xd7/0x120 net/ipv6/ip6_fib.c:2255 __fib6_clean_all+0x100/0x2d0 net/ipv6/ip6_fib.c:2271 rt6_sync_down_dev net/ipv6/route.c:4906 [inline] rt6_disable_ip+0x7ed/0xa00 net/ipv6/route.c:4911 addrconf_ifdown.isra.0+0x117/0x1b40 net/ipv6/addrconf.c:3855 addrconf_notify+0x223/0x19e0 net/ipv6/addrconf.c:3778 notifier_call_chain+0xb9/0x410 kernel/notifier.c:93 call_netdevice_notifiers_info+0xbe/0x140 net/core/dev.c:1992 call_netdevice_notifiers_extack net/core/dev.c:2030 [inline] call_netdevice_notifiers net/core/dev.c:2044 [inline] dev_close_many+0x333/0x6a0 net/core/dev.c:1585 unregister_netdevice_many_notify+0x46d/0x19f0 net/core/dev.c:11193 unregister_netdevice_many net/core/dev.c:11276 [inline] default_device_exit_batch+0x85b/0xae0 net/core/dev.c:11759 ops_exit_list+0x128/0x180 net/core/net_namespace.c:178 cleanup_net+0x5b7/0xbf0 net/core/net_namespace.c:640 process_one_work+0x9fb/0x1b60 kernel/workqueue.c:3231 process_scheduled_works kernel/workqueue.c:3312 [inline] worker_thread+0x6c8/0xf70 kernel/workqueue.c:3393 kthread+0x2c1/0x3a0 kernel/kthread.c:389 ret_from_fork+0x45/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:244 [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5: Always stop health timer during driver removal Currently, if teardown_hca fails to execute during driver removal, mlx5 does not stop the health timer. Afterwards, mlx5 continue with driver teardown. This may lead to a UAF bug, which results in page fault Oops[1], since the health timer invokes after resources were freed. Hence, stop the health monitor even if teardown_hca fails. [1] mlx5_core 0000:18:00.0: E-Switch: Unload vfs: mode(LEGACY), nvfs(0), necvfs(0), active vports(0) mlx5_core 0000:18:00.0: E-Switch: Disable: mode(LEGACY), nvfs(0), necvfs(0), active vports(0) mlx5_core 0000:18:00.0: E-Switch: Disable: mode(LEGACY), nvfs(0), necvfs(0), active vports(0) mlx5_core 0000:18:00.0: E-Switch: cleanup mlx5_core 0000:18:00.0: wait_func:1155:(pid 1967079): TEARDOWN_HCA(0x103) timeout. Will cause a leak of a command resource mlx5_core 0000:18:00.0: mlx5_function_close:1288:(pid 1967079): tear_down_hca failed, skip cleanup BUG: unable to handle page fault for address: ffffa26487064230 PGD 100c00067 P4D 100c00067 PUD 100e5a067 PMD 105ed7067 PTE 0 Oops: 0000 [#1] PREEMPT SMP PTI CPU: 0 PID: 0 Comm: swapper/0 Tainted: G OE ------- --- 6.7.0-68.fc38.x86_64 #1 Hardware name: Intel Corporation S2600WFT/S2600WFT, BIOS SE5C620.86B.02.01.0013.121520200651 12/15/2020 RIP: 0010:ioread32be+0x34/0x60 RSP: 0018:ffffa26480003e58 EFLAGS: 00010292 RAX: ffffa26487064200 RBX: ffff9042d08161a0 RCX: ffff904c108222c0 RDX: 000000010bbf1b80 RSI: ffffffffc055ddb0 RDI: ffffa26487064230 RBP: ffff9042d08161a0 R08: 0000000000000022 R09: ffff904c108222e8 R10: 0000000000000004 R11: 0000000000000441 R12: ffffffffc055ddb0 R13: ffffa26487064200 R14: ffffa26480003f00 R15: ffff904c108222c0 FS: 0000000000000000(0000) GS:ffff904c10800000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: ffffa26487064230 CR3: 00000002c4420006 CR4: 00000000007706f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 PKRU: 55555554 Call Trace: <IRQ> ? __die+0x23/0x70 ? page_fault_oops+0x171/0x4e0 ? exc_page_fault+0x175/0x180 ? asm_exc_page_fault+0x26/0x30 ? __pfx_poll_health+0x10/0x10 [mlx5_core] ? __pfx_poll_health+0x10/0x10 [mlx5_core] ? ioread32be+0x34/0x60 mlx5_health_check_fatal_sensors+0x20/0x100 [mlx5_core] ? __pfx_poll_health+0x10/0x10 [mlx5_core] poll_health+0x42/0x230 [mlx5_core] ? __next_timer_interrupt+0xbc/0x110 ? __pfx_poll_health+0x10/0x10 [mlx5_core] call_timer_fn+0x21/0x130 ? __pfx_poll_health+0x10/0x10 [mlx5_core] __run_timers+0x222/0x2c0 run_timer_softirq+0x1d/0x40 __do_softirq+0xc9/0x2c8 __irq_exit_rcu+0xa6/0xc0 sysvec_apic_timer_interrupt+0x72/0x90 </IRQ> <TASK> asm_sysvec_apic_timer_interrupt+0x1a/0x20 RIP: 0010:cpuidle_enter_state+0xcc/0x440 ? cpuidle_enter_state+0xbd/0x440 cpuidle_enter+0x2d/0x40 do_idle+0x20d/0x270 cpu_startup_entry+0x2a/0x30 rest_init+0xd0/0xd0 arch_call_rest_init+0xe/0x30 start_kernel+0x709/0xa90 x86_64_start_reservations+0x18/0x30 x86_64_start_kernel+0x96/0xa0 secondary_startup_64_no_verify+0x18f/0x19b ---[ end trace 0000000000000000 ]--- [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Set run context for rawtp test_run callback syzbot reported crash when rawtp program executed through the test_run interface calls bpf_get_attach_cookie helper or any other helper that touches task->bpf_ctx pointer. Setting the run context (task->bpf_ctx pointer) for test_run callback. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ax25: Fix refcount imbalance on inbound connections When releasing a socket in ax25_release(), we call netdev_put() to decrease the refcount on the associated ax.25 device. However, the execution path for accepting an incoming connection never calls netdev_hold(). This imbalance leads to refcount errors, and ultimately to kernel crashes. A typical call trace for the above situation will start with one of the following errors: refcount_t: decrement hit 0; leaking memory. refcount_t: underflow; use-after-free. And will then have a trace like: Call Trace: <TASK> ? show_regs+0x64/0x70 ? __warn+0x83/0x120 ? refcount_warn_saturate+0xb2/0x100 ? report_bug+0x158/0x190 ? prb_read_valid+0x20/0x30 ? handle_bug+0x3e/0x70 ? exc_invalid_op+0x1c/0x70 ? asm_exc_invalid_op+0x1f/0x30 ? refcount_warn_saturate+0xb2/0x100 ? refcount_warn_saturate+0xb2/0x100 ax25_release+0x2ad/0x360 __sock_release+0x35/0xa0 sock_close+0x19/0x20 [...] On reboot (or any attempt to remove the interface), the kernel gets stuck in an infinite loop: unregister_netdevice: waiting for ax0 to become free. Usage count = 0 This patch corrects these issues by ensuring that we call netdev_hold() and ax25_dev_hold() for new connections in ax25_accept(). This makes the logic leading to ax25_accept() match the logic for ax25_bind(): in both cases we increment the refcount, which is ultimately decremented in ax25_release(). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: cfg80211: Lock wiphy in cfg80211_get_station Wiphy should be locked before calling rdev_get_station() (see lockdep assert in ieee80211_get_station()). This fixes the following kernel NULL dereference: Unable to handle kernel NULL pointer dereference at virtual address 0000000000000050 Mem abort info: ESR = 0x0000000096000006 EC = 0x25: DABT (current EL), IL = 32 bits SET = 0, FnV = 0 EA = 0, S1PTW = 0 FSC = 0x06: level 2 translation fault Data abort info: ISV = 0, ISS = 0x00000006 CM = 0, WnR = 0 user pgtable: 4k pages, 48-bit VAs, pgdp=0000000003001000 [0000000000000050] pgd=0800000002dca003, p4d=0800000002dca003, pud=08000000028e9003, pmd=0000000000000000 Internal error: Oops: 0000000096000006 [#1] SMP Modules linked in: netconsole dwc3_meson_g12a dwc3_of_simple dwc3 ip_gre gre ath10k_pci ath10k_core ath9k ath9k_common ath9k_hw ath CPU: 0 PID: 1091 Comm: kworker/u8:0 Not tainted 6.4.0-02144-g565f9a3a7911-dirty #705 Hardware name: RPT (r1) (DT) Workqueue: bat_events batadv_v_elp_throughput_metric_update pstate: 60000005 (nZCv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : ath10k_sta_statistics+0x10/0x2dc [ath10k_core] lr : sta_set_sinfo+0xcc/0xbd4 sp : ffff000007b43ad0 x29: ffff000007b43ad0 x28: ffff0000071fa900 x27: ffff00000294ca98 x26: ffff000006830880 x25: ffff000006830880 x24: ffff00000294c000 x23: 0000000000000001 x22: ffff000007b43c90 x21: ffff800008898acc x20: ffff00000294c6e8 x19: ffff000007b43c90 x18: 0000000000000000 x17: 445946354d552d78 x16: 62661f7200000000 x15: 57464f445946354d x14: 0000000000000000 x13: 00000000000000e3 x12: d5f0acbcebea978e x11: 00000000000000e3 x10: 000000010048fe41 x9 : 0000000000000000 x8 : ffff000007b43d90 x7 : 000000007a1e2125 x6 : 0000000000000000 x5 : ffff0000024e0900 x4 : ffff800000a0250c x3 : ffff000007b43c90 x2 : ffff00000294ca98 x1 : ffff000006831920 x0 : 0000000000000000 Call trace: ath10k_sta_statistics+0x10/0x2dc [ath10k_core] sta_set_sinfo+0xcc/0xbd4 ieee80211_get_station+0x2c/0x44 cfg80211_get_station+0x80/0x154 batadv_v_elp_get_throughput+0x138/0x1fc batadv_v_elp_throughput_metric_update+0x1c/0xa4 process_one_work+0x1ec/0x414 worker_thread+0x70/0x46c kthread+0xdc/0xe0 ret_from_fork+0x10/0x20 Code: a9bb7bfd 910003fd a90153f3 f9411c40 (f9402814) This happens because STA has time to disconnect and reconnect before batadv_v_elp_throughput_metric_update() delayed work gets scheduled. In this situation, ath10k_sta_state() can be in the middle of resetting arsta data when the work queue get chance to be scheduled and ends up accessing it. Locking wiphy prevents that. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cachefiles: defer exposing anon_fd until after copy_to_user() succeeds After installing the anonymous fd, we can now see it in userland and close it. However, at this point we may not have gotten the reference count of the cache, but we will put it during colse fd, so this may cause a cache UAF. So grab the cache reference count before fd_install(). In addition, by kernel convention, fd is taken over by the user land after fd_install(), and the kernel should not call close_fd() after that, i.e., it should call fd_install() after everything is ready, thus fd_install() is called after copy_to_user() succeeds. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm/huge_memory: don't unpoison huge_zero_folio When I did memory failure tests recently, below panic occurs: kernel BUG at include/linux/mm.h:1135! invalid opcode: 0000 [#1] PREEMPT SMP NOPTI CPU: 9 PID: 137 Comm: kswapd1 Not tainted 6.9.0-rc4-00491-gd5ce28f156fe-dirty #14 RIP: 0010:shrink_huge_zero_page_scan+0x168/0x1a0 RSP: 0018:ffff9933c6c57bd0 EFLAGS: 00000246 RAX: 000000000000003e RBX: 0000000000000000 RCX: ffff88f61fc5c9c8 RDX: 0000000000000000 RSI: 0000000000000027 RDI: ffff88f61fc5c9c0 RBP: ffffcd7c446b0000 R08: ffffffff9a9405f0 R09: 0000000000005492 R10: 00000000000030ea R11: ffffffff9a9405f0 R12: 0000000000000000 R13: 0000000000000000 R14: 0000000000000000 R15: ffff88e703c4ac00 FS: 0000000000000000(0000) GS:ffff88f61fc40000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000055f4da6e9878 CR3: 0000000c71048000 CR4: 00000000000006f0 Call Trace: <TASK> do_shrink_slab+0x14f/0x6a0 shrink_slab+0xca/0x8c0 shrink_node+0x2d0/0x7d0 balance_pgdat+0x33a/0x720 kswapd+0x1f3/0x410 kthread+0xd5/0x100 ret_from_fork+0x2f/0x50 ret_from_fork_asm+0x1a/0x30 </TASK> Modules linked in: mce_inject hwpoison_inject ---[ end trace 0000000000000000 ]--- RIP: 0010:shrink_huge_zero_page_scan+0x168/0x1a0 RSP: 0018:ffff9933c6c57bd0 EFLAGS: 00000246 RAX: 000000000000003e RBX: 0000000000000000 RCX: ffff88f61fc5c9c8 RDX: 0000000000000000 RSI: 0000000000000027 RDI: ffff88f61fc5c9c0 RBP: ffffcd7c446b0000 R08: ffffffff9a9405f0 R09: 0000000000005492 R10: 00000000000030ea R11: ffffffff9a9405f0 R12: 0000000000000000 R13: 0000000000000000 R14: 0000000000000000 R15: ffff88e703c4ac00 FS: 0000000000000000(0000) GS:ffff88f61fc40000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000055f4da6e9878 CR3: 0000000c71048000 CR4: 00000000000006f0 The root cause is that HWPoison flag will be set for huge_zero_folio without increasing the folio refcnt. But then unpoison_memory() will decrease the folio refcnt unexpectedly as it appears like a successfully hwpoisoned folio leading to VM_BUG_ON_PAGE(page_ref_count(page) == 0) when releasing huge_zero_folio. Skip unpoisoning huge_zero_folio in unpoison_memory() to fix this issue. We're not prepared to unpoison huge_zero_folio yet. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: riscv: rewrite __kernel_map_pages() to fix sleeping in invalid context __kernel_map_pages() is a debug function which clears the valid bit in page table entry for deallocated pages to detect illegal memory accesses to freed pages. This function set/clear the valid bit using __set_memory(). __set_memory() acquires init_mm's semaphore, and this operation may sleep. This is problematic, because __kernel_map_pages() can be called in atomic context, and thus is illegal to sleep. An example warning that this causes: BUG: sleeping function called from invalid context at kernel/locking/rwsem.c:1578 in_atomic(): 1, irqs_disabled(): 0, non_block: 0, pid: 2, name: kthreadd preempt_count: 2, expected: 0 CPU: 0 PID: 2 Comm: kthreadd Not tainted 6.9.0-g1d4c6d784ef6 #37 Hardware name: riscv-virtio,qemu (DT) Call Trace: [<ffffffff800060dc>] dump_backtrace+0x1c/0x24 [<ffffffff8091ef6e>] show_stack+0x2c/0x38 [<ffffffff8092baf8>] dump_stack_lvl+0x5a/0x72 [<ffffffff8092bb24>] dump_stack+0x14/0x1c [<ffffffff8003b7ac>] __might_resched+0x104/0x10e [<ffffffff8003b7f4>] __might_sleep+0x3e/0x62 [<ffffffff8093276a>] down_write+0x20/0x72 [<ffffffff8000cf00>] __set_memory+0x82/0x2fa [<ffffffff8000d324>] __kernel_map_pages+0x5a/0xd4 [<ffffffff80196cca>] __alloc_pages_bulk+0x3b2/0x43a [<ffffffff8018ee82>] __vmalloc_node_range+0x196/0x6ba [<ffffffff80011904>] copy_process+0x72c/0x17ec [<ffffffff80012ab4>] kernel_clone+0x60/0x2fe [<ffffffff80012f62>] kernel_thread+0x82/0xa0 [<ffffffff8003552c>] kthreadd+0x14a/0x1be [<ffffffff809357de>] ret_from_fork+0xe/0x1c Rewrite this function with apply_to_existing_page_range(). It is fine to not have any locking, because __kernel_map_pages() works with pages being allocated/deallocated and those pages are not changed by anyone else in the meantime. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bnxt_en: Adjust logging of firmware messages in case of released token in __hwrm_send() In case of token is released due to token->state == BNXT_HWRM_DEFERRED, released token (set to NULL) is used in log messages. This issue is expected to be prevented by HWRM_ERR_CODE_PF_UNAVAILABLE error code. But this error code is returned by recent firmware. So some firmware may not return it. This may lead to NULL pointer dereference. Adjust this issue by adding token pointer check. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/i915/dpt: Make DPT object unshrinkable In some scenarios, the DPT object gets shrunk but the actual framebuffer did not and thus its still there on the DPT's vm->bound_list. Then it tries to rewrite the PTEs via a stale CPU mapping. This causes panic. [vsyrjala: Add TODO comment] (cherry picked from commit 51064d471c53dcc8eddd2333c3f1c1d9131ba36c) [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: iwlwifi: mvm: check n_ssids before accessing the ssids In some versions of cfg80211, the ssids poinet might be a valid one even though n_ssids is 0. Accessing the pointer in this case will cuase an out-of-bound access. Fix this by checking n_ssids first. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mptcp: ensure snd_una is properly initialized on connect This is strictly related to commit fb7a0d334894 ("mptcp: ensure snd_nxt is properly initialized on connect"). It turns out that syzkaller can trigger the retransmit after fallback and before processing any other incoming packet - so that snd_una is still left uninitialized. Address the issue explicitly initializing snd_una together with snd_nxt and write_seq. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/exynos/vidi: fix memory leak in .get_modes() The duplicated EDID is never freed. Fix it. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: HID: logitech-dj: Fix memory leak in logi_dj_recv_switch_to_dj_mode() Fix a memory leak on logi_dj_recv_send_report() error path. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cachefiles: flush all requests after setting CACHEFILES_DEAD In ondemand mode, when the daemon is processing an open request, if the kernel flags the cache as CACHEFILES_DEAD, the cachefiles_daemon_write() will always return -EIO, so the daemon can't pass the copen to the kernel. Then the kernel process that is waiting for the copen triggers a hung_task. Since the DEAD state is irreversible, it can only be exited by closing /dev/cachefiles. Therefore, after calling cachefiles_io_error() to mark the cache as CACHEFILES_DEAD, if in ondemand mode, flush all requests to avoid the above hungtask. We may still be able to read some of the cached data before closing the fd of /dev/cachefiles. Note that this relies on the patch that adds reference counting to the req, otherwise it may UAF. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: gve: Clear napi->skb before dev_kfree_skb_any() gve_rx_free_skb incorrectly leaves napi->skb referencing an skb after it is freed with dev_kfree_skb_any(). This can result in a subsequent call to napi_get_frags returning a dangling pointer. Fix this by clearing napi->skb before the skb is freed. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: landlock: Fix d_parent walk The WARN_ON_ONCE() in collect_domain_accesses() can be triggered when trying to link a root mount point. This cannot work in practice because this directory is mounted, but the VFS check is done after the call to security_path_link(). Do not use source directory's d_parent when the source directory is the mount point. [mic: Fix commit message] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: wwan: iosm: Fix tainted pointer delete is case of region creation fail In case of region creation fail in ipc_devlink_create_region(), previously created regions delete process starts from tainted pointer which actually holds error code value. Fix this bug by decreasing region index before delete. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5: Fix tainted pointer delete is case of flow rules creation fail In case of flow rule creation fail in mlx5_lag_create_port_sel_table(), instead of previously created rules, the tainted pointer is deleted deveral times. Fix this bug by using correct flow rules pointers. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: iwlwifi: mvm: don't read past the mfuart notifcation In case the firmware sends a notification that claims it has more data than it has, we will read past that was allocated for the notification. Remove the print of the buffer, we won't see it by default. If needed, we can see the content with tracing. This was reported by KFENCE. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: mac80211: mesh: Fix leak of mesh_preq_queue objects The hwmp code use objects of type mesh_preq_queue, added to a list in ieee80211_if_mesh, to keep track of mpath we need to resolve. If the mpath gets deleted, ex mesh interface is removed, the entries in that list will never get cleaned. Fix this by flushing all corresponding items of the preq_queue in mesh_path_flush_pending(). This should take care of KASAN reports like this: unreferenced object 0xffff00000668d800 (size 128): comm "kworker/u8:4", pid 67, jiffies 4295419552 (age 1836.444s) hex dump (first 32 bytes): 00 1f 05 09 00 00 ff ff 00 d5 68 06 00 00 ff ff ..........h..... 8e 97 ea eb 3e b8 01 00 00 00 00 00 00 00 00 00 ....>........... backtrace: [<000000007302a0b6>] __kmem_cache_alloc_node+0x1e0/0x35c [<00000000049bd418>] kmalloc_trace+0x34/0x80 [<0000000000d792bb>] mesh_queue_preq+0x44/0x2a8 [<00000000c99c3696>] mesh_nexthop_resolve+0x198/0x19c [<00000000926bf598>] ieee80211_xmit+0x1d0/0x1f4 [<00000000fc8c2284>] __ieee80211_subif_start_xmit+0x30c/0x764 [<000000005926ee38>] ieee80211_subif_start_xmit+0x9c/0x7a4 [<000000004c86e916>] dev_hard_start_xmit+0x174/0x440 [<0000000023495647>] __dev_queue_xmit+0xe24/0x111c [<00000000cfe9ca78>] batadv_send_skb_packet+0x180/0x1e4 [<000000007bacc5d5>] batadv_v_elp_periodic_work+0x2f4/0x508 [<00000000adc3cd94>] process_one_work+0x4b8/0xa1c [<00000000b36425d1>] worker_thread+0x9c/0x634 [<0000000005852dd5>] kthread+0x1bc/0x1c4 [<000000005fccd770>] ret_from_fork+0x10/0x20 unreferenced object 0xffff000009051f00 (size 128): comm "kworker/u8:4", pid 67, jiffies 4295419553 (age 1836.440s) hex dump (first 32 bytes): 90 d6 92 0d 00 00 ff ff 00 d8 68 06 00 00 ff ff ..........h..... 36 27 92 e4 02 e0 01 00 00 58 79 06 00 00 ff ff 6'.......Xy..... backtrace: [<000000007302a0b6>] __kmem_cache_alloc_node+0x1e0/0x35c [<00000000049bd418>] kmalloc_trace+0x34/0x80 [<0000000000d792bb>] mesh_queue_preq+0x44/0x2a8 [<00000000c99c3696>] mesh_nexthop_resolve+0x198/0x19c [<00000000926bf598>] ieee80211_xmit+0x1d0/0x1f4 [<00000000fc8c2284>] __ieee80211_subif_start_xmit+0x30c/0x764 [<000000005926ee38>] ieee80211_subif_start_xmit+0x9c/0x7a4 [<000000004c86e916>] dev_hard_start_xmit+0x174/0x440 [<0000000023495647>] __dev_queue_xmit+0xe24/0x111c [<00000000cfe9ca78>] batadv_send_skb_packet+0x180/0x1e4 [<000000007bacc5d5>] batadv_v_elp_periodic_work+0x2f4/0x508 [<00000000adc3cd94>] process_one_work+0x4b8/0xa1c [<00000000b36425d1>] worker_thread+0x9c/0x634 [<0000000005852dd5>] kthread+0x1bc/0x1c4 [<000000005fccd770>] ret_from_fork+0x10/0x20 [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ocfs2: fix races between hole punching and AIO+DIO After commit "ocfs2: return real error code in ocfs2_dio_wr_get_block", fstests/generic/300 become from always failed to sometimes failed: ======================================================================== [ 473.293420 ] run fstests generic/300 [ 475.296983 ] JBD2: Ignoring recovery information on journal [ 475.302473 ] ocfs2: Mounting device (253,1) on (node local, slot 0) with ordered data mode. [ 494.290998 ] OCFS2: ERROR (device dm-1): ocfs2_change_extent_flag: Owner 5668 has an extent at cpos 78723 which can no longer be found [ 494.291609 ] On-disk corruption discovered. Please run fsck.ocfs2 once the filesystem is unmounted. [ 494.292018 ] OCFS2: File system is now read-only. [ 494.292224 ] (kworker/19:11,2628,19):ocfs2_mark_extent_written:5272 ERROR: status = -30 [ 494.292602 ] (kworker/19:11,2628,19):ocfs2_dio_end_io_write:2374 ERROR: status = -3 fio: io_u error on file /mnt/scratch/racer: Read-only file system: write offset=460849152, buflen=131072 ========================================================================= In __blockdev_direct_IO, ocfs2_dio_wr_get_block is called to add unwritten extents to a list. extents are also inserted into extent tree in ocfs2_write_begin_nolock. Then another thread call fallocate to puch a hole at one of the unwritten extent. The extent at cpos was removed by ocfs2_remove_extent(). At end io worker thread, ocfs2_search_extent_list found there is no such extent at the cpos. T1 T2 T3 inode lock ... insert extents ... inode unlock ocfs2_fallocate __ocfs2_change_file_space inode lock lock ip_alloc_sem ocfs2_remove_inode_range inode ocfs2_remove_btree_range ocfs2_remove_extent ^---remove the extent at cpos 78723 ... unlock ip_alloc_sem inode unlock ocfs2_dio_end_io ocfs2_dio_end_io_write lock ip_alloc_sem ocfs2_mark_extent_written ocfs2_change_extent_flag ocfs2_search_extent_list ^---failed to find extent ... unlock ip_alloc_sem In most filesystems, fallocate is not compatible with racing with AIO+DIO, so fix it by adding to wait for all dio before fallocate/punch_hole like ext4. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ima: Avoid blocking in RCU read-side critical section A panic happens in ima_match_policy: BUG: unable to handle kernel NULL pointer dereference at 0000000000000010 PGD 42f873067 P4D 0 Oops: 0000 [#1] SMP NOPTI CPU: 5 PID: 1286325 Comm: kubeletmonit.sh Kdump: loaded Tainted: P Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 0.0.0 02/06/2015 RIP: 0010:ima_match_policy+0x84/0x450 Code: 49 89 fc 41 89 cf 31 ed 89 44 24 14 eb 1c 44 39 7b 18 74 26 41 83 ff 05 74 20 48 8b 1b 48 3b 1d f2 b9 f4 00 0f 84 9c 01 00 00 <44> 85 73 10 74 ea 44 8b 6b 14 41 f6 c5 01 75 d4 41 f6 c5 02 74 0f RSP: 0018:ff71570009e07a80 EFLAGS: 00010207 RAX: 0000000000000000 RBX: 0000000000000000 RCX: 0000000000000200 RDX: ffffffffad8dc7c0 RSI: 0000000024924925 RDI: ff3e27850dea2000 RBP: 0000000000000000 R08: 0000000000000000 R09: ffffffffabfce739 R10: ff3e27810cc42400 R11: 0000000000000000 R12: ff3e2781825ef970 R13: 00000000ff3e2785 R14: 000000000000000c R15: 0000000000000001 FS: 00007f5195b51740(0000) GS:ff3e278b12d40000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000000010 CR3: 0000000626d24002 CR4: 0000000000361ee0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: ima_get_action+0x22/0x30 process_measurement+0xb0/0x830 ? page_add_file_rmap+0x15/0x170 ? alloc_set_pte+0x269/0x4c0 ? prep_new_page+0x81/0x140 ? simple_xattr_get+0x75/0xa0 ? selinux_file_open+0x9d/0xf0 ima_file_check+0x64/0x90 path_openat+0x571/0x1720 do_filp_open+0x9b/0x110 ? page_counter_try_charge+0x57/0xc0 ? files_cgroup_alloc_fd+0x38/0x60 ? __alloc_fd+0xd4/0x250 ? do_sys_open+0x1bd/0x250 do_sys_open+0x1bd/0x250 do_syscall_64+0x5d/0x1d0 entry_SYSCALL_64_after_hwframe+0x65/0xca Commit c7423dbdbc9e ("ima: Handle -ESTALE returned by ima_filter_rule_match()") introduced call to ima_lsm_copy_rule within a RCU read-side critical section which contains kmalloc with GFP_KERNEL. This implies a possible sleep and violates limitations of RCU read-side critical sections on non-PREEMPT systems. Sleeping within RCU read-side critical section might cause synchronize_rcu() returning early and break RCU protection, allowing a UAF to happen. The root cause of this issue could be described as follows: | Thread A | Thread B | | |ima_match_policy | | | rcu_read_lock | |ima_lsm_update_rule | | | synchronize_rcu | | | | kmalloc(GFP_KERNEL)| | | sleep | ==> synchronize_rcu returns early | kfree(entry) | | | | entry = entry->next| ==> UAF happens and entry now becomes NULL (or could be anything). | | entry->action | ==> Accessing entry might cause panic. To fix this issue, we are converting all kmalloc that is called within RCU read-side critical section to use GFP_ATOMIC. [PM: fixed missing comment, long lines, !CONFIG_IMA_LSM_RULES case] [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm/page_table_check: fix crash on ZONE_DEVICE Not all pages may apply to pgtable check. One example is ZONE_DEVICE pages: they map PFNs directly, and they don't allocate page_ext at all even if there's struct page around. One may reference devm_memremap_pages(). When both ZONE_DEVICE and page-table-check enabled, then try to map some dax memories, one can trigger kernel bug constantly now when the kernel was trying to inject some pfn maps on the dax device: kernel BUG at mm/page_table_check.c:55! While it's pretty legal to use set_pxx_at() for ZONE_DEVICE pages for page fault resolutions, skip all the checks if page_ext doesn't even exist in pgtable checker, which applies to ZONE_DEVICE but maybe more. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: KVM: Fix a data race on last_boosted_vcpu in kvm_vcpu_on_spin() Use {READ,WRITE}_ONCE() to access kvm->last_boosted_vcpu to ensure the loads and stores are atomic. In the extremely unlikely scenario the compiler tears the stores, it's theoretically possible for KVM to attempt to get a vCPU using an out-of-bounds index, e.g. if the write is split into multiple 8-bit stores, and is paired with a 32-bit load on a VM with 257 vCPUs: CPU0 CPU1 last_boosted_vcpu = 0xff; (last_boosted_vcpu = 0x100) last_boosted_vcpu[15:8] = 0x01; i = (last_boosted_vcpu = 0x1ff) last_boosted_vcpu[7:0] = 0x00; vcpu = kvm->vcpu_array[0x1ff]; As detected by KCSAN: BUG: KCSAN: data-race in kvm_vcpu_on_spin [kvm] / kvm_vcpu_on_spin [kvm] write to 0xffffc90025a92344 of 4 bytes by task 4340 on cpu 16: kvm_vcpu_on_spin (arch/x86/kvm/../../../virt/kvm/kvm_main.c:4112) kvm handle_pause (arch/x86/kvm/vmx/vmx.c:5929) kvm_intel vmx_handle_exit (arch/x86/kvm/vmx/vmx.c:? arch/x86/kvm/vmx/vmx.c:6606) kvm_intel vcpu_run (arch/x86/kvm/x86.c:11107 arch/x86/kvm/x86.c:11211) kvm kvm_arch_vcpu_ioctl_run (arch/x86/kvm/x86.c:?) kvm kvm_vcpu_ioctl (arch/x86/kvm/../../../virt/kvm/kvm_main.c:?) kvm __se_sys_ioctl (fs/ioctl.c:52 fs/ioctl.c:904 fs/ioctl.c:890) __x64_sys_ioctl (fs/ioctl.c:890) x64_sys_call (arch/x86/entry/syscall_64.c:33) do_syscall_64 (arch/x86/entry/common.c:?) entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:130) read to 0xffffc90025a92344 of 4 bytes by task 4342 on cpu 4: kvm_vcpu_on_spin (arch/x86/kvm/../../../virt/kvm/kvm_main.c:4069) kvm handle_pause (arch/x86/kvm/vmx/vmx.c:5929) kvm_intel vmx_handle_exit (arch/x86/kvm/vmx/vmx.c:? arch/x86/kvm/vmx/vmx.c:6606) kvm_intel vcpu_run (arch/x86/kvm/x86.c:11107 arch/x86/kvm/x86.c:11211) kvm kvm_arch_vcpu_ioctl_run (arch/x86/kvm/x86.c:?) kvm kvm_vcpu_ioctl (arch/x86/kvm/../../../virt/kvm/kvm_main.c:?) kvm __se_sys_ioctl (fs/ioctl.c:52 fs/ioctl.c:904 fs/ioctl.c:890) __x64_sys_ioctl (fs/ioctl.c:890) x64_sys_call (arch/x86/entry/syscall_64.c:33) do_syscall_64 (arch/x86/entry/common.c:?) entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:130) value changed: 0x00000012 -> 0x00000000 [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: seg6: fix parameter passing when calling NF_HOOK() in End.DX4 and End.DX6 behaviors input_action_end_dx4() and input_action_end_dx6() are called NF_HOOK() for PREROUTING hook, in PREROUTING hook, we should passing a valid indev, and a NULL outdev to NF_HOOK(), otherwise may trigger a NULL pointer dereference, as below: [74830.647293] BUG: kernel NULL pointer dereference, address: 0000000000000090 [74830.655633] #PF: supervisor read access in kernel mode [74830.657888] #PF: error_code(0x0000) - not-present page [74830.659500] PGD 0 P4D 0 [74830.660450] Oops: 0000 [#1] PREEMPT SMP PTI ... [74830.664953] Hardware name: Red Hat KVM, BIOS 0.5.1 01/01/2011 [74830.666569] RIP: 0010:rpfilter_mt+0x44/0x15e [ipt_rpfilter] ... [74830.689725] Call Trace: [74830.690402] <IRQ> [74830.690953] ? show_trace_log_lvl+0x1c4/0x2df [74830.692020] ? show_trace_log_lvl+0x1c4/0x2df [74830.693095] ? ipt_do_table+0x286/0x710 [ip_tables] [74830.694275] ? __die_body.cold+0x8/0xd [74830.695205] ? page_fault_oops+0xac/0x140 [74830.696244] ? exc_page_fault+0x62/0x150 [74830.697225] ? asm_exc_page_fault+0x22/0x30 [74830.698344] ? rpfilter_mt+0x44/0x15e [ipt_rpfilter] [74830.699540] ipt_do_table+0x286/0x710 [ip_tables] [74830.700758] ? ip6_route_input+0x19d/0x240 [74830.701752] nf_hook_slow+0x3f/0xb0 [74830.702678] input_action_end_dx4+0x19b/0x1e0 [74830.703735] ? input_action_end_t+0xe0/0xe0 [74830.704734] seg6_local_input_core+0x2d/0x60 [74830.705782] lwtunnel_input+0x5b/0xb0 [74830.706690] __netif_receive_skb_one_core+0x63/0xa0 [74830.707825] process_backlog+0x99/0x140 [74830.709538] __napi_poll+0x2c/0x160 [74830.710673] net_rx_action+0x296/0x350 [74830.711860] __do_softirq+0xcb/0x2ac [74830.713049] do_softirq+0x63/0x90 input_action_end_dx4() passing a NULL indev to NF_HOOK(), and finally trigger a NULL dereference in rpfilter_mt()->rpfilter_is_loopback(): static bool rpfilter_is_loopback(const struct sk_buff *skb, const struct net_device *in) { // in is NULL return skb->pkt_type == PACKET_LOOPBACK || in->flags & IFF_LOOPBACK; } [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: xfrm6: check ip6_dst_idev() return value in xfrm6_get_saddr() ip6_dst_idev() can return NULL, xfrm6_get_saddr() must act accordingly. syzbot reported: Oops: general protection fault, probably for non-canonical address 0xdffffc0000000000: 0000 [#1] PREEMPT SMP KASAN PTI KASAN: null-ptr-deref in range [0x0000000000000000-0x0000000000000007] CPU: 1 PID: 12 Comm: kworker/u8:1 Not tainted 6.10.0-rc2-syzkaller-00383-gb8481381d4e2 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 04/02/2024 Workqueue: wg-kex-wg1 wg_packet_handshake_send_worker RIP: 0010:xfrm6_get_saddr+0x93/0x130 net/ipv6/xfrm6_policy.c:64 Code: df 48 89 fa 48 c1 ea 03 80 3c 02 00 0f 85 97 00 00 00 4c 8b ab d8 00 00 00 48 b8 00 00 00 00 00 fc ff df 4c 89 ea 48 c1 ea 03 <80> 3c 02 00 0f 85 86 00 00 00 4d 8b 6d 00 e8 ca 13 47 01 48 b8 00 RSP: 0018:ffffc90000117378 EFLAGS: 00010246 RAX: dffffc0000000000 RBX: ffff88807b079dc0 RCX: ffffffff89a0d6d7 RDX: 0000000000000000 RSI: ffffffff89a0d6e9 RDI: ffff88807b079e98 RBP: ffff88807ad73248 R08: 0000000000000007 R09: fffffffffffff000 R10: ffff88807b079dc0 R11: 0000000000000007 R12: ffffc90000117480 R13: 0000000000000000 R14: 0000000000000000 R15: 0000000000000000 FS: 0000000000000000(0000) GS:ffff8880b9300000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f4586d00440 CR3: 0000000079042000 CR4: 00000000003506f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> xfrm_get_saddr net/xfrm/xfrm_policy.c:2452 [inline] xfrm_tmpl_resolve_one net/xfrm/xfrm_policy.c:2481 [inline] xfrm_tmpl_resolve+0xa26/0xf10 net/xfrm/xfrm_policy.c:2541 xfrm_resolve_and_create_bundle+0x140/0x2570 net/xfrm/xfrm_policy.c:2835 xfrm_bundle_lookup net/xfrm/xfrm_policy.c:3070 [inline] xfrm_lookup_with_ifid+0x4d1/0x1e60 net/xfrm/xfrm_policy.c:3201 xfrm_lookup net/xfrm/xfrm_policy.c:3298 [inline] xfrm_lookup_route+0x3b/0x200 net/xfrm/xfrm_policy.c:3309 ip6_dst_lookup_flow+0x15c/0x1d0 net/ipv6/ip6_output.c:1256 send6+0x611/0xd20 drivers/net/wireguard/socket.c:139 wg_socket_send_skb_to_peer+0xf9/0x220 drivers/net/wireguard/socket.c:178 wg_socket_send_buffer_to_peer+0x12b/0x190 drivers/net/wireguard/socket.c:200 wg_packet_send_handshake_initiation+0x227/0x360 drivers/net/wireguard/send.c:40 wg_packet_handshake_send_worker+0x1c/0x30 drivers/net/wireguard/send.c:51 process_one_work+0x9fb/0x1b60 kernel/workqueue.c:3231 process_scheduled_works kernel/workqueue.c:3312 [inline] worker_thread+0x6c8/0xf70 kernel/workqueue.c:3393 kthread+0x2c1/0x3a0 kernel/kthread.c:389 ret_from_fork+0x45/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:244 [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ipv6: prevent possible NULL dereference in rt6_probe() syzbot caught a NULL dereference in rt6_probe() [1] Bail out if __in6_dev_get() returns NULL. [1] Oops: general protection fault, probably for non-canonical address 0xdffffc00000000cb: 0000 [#1] PREEMPT SMP KASAN PTI KASAN: null-ptr-deref in range [0x0000000000000658-0x000000000000065f] CPU: 1 PID: 22444 Comm: syz-executor.0 Not tainted 6.10.0-rc2-syzkaller-00383-gb8481381d4e2 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 04/02/2024 RIP: 0010:rt6_probe net/ipv6/route.c:656 [inline] RIP: 0010:find_match+0x8c4/0xf50 net/ipv6/route.c:758 Code: 14 fd f7 48 8b 85 38 ff ff ff 48 c7 45 b0 00 00 00 00 48 8d b8 5c 06 00 00 48 b8 00 00 00 00 00 fc ff df 48 89 fa 48 c1 ea 03 <0f> b6 14 02 48 89 f8 83 e0 07 83 c0 03 38 d0 7c 08 84 d2 0f 85 19 RSP: 0018:ffffc900034af070 EFLAGS: 00010203 RAX: dffffc0000000000 RBX: 0000000000000000 RCX: ffffc90004521000 RDX: 00000000000000cb RSI: ffffffff8990d0cd RDI: 000000000000065c RBP: ffffc900034af150 R08: 0000000000000005 R09: 0000000000000000 R10: 0000000000000001 R11: 0000000000000002 R12: 000000000000000a R13: 1ffff92000695e18 R14: ffff8880244a1d20 R15: 0000000000000000 FS: 00007f4844a5a6c0(0000) GS:ffff8880b9300000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000001b31b27000 CR3: 000000002d42c000 CR4: 00000000003506f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> rt6_nh_find_match+0xfa/0x1a0 net/ipv6/route.c:784 nexthop_for_each_fib6_nh+0x26d/0x4a0 net/ipv4/nexthop.c:1496 __find_rr_leaf+0x6e7/0xe00 net/ipv6/route.c:825 find_rr_leaf net/ipv6/route.c:853 [inline] rt6_select net/ipv6/route.c:897 [inline] fib6_table_lookup+0x57e/0xa30 net/ipv6/route.c:2195 ip6_pol_route+0x1cd/0x1150 net/ipv6/route.c:2231 pol_lookup_func include/net/ip6_fib.h:616 [inline] fib6_rule_lookup+0x386/0x720 net/ipv6/fib6_rules.c:121 ip6_route_output_flags_noref net/ipv6/route.c:2639 [inline] ip6_route_output_flags+0x1d0/0x640 net/ipv6/route.c:2651 ip6_dst_lookup_tail.constprop.0+0x961/0x1760 net/ipv6/ip6_output.c:1147 ip6_dst_lookup_flow+0x99/0x1d0 net/ipv6/ip6_output.c:1250 rawv6_sendmsg+0xdab/0x4340 net/ipv6/raw.c:898 inet_sendmsg+0x119/0x140 net/ipv4/af_inet.c:853 sock_sendmsg_nosec net/socket.c:730 [inline] __sock_sendmsg net/socket.c:745 [inline] sock_write_iter+0x4b8/0x5c0 net/socket.c:1160 new_sync_write fs/read_write.c:497 [inline] vfs_write+0x6b6/0x1140 fs/read_write.c:590 ksys_write+0x1f8/0x260 fs/read_write.c:643 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcd/0x250 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ipv6: prevent possible NULL deref in fib6_nh_init() syzbot reminds us that in6_dev_get() can return NULL. fib6_nh_init() ip6_validate_gw( &idev ) ip6_route_check_nh( idev ) *idev = in6_dev_get(dev); // can be NULL Oops: general protection fault, probably for non-canonical address 0xdffffc00000000bc: 0000 [#1] PREEMPT SMP KASAN PTI KASAN: null-ptr-deref in range [0x00000000000005e0-0x00000000000005e7] CPU: 0 PID: 11237 Comm: syz-executor.3 Not tainted 6.10.0-rc2-syzkaller-00249-gbe27b8965297 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 06/07/2024 RIP: 0010:fib6_nh_init+0x640/0x2160 net/ipv6/route.c:3606 Code: 00 00 fc ff df 4c 8b 64 24 58 48 8b 44 24 28 4c 8b 74 24 30 48 89 c1 48 89 44 24 28 48 8d 98 e0 05 00 00 48 89 d8 48 c1 e8 03 <42> 0f b6 04 38 84 c0 0f 85 b3 17 00 00 8b 1b 31 ff 89 de e8 b8 8b RSP: 0018:ffffc900032775a0 EFLAGS: 00010202 RAX: 00000000000000bc RBX: 00000000000005e0 RCX: 0000000000000000 RDX: 0000000000000010 RSI: ffffc90003277a54 RDI: ffff88802b3a08d8 RBP: ffffc900032778b0 R08: 00000000000002fc R09: 0000000000000000 R10: 00000000000002fc R11: 0000000000000000 R12: ffff88802b3a08b8 R13: 1ffff9200064eec8 R14: ffffc90003277a00 R15: dffffc0000000000 FS: 00007f940feb06c0(0000) GS:ffff8880b9400000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000000000 CR3: 00000000245e8000 CR4: 00000000003506f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> ip6_route_info_create+0x99e/0x12b0 net/ipv6/route.c:3809 ip6_route_add+0x28/0x160 net/ipv6/route.c:3853 ipv6_route_ioctl+0x588/0x870 net/ipv6/route.c:4483 inet6_ioctl+0x21a/0x280 net/ipv6/af_inet6.c:579 sock_do_ioctl+0x158/0x460 net/socket.c:1222 sock_ioctl+0x629/0x8e0 net/socket.c:1341 vfs_ioctl fs/ioctl.c:51 [inline] __do_sys_ioctl fs/ioctl.c:907 [inline] __se_sys_ioctl+0xfc/0x170 fs/ioctl.c:893 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f940f07cea9 [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mips: bmips: BCM6358: make sure CBR is correctly set It was discovered that some device have CBR address set to 0 causing kernel panic when arch_sync_dma_for_cpu_all is called. This was notice in situation where the system is booted from TP1 and BMIPS_GET_CBR() returns 0 instead of a valid address and !!(read_c0_brcm_cmt_local() & (1 << 31)); not failing. The current check whether RAC flush should be disabled or not are not enough hence lets check if CBR is a valid address or not. [NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tty: add the option to have a tty reject a new ldisc ... and use it to limit the virtual terminals to just N_TTY. They are kind of special, and in particular, the "con_write()" routine violates the "writes cannot sleep" rule that some ldiscs rely on. This avoids the BUG: sleeping function called from invalid context at kernel/printk/printk.c:2659 when N_GSM has been attached to a virtual console, and gsmld_write() calls con_write() while holding a spinlock, and con_write() then tries to get the console lock. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: serial: imx: Introduce timeout when waiting on transmitter empty By waiting at most 1 second for USR2_TXDC to be set, we avoid a potential deadlock. In case of the timeout, there is not much we can do, so we simply ignore the transmitter state and optimistically try to continue. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ext4: do not create EA inode under buffer lock ext4_xattr_set_entry() creates new EA inodes while holding buffer lock on the external xattr block. This is problematic as it nests all the allocation locking (which acquires locks on other buffers) under the buffer lock. This can even deadlock when the filesystem is corrupted and e.g. quota file is setup to contain xattr block as data block. Move the allocation of EA inode out of ext4_xattr_set_entry() into the callers. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: mt76: mt7921s: fix potential hung tasks during chip recovery During chip recovery (e.g. chip reset), there is a possible situation that kernel worker reset_work is holding the lock and waiting for kernel thread stat_worker to be parked, while stat_worker is waiting for the release of the same lock. It causes a deadlock resulting in the dumping of hung tasks messages and possible rebooting of the device. This patch prevents the execution of stat_worker during the chip recovery. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drop_monitor: replace spin_lock by raw_spin_lock trace_drop_common() is called with preemption disabled, and it acquires a spin_lock. This is problematic for RT kernels because spin_locks are sleeping locks in this configuration, which causes the following splat: BUG: sleeping function called from invalid context at kernel/locking/spinlock_rt.c:48 in_atomic(): 1, irqs_disabled(): 1, non_block: 0, pid: 449, name: rcuc/47 preempt_count: 1, expected: 0 RCU nest depth: 2, expected: 2 5 locks held by rcuc/47/449: #0: ff1100086ec30a60 ((softirq_ctrl.lock)){+.+.}-{2:2}, at: __local_bh_disable_ip+0x105/0x210 #1: ffffffffb394a280 (rcu_read_lock){....}-{1:2}, at: rt_spin_lock+0xbf/0x130 #2: ffffffffb394a280 (rcu_read_lock){....}-{1:2}, at: __local_bh_disable_ip+0x11c/0x210 #3: ffffffffb394a160 (rcu_callback){....}-{0:0}, at: rcu_do_batch+0x360/0xc70 #4: ff1100086ee07520 (&data->lock){+.+.}-{2:2}, at: trace_drop_common.constprop.0+0xb5/0x290 irq event stamp: 139909 hardirqs last enabled at (139908): [<ffffffffb1df2b33>] _raw_spin_unlock_irqrestore+0x63/0x80 hardirqs last disabled at (139909): [<ffffffffb19bd03d>] trace_drop_common.constprop.0+0x26d/0x290 softirqs last enabled at (139892): [<ffffffffb07a1083>] __local_bh_enable_ip+0x103/0x170 softirqs last disabled at (139898): [<ffffffffb0909b33>] rcu_cpu_kthread+0x93/0x1f0 Preemption disabled at: [<ffffffffb1de786b>] rt_mutex_slowunlock+0xab/0x2e0 CPU: 47 PID: 449 Comm: rcuc/47 Not tainted 6.9.0-rc2-rt1+ #7 Hardware name: Dell Inc. PowerEdge R650/0Y2G81, BIOS 1.6.5 04/15/2022 Call Trace: <TASK> dump_stack_lvl+0x8c/0xd0 dump_stack+0x14/0x20 __might_resched+0x21e/0x2f0 rt_spin_lock+0x5e/0x130 ? trace_drop_common.constprop.0+0xb5/0x290 ? skb_queue_purge_reason.part.0+0x1bf/0x230 trace_drop_common.constprop.0+0xb5/0x290 ? preempt_count_sub+0x1c/0xd0 ? _raw_spin_unlock_irqrestore+0x4a/0x80 ? __pfx_trace_drop_common.constprop.0+0x10/0x10 ? rt_mutex_slowunlock+0x26a/0x2e0 ? skb_queue_purge_reason.part.0+0x1bf/0x230 ? __pfx_rt_mutex_slowunlock+0x10/0x10 ? skb_queue_purge_reason.part.0+0x1bf/0x230 trace_kfree_skb_hit+0x15/0x20 trace_kfree_skb+0xe9/0x150 kfree_skb_reason+0x7b/0x110 skb_queue_purge_reason.part.0+0x1bf/0x230 ? __pfx_skb_queue_purge_reason.part.0+0x10/0x10 ? mark_lock.part.0+0x8a/0x520 ... trace_drop_common() also disables interrupts, but this is a minor issue because we could easily replace it with a local_lock. Replace the spin_lock with raw_spin_lock to avoid sleeping in atomic context. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: batman-adv: bypass empty buckets in batadv_purge_orig_ref() Many syzbot reports are pointing to soft lockups in batadv_purge_orig_ref() [1] Root cause is unknown, but we can avoid spending too much time there and perhaps get more interesting reports. [1] watchdog: BUG: soft lockup - CPU#0 stuck for 27s! [kworker/u4:6:621] Modules linked in: irq event stamp: 6182794 hardirqs last enabled at (6182793): [<ffff8000801dae10>] __local_bh_enable_ip+0x224/0x44c kernel/softirq.c:386 hardirqs last disabled at (6182794): [<ffff80008ad66a78>] __el1_irq arch/arm64/kernel/entry-common.c:533 [inline] hardirqs last disabled at (6182794): [<ffff80008ad66a78>] el1_interrupt+0x24/0x68 arch/arm64/kernel/entry-common.c:551 softirqs last enabled at (6182792): [<ffff80008aab71c4>] spin_unlock_bh include/linux/spinlock.h:396 [inline] softirqs last enabled at (6182792): [<ffff80008aab71c4>] batadv_purge_orig_ref+0x114c/0x1228 net/batman-adv/originator.c:1287 softirqs last disabled at (6182790): [<ffff80008aab61dc>] spin_lock_bh include/linux/spinlock.h:356 [inline] softirqs last disabled at (6182790): [<ffff80008aab61dc>] batadv_purge_orig_ref+0x164/0x1228 net/batman-adv/originator.c:1271 CPU: 0 PID: 621 Comm: kworker/u4:6 Not tainted 6.8.0-rc7-syzkaller-g707081b61156 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 02/29/2024 Workqueue: bat_events batadv_purge_orig pstate: 80400005 (Nzcv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : should_resched arch/arm64/include/asm/preempt.h:79 [inline] pc : __local_bh_enable_ip+0x228/0x44c kernel/softirq.c:388 lr : __local_bh_enable_ip+0x224/0x44c kernel/softirq.c:386 sp : ffff800099007970 x29: ffff800099007980 x28: 1fffe00018fce1bd x27: dfff800000000000 x26: ffff0000d2620008 x25: ffff0000c7e70de8 x24: 0000000000000001 x23: 1fffe00018e57781 x22: dfff800000000000 x21: ffff80008aab71c4 x20: ffff0001b40136c0 x19: ffff0000c72bbc08 x18: 1fffe0001a817bb0 x17: ffff800125414000 x16: ffff80008032116c x15: 0000000000000001 x14: 1fffe0001ee9d610 x13: 0000000000000000 x12: 0000000000000003 x11: 0000000000000000 x10: 0000000000ff0100 x9 : 0000000000000000 x8 : 00000000005e5789 x7 : ffff80008aab61dc x6 : 0000000000000000 x5 : 0000000000000000 x4 : 0000000000000001 x3 : 0000000000000000 x2 : 0000000000000006 x1 : 0000000000000080 x0 : ffff800125414000 Call trace: __daif_local_irq_enable arch/arm64/include/asm/irqflags.h:27 [inline] arch_local_irq_enable arch/arm64/include/asm/irqflags.h:49 [inline] __local_bh_enable_ip+0x228/0x44c kernel/softirq.c:386 __raw_spin_unlock_bh include/linux/spinlock_api_smp.h:167 [inline] _raw_spin_unlock_bh+0x3c/0x4c kernel/locking/spinlock.c:210 spin_unlock_bh include/linux/spinlock.h:396 [inline] batadv_purge_orig_ref+0x114c/0x1228 net/batman-adv/originator.c:1287 batadv_purge_orig+0x20/0x70 net/batman-adv/originator.c:1300 process_one_work+0x694/0x1204 kernel/workqueue.c:2633 process_scheduled_works kernel/workqueue.c:2706 [inline] worker_thread+0x938/0xef4 kernel/workqueue.c:2787 kthread+0x288/0x310 kernel/kthread.c:388 ret_from_fork+0x10/0x20 arch/arm64/kernel/entry.S:860 Sending NMI from CPU 0 to CPUs 1: NMI backtrace for cpu 1 CPU: 1 PID: 0 Comm: swapper/1 Not tainted 6.8.0-rc7-syzkaller-g707081b61156 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 02/29/2024 pstate: 80400005 (Nzcv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : arch_local_irq_enable+0x8/0xc arch/arm64/include/asm/irqflags.h:51 lr : default_idle_call+0xf8/0x128 kernel/sched/idle.c:103 sp : ffff800093a17d30 x29: ffff800093a17d30 x28: dfff800000000000 x27: 1ffff00012742fb4 x26: ffff80008ec9d000 x25: 0000000000000000 x24: 0000000000000002 x23: 1ffff00011d93a74 x22: ffff80008ec9d3a0 x21: 0000000000000000 x20: ffff0000c19dbc00 x19: ffff8000802d0fd8 x18: 1fffe00036804396 x17: ffff80008ec9d000 x16: ffff8000802d089c x15: 0000000000000001 ---truncated--- [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tipc: force a dst refcount before doing decryption As it says in commit 3bc07321ccc2 ("xfrm: Force a dst refcount before entering the xfrm type handlers"): "Crypto requests might return asynchronous. In this case we leave the rcu protected region, so force a refcount on the skb's destination entry before we enter the xfrm type input/output handlers." On TIPC decryption path it has the same problem, and skb_dst_force() should be called before doing decryption to avoid a possible crash. Shuang reported this issue when this warning is triggered: [] WARNING: include/net/dst.h:337 tipc_sk_rcv+0x1055/0x1ea0 [tipc] [] Kdump: loaded Tainted: G W --------- - - 4.18.0-496.el8.x86_64+debug [] Workqueue: crypto cryptd_queue_worker [] RIP: 0010:tipc_sk_rcv+0x1055/0x1ea0 [tipc] [] Call Trace: [] tipc_sk_mcast_rcv+0x548/0xea0 [tipc] [] tipc_rcv+0xcf5/0x1060 [tipc] [] tipc_aead_decrypt_done+0x215/0x2e0 [tipc] [] cryptd_aead_crypt+0xdb/0x190 [] cryptd_queue_worker+0xed/0x190 [] process_one_work+0x93d/0x17e0 [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/mlx5: Add check for srq max_sge attribute max_sge attribute is passed by the user, and is inserted and used unchecked, so verify that the value doesn't exceed maximum allowed value before using it. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: ipset: Fix suspicious rcu_dereference_protected() When destroying all sets, we are either in pernet exit phase or are executing a "destroy all sets command" from userspace. The latter was taken into account in ip_set_dereference() (nfnetlink mutex is held), but the former was not. The patch adds the required check to rcu_dereference_protected() in ip_set_dereference(). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/sched: act_api: fix possible infinite loop in tcf_idr_check_alloc() syzbot found hanging tasks waiting on rtnl_lock [1] A reproducer is available in the syzbot bug. When a request to add multiple actions with the same index is sent, the second request will block forever on the first request. This holds rtnl_lock, and causes tasks to hang. Return -EAGAIN to prevent infinite looping, while keeping documented behavior. [1] INFO: task kworker/1:0:5088 blocked for more than 143 seconds. Not tainted 6.9.0-rc4-syzkaller-00173-g3cdb45594619 #0 "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" disables this message. task:kworker/1:0 state:D stack:23744 pid:5088 tgid:5088 ppid:2 flags:0x00004000 Workqueue: events_power_efficient reg_check_chans_work Call Trace: <TASK> context_switch kernel/sched/core.c:5409 [inline] __schedule+0xf15/0x5d00 kernel/sched/core.c:6746 __schedule_loop kernel/sched/core.c:6823 [inline] schedule+0xe7/0x350 kernel/sched/core.c:6838 schedule_preempt_disabled+0x13/0x30 kernel/sched/core.c:6895 __mutex_lock_common kernel/locking/mutex.c:684 [inline] __mutex_lock+0x5b8/0x9c0 kernel/locking/mutex.c:752 wiphy_lock include/net/cfg80211.h:5953 [inline] reg_leave_invalid_chans net/wireless/reg.c:2466 [inline] reg_check_chans_work+0x10a/0x10e0 net/wireless/reg.c:2481 [NistCWE(cwe='CWE-835')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: io_uring/sqpoll: work around a potential audit memory leak kmemleak complains that there's a memory leak related to connect handling: unreferenced object 0xffff0001093bdf00 (size 128): comm "iou-sqp-455", pid 457, jiffies 4294894164 hex dump (first 32 bytes): 02 00 fa ea 7f 00 00 01 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ backtrace (crc 2e481b1a): [<00000000c0a26af4>] kmemleak_alloc+0x30/0x38 [<000000009c30bb45>] kmalloc_trace+0x228/0x358 [<000000009da9d39f>] __audit_sockaddr+0xd0/0x138 [<0000000089a93e34>] move_addr_to_kernel+0x1a0/0x1f8 [<000000000b4e80e6>] io_connect_prep+0x1ec/0x2d4 [<00000000abfbcd99>] io_submit_sqes+0x588/0x1e48 [<00000000e7c25e07>] io_sq_thread+0x8a4/0x10e4 [<00000000d999b491>] ret_from_fork+0x10/0x20 which can can happen if: 1) The command type does something on the prep side that triggers an audit call. 2) The thread hasn't done any operations before this that triggered an audit call inside ->issue(), where we have audit_uring_entry() and audit_uring_exit(). Work around this by issuing a blanket NOP operation before the SQPOLL does anything. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: crypto: hisilicon/sec - Fix memory leak for sec resource release The AIV is one of the SEC resources. When releasing resources, it need to release the AIV resources at the same time. Otherwise, memory leakage occurs. The aiv resource release is added to the sec resource release function. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tracing: Build event generation tests only as modules The kprobes and synth event generation test modules add events and lock (get a reference) those event file reference in module init function, and unlock and delete it in module exit function. This is because those are designed for playing as modules. If we make those modules as built-in, those events are left locked in the kernel, and never be removed. This causes kprobe event self-test failure as below. [ 97.349708] ------------[ cut here ]------------ [ 97.353453] WARNING: CPU: 3 PID: 1 at kernel/trace/trace_kprobe.c:2133 kprobe_trace_self_tests_init+0x3f1/0x480 [ 97.357106] Modules linked in: [ 97.358488] CPU: 3 PID: 1 Comm: swapper/0 Not tainted 6.9.0-g699646734ab5-dirty #14 [ 97.361556] Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.15.0-1 04/01/2014 [ 97.363880] RIP: 0010:kprobe_trace_self_tests_init+0x3f1/0x480 [ 97.365538] Code: a8 24 08 82 e9 ae fd ff ff 90 0f 0b 90 48 c7 c7 e5 aa 0b 82 e9 ee fc ff ff 90 0f 0b 90 48 c7 c7 2d 61 06 82 e9 8e fd ff ff 90 <0f> 0b 90 48 c7 c7 33 0b 0c 82 89 c6 e8 6e 03 1f ff 41 ff c7 e9 90 [ 97.370429] RSP: 0000:ffffc90000013b50 EFLAGS: 00010286 [ 97.371852] RAX: 00000000fffffff0 RBX: ffff888005919c00 RCX: 0000000000000000 [ 97.373829] RDX: ffff888003f40000 RSI: ffffffff8236a598 RDI: ffff888003f40a68 [ 97.375715] RBP: 0000000000000000 R08: 0000000000000001 R09: 0000000000000000 [ 97.377675] R10: ffffffff811c9ae5 R11: ffffffff8120c4e0 R12: 0000000000000000 [ 97.379591] R13: 0000000000000001 R14: 0000000000000015 R15: 0000000000000000 [ 97.381536] FS: 0000000000000000(0000) GS:ffff88807dcc0000(0000) knlGS:0000000000000000 [ 97.383813] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 97.385449] CR2: 0000000000000000 CR3: 0000000002244000 CR4: 00000000000006b0 [ 97.387347] DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 [ 97.389277] DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 [ 97.391196] Call Trace: [ 97.391967] <TASK> [ 97.392647] ? __warn+0xcc/0x180 [ 97.393640] ? kprobe_trace_self_tests_init+0x3f1/0x480 [ 97.395181] ? report_bug+0xbd/0x150 [ 97.396234] ? handle_bug+0x3e/0x60 [ 97.397311] ? exc_invalid_op+0x1a/0x50 [ 97.398434] ? asm_exc_invalid_op+0x1a/0x20 [ 97.399652] ? trace_kprobe_is_busy+0x20/0x20 [ 97.400904] ? tracing_reset_all_online_cpus+0x15/0x90 [ 97.402304] ? kprobe_trace_self_tests_init+0x3f1/0x480 [ 97.403773] ? init_kprobe_trace+0x50/0x50 [ 97.404972] do_one_initcall+0x112/0x240 [ 97.406113] do_initcall_level+0x95/0xb0 [ 97.407286] ? kernel_init+0x1a/0x1a0 [ 97.408401] do_initcalls+0x3f/0x70 [ 97.409452] kernel_init_freeable+0x16f/0x1e0 [ 97.410662] ? rest_init+0x1f0/0x1f0 [ 97.411738] kernel_init+0x1a/0x1a0 [ 97.412788] ret_from_fork+0x39/0x50 [ 97.413817] ? rest_init+0x1f0/0x1f0 [ 97.414844] ret_from_fork_asm+0x11/0x20 [ 97.416285] </TASK> [ 97.417134] irq event stamp: 13437323 [ 97.418376] hardirqs last enabled at (13437337): [<ffffffff8110bc0c>] console_unlock+0x11c/0x150 [ 97.421285] hardirqs last disabled at (13437370): [<ffffffff8110bbf1>] console_unlock+0x101/0x150 [ 97.423838] softirqs last enabled at (13437366): [<ffffffff8108e17f>] handle_softirqs+0x23f/0x2a0 [ 97.426450] softirqs last disabled at (13437393): [<ffffffff8108e346>] __irq_exit_rcu+0x66/0xd0 [ 97.428850] ---[ end trace 0000000000000000 ]--- And also, since we can not cleanup dynamic_event file, ftracetest are failed too. To avoid these issues, build these tests only as modules. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netrom: Fix a memory leak in nr_heartbeat_expiry() syzbot reported a memory leak in nr_create() [0]. Commit 409db27e3a2e ("netrom: Fix use-after-free of a listening socket.") added sock_hold() to the nr_heartbeat_expiry() function, where a) a socket has a SOCK_DESTROY flag or b) a listening socket has a SOCK_DEAD flag. But in the case "a," when the SOCK_DESTROY flag is set, the file descriptor has already been closed and the nr_release() function has been called. So it makes no sense to hold the reference count because no one will call another nr_destroy_socket() and put it as in the case "b." nr_connect nr_establish_data_link nr_start_heartbeat nr_release switch (nr->state) case NR_STATE_3 nr->state = NR_STATE_2 sock_set_flag(sk, SOCK_DESTROY); nr_rx_frame nr_process_rx_frame switch (nr->state) case NR_STATE_2 nr_state2_machine() nr_disconnect() nr_sk(sk)->state = NR_STATE_0 sock_set_flag(sk, SOCK_DEAD) nr_heartbeat_expiry switch (nr->state) case NR_STATE_0 if (sock_flag(sk, SOCK_DESTROY) || (sk->sk_state == TCP_LISTEN && sock_flag(sk, SOCK_DEAD))) sock_hold() // ( !!! ) nr_destroy_socket() To fix the memory leak, let's call sock_hold() only for a listening socket. Found by InfoTeCS on behalf of Linux Verification Center (linuxtesting.org) with Syzkaller. [0]: https://syzkaller.appspot.com/bug?extid=d327a1f3b12e1e206c16 [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tcp: avoid too many retransmit packets If a TCP socket is using TCP_USER_TIMEOUT, and the other peer retracted its window to zero, tcp_retransmit_timer() can retransmit a packet every two jiffies (2 ms for HZ=1000), for about 4 minutes after TCP_USER_TIMEOUT has 'expired'. The fix is to make sure tcp_rtx_probe0_timed_out() takes icsk->icsk_user_timeout into account. Before blamed commit, the socket would not timeout after icsk->icsk_user_timeout, but would use standard exponential backoff for the retransmits. Also worth noting that before commit e89688e3e978 ("net: tcp: fix unexcepted socket die when snd_wnd is 0"), the issue would last 2 minutes instead of 4. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L', score=3.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdkfd: don't allow mapping the MMIO HDP page with large pages We don't get the right offset in that case. The GPU has an unused 4K area of the register BAR space into which you can remap registers. We remap the HDP flush registers into this space to allow userspace (CPU or GPU) to flush the HDP when it updates VRAM. However, on systems with >4K pages, we end up exposing PAGE_SIZE of MMIO space. [NistCWE(cwe='CWE-682')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: filelock: Remove locks reliably when fcntl/close race is detected When fcntl_setlk() races with close(), it removes the created lock with do_lock_file_wait(). However, LSMs can allow the first do_lock_file_wait() that created the lock while denying the second do_lock_file_wait() that tries to remove the lock. Separately, posix_lock_file() could also fail to remove a lock due to GFP_KERNEL allocation failure (when splitting a range in the middle). After the bug has been triggered, use-after-free reads will occur in lock_get_status() when userspace reads /proc/locks. This can likely be used to read arbitrary kernel memory, but can't corrupt kernel memory. Fix it by calling locks_remove_posix() instead, which is designed to reliably get rid of POSIX locks associated with the given file and files_struct and is also used by filp_flush(). [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:H', score=6.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: filelock: Fix fcntl/close race recovery compat path When I wrote commit 3cad1bc01041 ("filelock: Remove locks reliably when fcntl/close race is detected"), I missed that there are two copies of the code I was patching: The normal version, and the version for 64-bit offsets on 32-bit kernels. Thanks to Greg KH for stumbling over this while doing the stable backport... Apply exactly the same fix to the compat path for 32-bit kernels. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: Fix signedness bug in sdma_v4_0_process_trap_irq() The "instance" variable needs to be signed for the error handling to work. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Fix userfaultfd_api to return EINVAL as expected Currently if we request a feature that is not set in the Kernel config we fail silently and return all the available features. However, the man page indicates we should return an EINVAL. We need to fix this issue since we can end up with a Kernel warning should a program request the feature UFFD_FEATURE_WP_UNPOPULATED on a kernel with the config not set with this feature. [ 200.812896] WARNING: CPU: 91 PID: 13634 at mm/memory.c:1660 zap_pte_range+0x43d/0x660 [ 200.820738] Modules linked in: [ 200.869387] CPU: 91 PID: 13634 Comm: userfaultfd Kdump: loaded Not tainted 6.9.0-rc5+ #8 [ 200.877477] Hardware name: Dell Inc. PowerEdge R6525/0N7YGH, BIOS 2.7.3 03/30/2022 [ 200.885052] RIP: 0010:zap_pte_range+0x43d/0x660 [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L', score=3.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: platform/x86: toshiba_acpi: Fix array out-of-bounds access In order to use toshiba_dmi_quirks[] together with the standard DMI matching functions, it must be terminated by a empty entry. Since this entry is missing, an array out-of-bounds access occurs every time the quirk list is processed. Fix this by adding the terminating empty entry. [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ksmbd: discard write access to the directory open may_open() does not allow a directory to be opened with the write access. However, some writing flags set by client result in adding write access on server, making ksmbd incompatible with FUSE file system. Simply, let's discard the write access when opening a directory. list_add corruption. next is NULL. ------------[ cut here ]------------ kernel BUG at lib/list_debug.c:26! pc : __list_add_valid+0x88/0xbc lr : __list_add_valid+0x88/0xbc Call trace: __list_add_valid+0x88/0xbc fuse_finish_open+0x11c/0x170 fuse_open_common+0x284/0x5e8 fuse_dir_open+0x14/0x24 do_dentry_open+0x2a4/0x4e0 dentry_open+0x50/0x80 smb2_open+0xbe4/0x15a4 handle_ksmbd_work+0x478/0x5ec process_one_work+0x1b4/0x448 worker_thread+0x25c/0x430 kthread+0x104/0x1d4 ret_from_fork+0x10/0x20 [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nilfs2: fix kernel bug on rename operation of broken directory Syzbot reported that in rename directory operation on broken directory on nilfs2, __block_write_begin_int() called to prepare block write may fail BUG_ON check for access exceeding the folio/page size. This is because nilfs_dotdot(), which gets parent directory reference entry ("..") of the directory to be moved or renamed, does not check consistency enough, and may return location exceeding folio/page size for broken directories. Fix this issue by checking required directory entries ("." and "..") in the first chunk of the directory in nilfs_dotdot(). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: ks8851: Fix deadlock with the SPI chip variant When SMP is enabled and spinlocks are actually functional then there is a deadlock with the 'statelock' spinlock between ks8851_start_xmit_spi and ks8851_irq: watchdog: BUG: soft lockup - CPU#0 stuck for 27s! call trace: queued_spin_lock_slowpath+0x100/0x284 do_raw_spin_lock+0x34/0x44 ks8851_start_xmit_spi+0x30/0xb8 ks8851_start_xmit+0x14/0x20 netdev_start_xmit+0x40/0x6c dev_hard_start_xmit+0x6c/0xbc sch_direct_xmit+0xa4/0x22c __qdisc_run+0x138/0x3fc qdisc_run+0x24/0x3c net_tx_action+0xf8/0x130 handle_softirqs+0x1ac/0x1f0 __do_softirq+0x14/0x20 ____do_softirq+0x10/0x1c call_on_irq_stack+0x3c/0x58 do_softirq_own_stack+0x1c/0x28 __irq_exit_rcu+0x54/0x9c irq_exit_rcu+0x10/0x1c el1_interrupt+0x38/0x50 el1h_64_irq_handler+0x18/0x24 el1h_64_irq+0x64/0x68 __netif_schedule+0x6c/0x80 netif_tx_wake_queue+0x38/0x48 ks8851_irq+0xb8/0x2c8 irq_thread_fn+0x2c/0x74 irq_thread+0x10c/0x1b0 kthread+0xc8/0xd8 ret_from_fork+0x10/0x20 This issue has not been identified earlier because tests were done on a device with SMP disabled and so spinlocks were actually NOPs. Now use spin_(un)lock_bh for TX queue related locking to avoid execution of softirq work synchronously that would lead to a deadlock. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: firmware: cs_dsp: Prevent buffer overrun when processing V2 alg headers Check that all fields of a V2 algorithm header fit into the available firmware data buffer. The wmfw V2 format introduced variable-length strings in the algorithm block header. This means the overall header length is variable, and the position of most fields varies depending on the length of the string fields. Each field must be checked to ensure that it does not overflow the firmware data buffer. As this ia bugfix patch, the fixes avoid making any significant change to the existing code. This makes it easier to review and less likely to introduce new bugs. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: firmware: cs_dsp: Fix overflow checking of wmfw header Fix the checking that firmware file buffer is large enough for the wmfw header, to prevent overrunning the buffer. The original code tested that the firmware data buffer contained enough bytes for the sums of the size of the structs wmfw_header + wmfw_adsp1_sizes + wmfw_footer But wmfw_adsp1_sizes is only used on ADSP1 firmware. For ADSP2 and Halo Core the equivalent struct is wmfw_adsp2_sizes, which is 4 bytes longer. So the length check didn't guarantee that there are enough bytes in the firmware buffer for a header with wmfw_adsp2_sizes. This patch splits the length check into three separate parts. Each of the wmfw_header, wmfw_adsp?_sizes and wmfw_footer are checked separately before they are used. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/sched: Fix UAF when resolving a clash KASAN reports the following UAF: BUG: KASAN: slab-use-after-free in tcf_ct_flow_table_process_conn+0x12b/0x380 [act_ct] Read of size 1 at addr ffff888c07603600 by task handler130/6469 Call Trace: <IRQ> dump_stack_lvl+0x48/0x70 print_address_description.constprop.0+0x33/0x3d0 print_report+0xc0/0x2b0 kasan_report+0xd0/0x120 __asan_load1+0x6c/0x80 tcf_ct_flow_table_process_conn+0x12b/0x380 [act_ct] tcf_ct_act+0x886/0x1350 [act_ct] tcf_action_exec+0xf8/0x1f0 fl_classify+0x355/0x360 [cls_flower] __tcf_classify+0x1fd/0x330 tcf_classify+0x21c/0x3c0 sch_handle_ingress.constprop.0+0x2c5/0x500 __netif_receive_skb_core.constprop.0+0xb25/0x1510 __netif_receive_skb_list_core+0x220/0x4c0 netif_receive_skb_list_internal+0x446/0x620 napi_complete_done+0x157/0x3d0 gro_cell_poll+0xcf/0x100 __napi_poll+0x65/0x310 net_rx_action+0x30c/0x5c0 __do_softirq+0x14f/0x491 __irq_exit_rcu+0x82/0xc0 irq_exit_rcu+0xe/0x20 common_interrupt+0xa1/0xb0 </IRQ> <TASK> asm_common_interrupt+0x27/0x40 Allocated by task 6469: kasan_save_stack+0x38/0x70 kasan_set_track+0x25/0x40 kasan_save_alloc_info+0x1e/0x40 __kasan_krealloc+0x133/0x190 krealloc+0xaa/0x130 nf_ct_ext_add+0xed/0x230 [nf_conntrack] tcf_ct_act+0x1095/0x1350 [act_ct] tcf_action_exec+0xf8/0x1f0 fl_classify+0x355/0x360 [cls_flower] __tcf_classify+0x1fd/0x330 tcf_classify+0x21c/0x3c0 sch_handle_ingress.constprop.0+0x2c5/0x500 __netif_receive_skb_core.constprop.0+0xb25/0x1510 __netif_receive_skb_list_core+0x220/0x4c0 netif_receive_skb_list_internal+0x446/0x620 napi_complete_done+0x157/0x3d0 gro_cell_poll+0xcf/0x100 __napi_poll+0x65/0x310 net_rx_action+0x30c/0x5c0 __do_softirq+0x14f/0x491 Freed by task 6469: kasan_save_stack+0x38/0x70 kasan_set_track+0x25/0x40 kasan_save_free_info+0x2b/0x60 ____kasan_slab_free+0x180/0x1f0 __kasan_slab_free+0x12/0x30 slab_free_freelist_hook+0xd2/0x1a0 __kmem_cache_free+0x1a2/0x2f0 kfree+0x78/0x120 nf_conntrack_free+0x74/0x130 [nf_conntrack] nf_ct_destroy+0xb2/0x140 [nf_conntrack] __nf_ct_resolve_clash+0x529/0x5d0 [nf_conntrack] nf_ct_resolve_clash+0xf6/0x490 [nf_conntrack] __nf_conntrack_confirm+0x2c6/0x770 [nf_conntrack] tcf_ct_act+0x12ad/0x1350 [act_ct] tcf_action_exec+0xf8/0x1f0 fl_classify+0x355/0x360 [cls_flower] __tcf_classify+0x1fd/0x330 tcf_classify+0x21c/0x3c0 sch_handle_ingress.constprop.0+0x2c5/0x500 __netif_receive_skb_core.constprop.0+0xb25/0x1510 __netif_receive_skb_list_core+0x220/0x4c0 netif_receive_skb_list_internal+0x446/0x620 napi_complete_done+0x157/0x3d0 gro_cell_poll+0xcf/0x100 __napi_poll+0x65/0x310 net_rx_action+0x30c/0x5c0 __do_softirq+0x14f/0x491 The ct may be dropped if a clash has been resolved but is still passed to the tcf_ct_flow_table_process_conn function for further usage. This issue can be fixed by retrieving ct from skb again after confirming conntrack. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: udp: Set SOCK_RCU_FREE earlier in udp_lib_get_port(). syzkaller triggered the warning [0] in udp_v4_early_demux(). In udp_v[46]_early_demux() and sk_lookup(), we do not touch the refcount of the looked-up sk and use sock_pfree() as skb->destructor, so we check SOCK_RCU_FREE to ensure that the sk is safe to access during the RCU grace period. Currently, SOCK_RCU_FREE is flagged for a bound socket after being put into the hash table. Moreover, the SOCK_RCU_FREE check is done too early in udp_v[46]_early_demux() and sk_lookup(), so there could be a small race window: CPU1 CPU2 ---- ---- udp_v4_early_demux() udp_lib_get_port() | |- hlist_add_head_rcu() |- sk = __udp4_lib_demux_lookup() | |- DEBUG_NET_WARN_ON_ONCE(sk_is_refcounted(sk)); `- sock_set_flag(sk, SOCK_RCU_FREE) We had the same bug in TCP and fixed it in commit 871019b22d1b ("net: set SOCK_RCU_FREE before inserting socket into hashtable"). Let's apply the same fix for UDP. [0]: WARNING: CPU: 0 PID: 11198 at net/ipv4/udp.c:2599 udp_v4_early_demux+0x481/0xb70 net/ipv4/udp.c:2599 Modules linked in: CPU: 0 PID: 11198 Comm: syz-executor.1 Not tainted 6.9.0-g93bda33046e7 #13 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.16.0-0-gd239552ce722-prebuilt.qemu.org 04/01/2014 RIP: 0010:udp_v4_early_demux+0x481/0xb70 net/ipv4/udp.c:2599 Code: c5 7a 15 fe bb 01 00 00 00 44 89 e9 31 ff d3 e3 81 e3 bf ef ff ff 89 de e8 2c 74 15 fe 85 db 0f 85 02 06 00 00 e8 9f 7a 15 fe <0f> 0b e8 98 7a 15 fe 49 8d 7e 60 e8 4f 39 2f fe 49 c7 46 60 20 52 RSP: 0018:ffffc9000ce3fa58 EFLAGS: 00010293 RAX: 0000000000000000 RBX: 0000000000000000 RCX: ffffffff8318c92c RDX: ffff888036ccde00 RSI: ffffffff8318c2f1 RDI: 0000000000000001 RBP: ffff88805a2dd6e0 R08: 0000000000000001 R09: 0000000000000000 R10: 0000000000000000 R11: 0001ffffffffffff R12: ffff88805a2dd680 R13: 0000000000000007 R14: ffff88800923f900 R15: ffff88805456004e FS: 00007fc449127640(0000) GS:ffff88807dc00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fc449126e38 CR3: 000000003de4b002 CR4: 0000000000770ef0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000600 PKRU: 55555554 Call Trace: <TASK> ip_rcv_finish_core.constprop.0+0xbdd/0xd20 net/ipv4/ip_input.c:349 ip_rcv_finish+0xda/0x150 net/ipv4/ip_input.c:447 NF_HOOK include/linux/netfilter.h:314 [inline] NF_HOOK include/linux/netfilter.h:308 [inline] ip_rcv+0x16c/0x180 net/ipv4/ip_input.c:569 __netif_receive_skb_one_core+0xb3/0xe0 net/core/dev.c:5624 __netif_receive_skb+0x21/0xd0 net/core/dev.c:5738 netif_receive_skb_internal net/core/dev.c:5824 [inline] netif_receive_skb+0x271/0x300 net/core/dev.c:5884 tun_rx_batched drivers/net/tun.c:1549 [inline] tun_get_user+0x24db/0x2c50 drivers/net/tun.c:2002 tun_chr_write_iter+0x107/0x1a0 drivers/net/tun.c:2048 new_sync_write fs/read_write.c:497 [inline] vfs_write+0x76f/0x8d0 fs/read_write.c:590 ksys_write+0xbf/0x190 fs/read_write.c:643 __do_sys_write fs/read_write.c:655 [inline] __se_sys_write fs/read_write.c:652 [inline] __x64_sys_write+0x41/0x50 fs/read_write.c:652 x64_sys_call+0xe66/0x1990 arch/x86/include/generated/asm/syscalls_64.h:2 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0x4b/0x110 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x4b/0x53 RIP: 0033:0x7fc44a68bc1f Code: 89 54 24 18 48 89 74 24 10 89 7c 24 08 e8 e9 cf f5 ff 48 8b 54 24 18 48 8b 74 24 10 41 89 c0 8b 7c 24 08 b8 01 00 00 00 0f 05 <48> 3d 00 f0 ff ff 77 31 44 89 c7 48 89 44 24 08 e8 3c d0 f5 ff 48 RSP: 002b:00007fc449126c90 EFLAGS: 00000293 ORIG_RAX: 0000000000000001 RAX: ffffffffffffffda RBX: 00000000004bc050 RCX: 00007fc44a68bc1f R ---truncated--- [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: nf_tables: prefer nft_chain_validate nft_chain_validate already performs loop detection because a cycle will result in a call stack overflow (ctx->level >= NFT_JUMP_STACK_SIZE). It also follows maps via ->validate callback in nft_lookup, so there appears no reason to iterate the maps again. nf_tables_check_loops() and all its helper functions can be removed. This improves ruleset load time significantly, from 23s down to 12s. This also fixes a crash bug. Old loop detection code can result in unbounded recursion: BUG: TASK stack guard page was hit at .... Oops: stack guard page: 0000 [#1] PREEMPT SMP KASAN CPU: 4 PID: 1539 Comm: nft Not tainted 6.10.0-rc5+ #1 [..] with a suitable ruleset during validation of register stores. I can't see any actual reason to attempt to check for this from nft_validate_register_store(), at this point the transaction is still in progress, so we don't have a full picture of the rule graph. For nf-next it might make sense to either remove it or make this depend on table->validate_state in case we could catch an error earlier (for improved error reporting to userspace). [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: i40e: Fix XDP program unloading while removing the driver The commit 6533e558c650 ("i40e: Fix reset path while removing the driver") introduced a new PF state "__I40E_IN_REMOVE" to block modifying the XDP program while the driver is being removed. Unfortunately, such a change is useful only if the ".ndo_bpf()" callback was called out of the rmmod context because unloading the existing XDP program is also a part of driver removing procedure. In other words, from the rmmod context the driver is expected to unload the XDP program without reporting any errors. Otherwise, the kernel warning with callstack is printed out to dmesg. Example failing scenario: 1. Load the i40e driver. 2. Load the XDP program. 3. Unload the i40e driver (using "rmmod" command). The example kernel warning log: [ +0.004646] WARNING: CPU: 94 PID: 10395 at net/core/dev.c:9290 unregister_netdevice_many_notify+0x7a9/0x870 [...] [ +0.010959] RIP: 0010:unregister_netdevice_many_notify+0x7a9/0x870 [...] [ +0.002726] Call Trace: [ +0.002457] <TASK> [ +0.002119] ? __warn+0x80/0x120 [ +0.003245] ? unregister_netdevice_many_notify+0x7a9/0x870 [ +0.005586] ? report_bug+0x164/0x190 [ +0.003678] ? handle_bug+0x3c/0x80 [ +0.003503] ? exc_invalid_op+0x17/0x70 [ +0.003846] ? asm_exc_invalid_op+0x1a/0x20 [ +0.004200] ? unregister_netdevice_many_notify+0x7a9/0x870 [ +0.005579] ? unregister_netdevice_many_notify+0x3cc/0x870 [ +0.005586] unregister_netdevice_queue+0xf7/0x140 [ +0.004806] unregister_netdev+0x1c/0x30 [ +0.003933] i40e_vsi_release+0x87/0x2f0 [i40e] [ +0.004604] i40e_remove+0x1a1/0x420 [i40e] [ +0.004220] pci_device_remove+0x3f/0xb0 [ +0.003943] device_release_driver_internal+0x19f/0x200 [ +0.005243] driver_detach+0x48/0x90 [ +0.003586] bus_remove_driver+0x6d/0xf0 [ +0.003939] pci_unregister_driver+0x2e/0xb0 [ +0.004278] i40e_exit_module+0x10/0x5f0 [i40e] [ +0.004570] __do_sys_delete_module.isra.0+0x197/0x310 [ +0.005153] do_syscall_64+0x85/0x170 [ +0.003684] ? syscall_exit_to_user_mode+0x69/0x220 [ +0.004886] ? do_syscall_64+0x95/0x170 [ +0.003851] ? exc_page_fault+0x7e/0x180 [ +0.003932] entry_SYSCALL_64_after_hwframe+0x71/0x79 [ +0.005064] RIP: 0033:0x7f59dc9347cb [ +0.003648] Code: 73 01 c3 48 8b 0d 65 16 0c 00 f7 d8 64 89 01 48 83 c8 ff c3 66 2e 0f 1f 84 00 00 00 00 00 90 f3 0f 1e fa b8 b0 00 00 00 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 8b 0d 35 16 0c 00 f7 d8 64 89 01 48 [ +0.018753] RSP: 002b:00007ffffac99048 EFLAGS: 00000206 ORIG_RAX: 00000000000000b0 [ +0.007577] RAX: ffffffffffffffda RBX: 0000559b9bb2f6e0 RCX: 00007f59dc9347cb [ +0.007140] RDX: 0000000000000000 RSI: 0000000000000800 RDI: 0000559b9bb2f748 [ +0.007146] RBP: 00007ffffac99070 R08: 1999999999999999 R09: 0000000000000000 [ +0.007133] R10: 00007f59dc9a5ac0 R11: 0000000000000206 R12: 0000000000000000 [ +0.007141] R13: 00007ffffac992d8 R14: 0000559b9bb2f6e0 R15: 0000000000000000 [ +0.007151] </TASK> [ +0.002204] ---[ end trace 0000000000000000 ]--- Fix this by checking if the XDP program is being loaded or unloaded. Then, block only loading a new program while "__I40E_IN_REMOVE" is set. Also, move testing "__I40E_IN_REMOVE" flag to the beginning of XDP_SETUP callback to avoid unnecessary operations and checks. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: skmsg: Skip zero length skb in sk_msg_recvmsg When running BPF selftests (./test_progs -t sockmap_basic) on a Loongarch platform, the following kernel panic occurs: [...] Oops[#1]: CPU: 22 PID: 2824 Comm: test_progs Tainted: G OE 6.10.0-rc2+ #18 Hardware name: LOONGSON Dabieshan/Loongson-TC542F0, BIOS Loongson-UDK2018 ... ... ra: 90000000048bf6c0 sk_msg_recvmsg+0x120/0x560 ERA: 9000000004162774 copy_page_to_iter+0x74/0x1c0 CRMD: 000000b0 (PLV0 -IE -DA +PG DACF=CC DACM=CC -WE) PRMD: 0000000c (PPLV0 +PIE +PWE) EUEN: 00000007 (+FPE +SXE +ASXE -BTE) ECFG: 00071c1d (LIE=0,2-4,10-12 VS=7) ESTAT: 00010000 [PIL] (IS= ECode=1 EsubCode=0) BADV: 0000000000000040 PRID: 0014c011 (Loongson-64bit, Loongson-3C5000) Modules linked in: bpf_testmod(OE) xt_CHECKSUM xt_MASQUERADE xt_conntrack Process test_progs (pid: 2824, threadinfo=0000000000863a31, task=...) Stack : ... Call Trace: [<9000000004162774>] copy_page_to_iter+0x74/0x1c0 [<90000000048bf6c0>] sk_msg_recvmsg+0x120/0x560 [<90000000049f2b90>] tcp_bpf_recvmsg_parser+0x170/0x4e0 [<90000000049aae34>] inet_recvmsg+0x54/0x100 [<900000000481ad5c>] sock_recvmsg+0x7c/0xe0 [<900000000481e1a8>] __sys_recvfrom+0x108/0x1c0 [<900000000481e27c>] sys_recvfrom+0x1c/0x40 [<9000000004c076ec>] do_syscall+0x8c/0xc0 [<9000000003731da4>] handle_syscall+0xc4/0x160 Code: ... ---[ end trace 0000000000000000 ]--- Kernel panic - not syncing: Fatal exception Kernel relocated by 0x3510000 .text @ 0x9000000003710000 .data @ 0x9000000004d70000 .bss @ 0x9000000006469400 ---[ end Kernel panic - not syncing: Fatal exception ]--- [...] This crash happens every time when running sockmap_skb_verdict_shutdown subtest in sockmap_basic. This crash is because a NULL pointer is passed to page_address() in the sk_msg_recvmsg(). Due to the different implementations depending on the architecture, page_address(NULL) will trigger a panic on Loongarch platform but not on x86 platform. So this bug was hidden on x86 platform for a while, but now it is exposed on Loongarch platform. The root cause is that a zero length skb (skb->len == 0) was put on the queue. This zero length skb is a TCP FIN packet, which was sent by shutdown(), invoked in test_sockmap_skb_verdict_shutdown(): shutdown(p1, SHUT_WR); In this case, in sk_psock_skb_ingress_enqueue(), num_sge is zero, and no page is put to this sge (see sg_set_page in sg_set_page), but this empty sge is queued into ingress_msg list. And in sk_msg_recvmsg(), this empty sge is used, and a NULL page is got by sg_page(sge). Pass this NULL page to copy_page_to_iter(), which passes it to kmap_local_page() and to page_address(), then kernel panics. To solve this, we should skip this zero length skb. So in sk_msg_recvmsg(), if copy is zero, that means it's a zero length skb, skip invoking copy_page_to_iter(). We are using the EFAULT return triggered by copy_page_to_iter to check for is_fin in tcp_bpf.c. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cachefiles: cyclic allocation of msg_id to avoid reuse Reusing the msg_id after a maliciously completed reopen request may cause a read request to remain unprocessed and result in a hung, as shown below: t1 | t2 | t3 ------------------------------------------------- cachefiles_ondemand_select_req cachefiles_ondemand_object_is_close(A) cachefiles_ondemand_set_object_reopening(A) queue_work(fscache_object_wq, &info->work) ondemand_object_worker cachefiles_ondemand_init_object(A) cachefiles_ondemand_send_req(OPEN) // get msg_id 6 wait_for_completion(&req_A->done) cachefiles_ondemand_daemon_read // read msg_id 6 req_A cachefiles_ondemand_get_fd copy_to_user // Malicious completion msg_id 6 copen 6,-1 cachefiles_ondemand_copen complete(&req_A->done) // will not set the object to close // because ondemand_id && fd is valid. // ondemand_object_worker() is done // but the object is still reopening. // new open req_B cachefiles_ondemand_init_object(B) cachefiles_ondemand_send_req(OPEN) // reuse msg_id 6 process_open_req copen 6,A.size // The expected failed copen was executed successfully Expect copen to fail, and when it does, it closes fd, which sets the object to close, and then close triggers reopen again. However, due to msg_id reuse resulting in a successful copen, the anonymous fd is not closed until the daemon exits. Therefore read requests waiting for reopen to complete may trigger hung task. To avoid this issue, allocate the msg_id cyclically to avoid reusing the msg_id for a very short duration of time. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cachefiles: wait for ondemand_object_worker to finish when dropping object When queuing ondemand_object_worker() to re-open the object, cachefiles_object is not pinned. The cachefiles_object may be freed when the pending read request is completed intentionally and the related erofs is umounted. If ondemand_object_worker() runs after the object is freed, it will incur use-after-free problem as shown below. process A processs B process C process D cachefiles_ondemand_send_req() // send a read req X // wait for its completion // close ondemand fd cachefiles_ondemand_fd_release() // set object as CLOSE cachefiles_ondemand_daemon_read() // set object as REOPENING queue_work(fscache_wq, &info->ondemand_work) // close /dev/cachefiles cachefiles_daemon_release cachefiles_flush_reqs complete(&req->done) // read req X is completed // umount the erofs fs cachefiles_put_object() // object will be freed cachefiles_ondemand_deinit_obj_info() kmem_cache_free(object) // both info and object are freed ondemand_object_worker() When dropping an object, it is no longer necessary to reopen the object, so use cancel_work_sync() to cancel or wait for ondemand_object_worker() to finish. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm: prevent derefencing NULL ptr in pfn_section_valid() Commit 5ec8e8ea8b77 ("mm/sparsemem: fix race in accessing memory_section->usage") changed pfn_section_valid() to add a READ_ONCE() call around "ms->usage" to fix a race with section_deactivate() where ms->usage can be cleared. The READ_ONCE() call, by itself, is not enough to prevent NULL pointer dereference. We need to check its value before dereferencing it. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: firmware: cs_dsp: Use strnlen() on name fields in V1 wmfw files Use strnlen() instead of strlen() on the algorithm and coefficient name string arrays in V1 wmfw files. In V1 wmfw files the name is a NUL-terminated string in a fixed-size array. cs_dsp should protect against overrunning the array if the NUL terminator is missing. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cachefiles: fix slab-use-after-free in cachefiles_withdraw_cookie() We got the following issue in our fault injection stress test: ================================================================== BUG: KASAN: slab-use-after-free in cachefiles_withdraw_cookie+0x4d9/0x600 Read of size 8 at addr ffff888118efc000 by task kworker/u78:0/109 CPU: 13 PID: 109 Comm: kworker/u78:0 Not tainted 6.8.0-dirty #566 Call Trace: <TASK> kasan_report+0x93/0xc0 cachefiles_withdraw_cookie+0x4d9/0x600 fscache_cookie_state_machine+0x5c8/0x1230 fscache_cookie_worker+0x91/0x1c0 process_one_work+0x7fa/0x1800 [...] Allocated by task 117: kmalloc_trace+0x1b3/0x3c0 cachefiles_acquire_volume+0xf3/0x9c0 fscache_create_volume_work+0x97/0x150 process_one_work+0x7fa/0x1800 [...] Freed by task 120301: kfree+0xf1/0x2c0 cachefiles_withdraw_cache+0x3fa/0x920 cachefiles_put_unbind_pincount+0x1f6/0x250 cachefiles_daemon_release+0x13b/0x290 __fput+0x204/0xa00 task_work_run+0x139/0x230 do_exit+0x87a/0x29b0 [...] ================================================================== Following is the process that triggers the issue: p1 | p2 ------------------------------------------------------------ fscache_begin_lookup fscache_begin_volume_access fscache_cache_is_live(fscache_cache) cachefiles_daemon_release cachefiles_put_unbind_pincount cachefiles_daemon_unbind cachefiles_withdraw_cache fscache_withdraw_cache fscache_set_cache_state(cache, FSCACHE_CACHE_IS_WITHDRAWN); cachefiles_withdraw_objects(cache) fscache_wait_for_objects(fscache) atomic_read(&fscache_cache->object_count) == 0 fscache_perform_lookup cachefiles_lookup_cookie cachefiles_alloc_object refcount_set(&object->ref, 1); object->volume = volume fscache_count_object(vcookie->cache); atomic_inc(&fscache_cache->object_count) cachefiles_withdraw_volumes cachefiles_withdraw_volume fscache_withdraw_volume __cachefiles_free_volume kfree(cachefiles_volume) fscache_cookie_state_machine cachefiles_withdraw_cookie cache = object->volume->cache; // cachefiles_volume UAF !!! After setting FSCACHE_CACHE_IS_WITHDRAWN, wait for all the cookie lookups to complete first, and then wait for fscache_cache->object_count == 0 to avoid the cookie exiting after the volume has been freed and triggering the above issue. Therefore call fscache_withdraw_volume() before calling cachefiles_withdraw_objects(). This way, after setting FSCACHE_CACHE_IS_WITHDRAWN, only the following two cases will occur: 1) fscache_begin_lookup fails in fscache_begin_volume_access(). 2) fscache_withdraw_volume() will ensure that fscache_count_object() has been executed before calling fscache_wait_for_objects(). [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cachefiles: fix slab-use-after-free in fscache_withdraw_volume() We got the following issue in our fault injection stress test: ================================================================== BUG: KASAN: slab-use-after-free in fscache_withdraw_volume+0x2e1/0x370 Read of size 4 at addr ffff88810680be08 by task ondemand-04-dae/5798 CPU: 0 PID: 5798 Comm: ondemand-04-dae Not tainted 6.8.0-dirty #565 Call Trace: kasan_check_range+0xf6/0x1b0 fscache_withdraw_volume+0x2e1/0x370 cachefiles_withdraw_volume+0x31/0x50 cachefiles_withdraw_cache+0x3ad/0x900 cachefiles_put_unbind_pincount+0x1f6/0x250 cachefiles_daemon_release+0x13b/0x290 __fput+0x204/0xa00 task_work_run+0x139/0x230 Allocated by task 5820: __kmalloc+0x1df/0x4b0 fscache_alloc_volume+0x70/0x600 __fscache_acquire_volume+0x1c/0x610 erofs_fscache_register_volume+0x96/0x1a0 erofs_fscache_register_fs+0x49a/0x690 erofs_fc_fill_super+0x6c0/0xcc0 vfs_get_super+0xa9/0x140 vfs_get_tree+0x8e/0x300 do_new_mount+0x28c/0x580 [...] Freed by task 5820: kfree+0xf1/0x2c0 fscache_put_volume.part.0+0x5cb/0x9e0 erofs_fscache_unregister_fs+0x157/0x1b0 erofs_kill_sb+0xd9/0x1c0 deactivate_locked_super+0xa3/0x100 vfs_get_super+0x105/0x140 vfs_get_tree+0x8e/0x300 do_new_mount+0x28c/0x580 [...] ================================================================== Following is the process that triggers the issue: mount failed | daemon exit ------------------------------------------------------------ deactivate_locked_super cachefiles_daemon_release erofs_kill_sb erofs_fscache_unregister_fs fscache_relinquish_volume __fscache_relinquish_volume fscache_put_volume(fscache_volume, fscache_volume_put_relinquish) zero = __refcount_dec_and_test(&fscache_volume->ref, &ref); cachefiles_put_unbind_pincount cachefiles_daemon_unbind cachefiles_withdraw_cache cachefiles_withdraw_volumes list_del_init(&volume->cache_link) fscache_free_volume(fscache_volume) cache->ops->free_volume cachefiles_free_volume list_del_init(&cachefiles_volume->cache_link); kfree(fscache_volume) cachefiles_withdraw_volume fscache_withdraw_volume fscache_volume->n_accesses // fscache_volume UAF !!! The fscache_volume in cache->volumes must not have been freed yet, but its reference count may be 0. So use the new fscache_try_get_volume() helper function try to get its reference count. If the reference count of fscache_volume is 0, fscache_put_volume() is freeing it, so wait for it to be removed from cache->volumes. If its reference count is not 0, call cachefiles_withdraw_volume() with reference count protection to avoid the above issue. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: hfsplus: fix uninit-value in copy_name [syzbot reported] BUG: KMSAN: uninit-value in sized_strscpy+0xc4/0x160 sized_strscpy+0xc4/0x160 copy_name+0x2af/0x320 fs/hfsplus/xattr.c:411 hfsplus_listxattr+0x11e9/0x1a50 fs/hfsplus/xattr.c:750 vfs_listxattr fs/xattr.c:493 [inline] listxattr+0x1f3/0x6b0 fs/xattr.c:840 path_listxattr fs/xattr.c:864 [inline] __do_sys_listxattr fs/xattr.c:876 [inline] __se_sys_listxattr fs/xattr.c:873 [inline] __x64_sys_listxattr+0x16b/0x2f0 fs/xattr.c:873 x64_sys_call+0x2ba0/0x3b50 arch/x86/include/generated/asm/syscalls_64.h:195 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcf/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Uninit was created at: slab_post_alloc_hook mm/slub.c:3877 [inline] slab_alloc_node mm/slub.c:3918 [inline] kmalloc_trace+0x57b/0xbe0 mm/slub.c:4065 kmalloc include/linux/slab.h:628 [inline] hfsplus_listxattr+0x4cc/0x1a50 fs/hfsplus/xattr.c:699 vfs_listxattr fs/xattr.c:493 [inline] listxattr+0x1f3/0x6b0 fs/xattr.c:840 path_listxattr fs/xattr.c:864 [inline] __do_sys_listxattr fs/xattr.c:876 [inline] __se_sys_listxattr fs/xattr.c:873 [inline] __x64_sys_listxattr+0x16b/0x2f0 fs/xattr.c:873 x64_sys_call+0x2ba0/0x3b50 arch/x86/include/generated/asm/syscalls_64.h:195 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcf/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f [Fix] When allocating memory to strbuf, initialize memory to 0. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/radeon: check bo_va->bo is non-NULL before using it The call to radeon_vm_clear_freed might clear bo_va->bo, so we have to check it before dereferencing it. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: powerpc/eeh: avoid possible crash when edev->pdev changes If a PCI device is removed during eeh_pe_report_edev(), edev->pdev will change and can cause a crash, hold the PCI rescan/remove lock while taking a copy of edev->pdev->bus. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ibmvnic: Add tx check to prevent skb leak Below is a summary of how the driver stores a reference to an skb during transmit: tx_buff[free_map[consumer_index]]->skb = new_skb; free_map[consumer_index] = IBMVNIC_INVALID_MAP; consumer_index ++; Where variable data looks like this: free_map == [4, IBMVNIC_INVALID_MAP, IBMVNIC_INVALID_MAP, 0, 3] consumer_index^ tx_buff == [skb=null, skb=<ptr>, skb=<ptr>, skb=null, skb=null] The driver has checks to ensure that free_map[consumer_index] pointed to a valid index but there was no check to ensure that this index pointed to an unused/null skb address. So, if, by some chance, our free_map and tx_buff lists become out of sync then we were previously risking an skb memory leak. This could then cause tcp congestion control to stop sending packets, eventually leading to ETIMEDOUT. Therefore, add a conditional to ensure that the skb address is null. If not then warn the user (because this is still a bug that should be patched) and free the old pointer to prevent memleak/tcp problems. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cachefiles: Set object to close if ondemand_id < 0 in copen If copen is maliciously called in the user mode, it may delete the request corresponding to the random id. And the request may have not been read yet. Note that when the object is set to reopen, the open request will be done with the still reopen state in above case. As a result, the request corresponding to this object is always skipped in select_req function, so the read request is never completed and blocks other process. Fix this issue by simply set object to close if its id < 0 in copen. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cachefiles: add consistency check for copen/cread This prevents malicious processes from completing random copen/cread requests and crashing the system. Added checks are listed below: * Generic, copen can only complete open requests, and cread can only complete read requests. * For copen, ondemand_id must not be 0, because this indicates that the request has not been read by the daemon. * For cread, the object corresponding to fd and req should be the same. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: NFSv4: Fix memory leak in nfs4_set_security_label We leak nfs_fattr and nfs4_label every time we set a security xattr. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nvmet: always initialize cqe.result The spec doesn't mandate that the first two double words (aka results) for the command queue entry need to be set to 0 when they are not used (not specified). Though, the target implemention returns 0 for TCP and FC but not for RDMA. Let's make RDMA behave the same and thus explicitly initializing the result field. This prevents leaking any data from the stack. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: io_uring: fix possible deadlock in io_register_iowq_max_workers() The io_register_iowq_max_workers() function calls io_put_sq_data(), which acquires the sqd->lock without releasing the uring_lock. Similar to the commit 009ad9f0c6ee ("io_uring: drop ctx->uring_lock before acquiring sqd->lock"), this can lead to a potential deadlock situation. To resolve this issue, the uring_lock is released before calling io_put_sq_data(), and then it is re-acquired after the function call. This change ensures that the locks are acquired in the correct order, preventing the possibility of a deadlock. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: can: mcp251xfd: fix infinite loop when xmit fails When the mcp251xfd_start_xmit() function fails, the driver stops processing messages, and the interrupt routine does not return, running indefinitely even after killing the running application. Error messages: [ 441.298819] mcp251xfd spi2.0 can0: ERROR in mcp251xfd_start_xmit: -16 [ 441.306498] mcp251xfd spi2.0 can0: Transmit Event FIFO buffer not empty. (seq=0x000017c7, tef_tail=0x000017cf, tef_head=0x000017d0, tx_head=0x000017d3). ... and repeat forever. The issue can be triggered when multiple devices share the same SPI interface. And there is concurrent access to the bus. The problem occurs because tx_ring->head increments even if mcp251xfd_start_xmit() fails. Consequently, the driver skips one TX package while still expecting a response in mcp251xfd_handle_tefif_one(). Resolve the issue by starting a workqueue to write the tx obj synchronously if err = -EBUSY. In case of another error, decrement tx_ring->head, remove skb from the echo stack, and drop the message. [mkl: use more imperative wording in patch description] [NistCWE(cwe='CWE-835')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/nouveau/dispnv04: fix null pointer dereference in nv17_tv_get_hd_modes In nv17_tv_get_hd_modes(), the return value of drm_mode_duplicate() is assigned to mode, which will lead to a possible NULL pointer dereference on failure of drm_mode_duplicate(). The same applies to drm_cvt_mode(). Add a check to avoid null pointer dereference. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tap: add missing verification for short frame The cited commit missed to check against the validity of the frame length in the tap_get_user_xdp() path, which could cause a corrupted skb to be sent downstack. Even before the skb is transmitted, the tap_get_user_xdp()-->skb_set_network_header() may assume the size is more than ETH_HLEN. Once transmitted, this could either cause out-of-bound access beyond the actual length, or confuse the underlayer with incorrect or inconsistent header length in the skb metadata. In the alternative path, tap_get_user() already prohibits short frame which has the length less than Ethernet header size from being transmitted. This is to drop any frame shorter than the Ethernet header size just like how tap_get_user() does. CVE: CVE-2024-41090 [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tun: add missing verification for short frame The cited commit missed to check against the validity of the frame length in the tun_xdp_one() path, which could cause a corrupted skb to be sent downstack. Even before the skb is transmitted, the tun_xdp_one-->eth_type_trans() may access the Ethernet header although it can be less than ETH_HLEN. Once transmitted, this could either cause out-of-bound access beyond the actual length, or confuse the underlayer with incorrect or inconsistent header length in the skb metadata. In the alternative path, tun_get_user() already prohibits short frame which has the length less than Ethernet header size from being transmitted for IFF_TAP. This is to drop any frame shorter than the Ethernet header size just like how tun_get_user() does. CVE: CVE-2024-41091 [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: avoid using null object of framebuffer Instead of using state->fb->obj[0] directly, get object from framebuffer by calling drm_gem_fb_get_obj() and return error code when object is null to avoid using null object of framebuffer. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/nouveau/dispnv04: fix null pointer dereference in nv17_tv_get_ld_modes In nv17_tv_get_ld_modes(), the return value of drm_mode_duplicate() is assigned to mode, which will lead to a possible NULL pointer dereference on failure of drm_mode_duplicate(). Add a check to avoid npd. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: usb: atm: cxacru: fix endpoint checking in cxacru_bind() Syzbot is still reporting quite an old issue [1] that occurs due to incomplete checking of present usb endpoints. As such, wrong endpoints types may be used at urb sumbitting stage which in turn triggers a warning in usb_submit_urb(). Fix the issue by verifying that required endpoint types are present for both in and out endpoints, taking into account cmd endpoint type. Unfortunately, this patch has not been tested on real hardware. [1] Syzbot report: usb 1-1: BOGUS urb xfer, pipe 1 != type 3 WARNING: CPU: 0 PID: 8667 at drivers/usb/core/urb.c:502 usb_submit_urb+0xed2/0x18a0 drivers/usb/core/urb.c:502 Modules linked in: CPU: 0 PID: 8667 Comm: kworker/0:4 Not tainted 5.14.0-rc4-syzkaller #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01/2011 Workqueue: usb_hub_wq hub_event RIP: 0010:usb_submit_urb+0xed2/0x18a0 drivers/usb/core/urb.c:502 ... Call Trace: cxacru_cm+0x3c0/0x8e0 drivers/usb/atm/cxacru.c:649 cxacru_card_status+0x22/0xd0 drivers/usb/atm/cxacru.c:760 cxacru_bind+0x7ac/0x11a0 drivers/usb/atm/cxacru.c:1209 usbatm_usb_probe+0x321/0x1ae0 drivers/usb/atm/usbatm.c:1055 cxacru_usb_probe+0xdf/0x1e0 drivers/usb/atm/cxacru.c:1363 usb_probe_interface+0x315/0x7f0 drivers/usb/core/driver.c:396 call_driver_probe drivers/base/dd.c:517 [inline] really_probe+0x23c/0xcd0 drivers/base/dd.c:595 __driver_probe_device+0x338/0x4d0 drivers/base/dd.c:747 driver_probe_device+0x4c/0x1a0 drivers/base/dd.c:777 __device_attach_driver+0x20b/0x2f0 drivers/base/dd.c:894 bus_for_each_drv+0x15f/0x1e0 drivers/base/bus.c:427 __device_attach+0x228/0x4a0 drivers/base/dd.c:965 bus_probe_device+0x1e4/0x290 drivers/base/bus.c:487 device_add+0xc2f/0x2180 drivers/base/core.c:3354 usb_set_configuration+0x113a/0x1910 drivers/usb/core/message.c:2170 usb_generic_driver_probe+0xba/0x100 drivers/usb/core/generic.c:238 usb_probe_device+0xd9/0x2c0 drivers/usb/core/driver.c:293 [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ata: libata-core: Fix null pointer dereference on error If the ata_port_alloc() call in ata_host_alloc() fails, ata_host_release() will get called. However, the code in ata_host_release() tries to free ata_port struct members unconditionally, which can lead to the following: BUG: unable to handle page fault for address: 0000000000003990 PGD 0 P4D 0 Oops: Oops: 0000 [#1] PREEMPT SMP NOPTI CPU: 10 PID: 594 Comm: (udev-worker) Not tainted 6.10.0-rc5 #44 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.3-2.fc40 04/01/2014 RIP: 0010:ata_host_release.cold+0x2f/0x6e [libata] Code: e4 4d 63 f4 44 89 e2 48 c7 c6 90 ad 32 c0 48 c7 c7 d0 70 33 c0 49 83 c6 0e 41 RSP: 0018:ffffc90000ebb968 EFLAGS: 00010246 RAX: 0000000000000041 RBX: ffff88810fb52e78 RCX: 0000000000000000 RDX: 0000000000000000 RSI: ffff88813b3218c0 RDI: ffff88813b3218c0 RBP: ffff88810fb52e40 R08: 0000000000000000 R09: 6c65725f74736f68 R10: ffffc90000ebb738 R11: 73692033203a746e R12: 0000000000000004 R13: 0000000000000000 R14: 0000000000000011 R15: 0000000000000006 FS: 00007f6cc55b9980(0000) GS:ffff88813b300000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000003990 CR3: 00000001122a2000 CR4: 0000000000750ef0 PKRU: 55555554 Call Trace: <TASK> ? __die_body.cold+0x19/0x27 ? page_fault_oops+0x15a/0x2f0 ? exc_page_fault+0x7e/0x180 ? asm_exc_page_fault+0x26/0x30 ? ata_host_release.cold+0x2f/0x6e [libata] ? ata_host_release.cold+0x2f/0x6e [libata] release_nodes+0x35/0xb0 devres_release_group+0x113/0x140 ata_host_alloc+0xed/0x120 [libata] ata_host_alloc_pinfo+0x14/0xa0 [libata] ahci_init_one+0x6c9/0xd20 [ahci] Do not access ata_port struct members unconditionally. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 ruby3.1 REXML is an XML toolkit for Ruby. The REXML gem before 3.3.2 has some DoS vulnerabilities when it parses an XML that has many specific characters such as whitespace character, `>]` and `]>`. The REXML gem 3.3.3 or later include the patches to fix these vulnerabilities. [NistCWE(cwe='CWE-400'), NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - При использовании ПО Ruby выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Ruby-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 ruby3.1 REXML is an XML toolkit for Ruby. The REXML gem 3.3.2 has a DoS vulnerability when it parses an XML that has many entity expansions with SAX2 or pull parser API. The REXML gem 3.3.3 or later include the patch to fix the vulnerability. [NistCWE(cwe='CWE-400'), NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - При использовании ПО Ruby выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Ruby-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Mark bpf prog stack with kmsan_unposion_memory in interpreter mode syzbot reported uninit memory usages during map_{lookup,delete}_elem. ========== BUG: KMSAN: uninit-value in __dev_map_lookup_elem kernel/bpf/devmap.c:441 [inline] BUG: KMSAN: uninit-value in dev_map_lookup_elem+0xf3/0x170 kernel/bpf/devmap.c:796 __dev_map_lookup_elem kernel/bpf/devmap.c:441 [inline] dev_map_lookup_elem+0xf3/0x170 kernel/bpf/devmap.c:796 ____bpf_map_lookup_elem kernel/bpf/helpers.c:42 [inline] bpf_map_lookup_elem+0x5c/0x80 kernel/bpf/helpers.c:38 ___bpf_prog_run+0x13fe/0xe0f0 kernel/bpf/core.c:1997 __bpf_prog_run256+0xb5/0xe0 kernel/bpf/core.c:2237 ========== The reproducer should be in the interpreter mode. The C reproducer is trying to run the following bpf prog: 0: (18) r0 = 0x0 2: (18) r1 = map[id:49] 4: (b7) r8 = 16777216 5: (7b) *(u64 *)(r10 -8) = r8 6: (bf) r2 = r10 7: (07) r2 += -229 ^^^^^^^^^^ 8: (b7) r3 = 8 9: (b7) r4 = 0 10: (85) call dev_map_lookup_elem#1543472 11: (95) exit It is due to the "void *key" (r2) passed to the helper. bpf allows uninit stack memory access for bpf prog with the right privileges. This patch uses kmsan_unpoison_memory() to mark the stack as initialized. This should address different syzbot reports on the uninit "void *key" argument during map_{lookup,delete}_elem. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Take return from set_memory_ro() into account with bpf_prog_lock_ro() set_memory_ro() can fail, leaving memory unprotected. Check its return and take it into account as an error. [NistCWE(cwe='CWE-252')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: nf_tables: fully validate NFT_DATA_VALUE on store to data registers register store validation for NFT_DATA_VALUE is conditional, however, the datatype is always either NFT_DATA_VALUE or NFT_DATA_VERDICT. This only requires a new helper function to infer the register type from the set datatype so this conditional check can be removed. Otherwise, pointer to chain object can be leaked through the registers. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mlxsw: spectrum_buffers: Fix memory corruptions on Spectrum-4 systems The following two shared buffer operations make use of the Shared Buffer Status Register (SBSR): # devlink sb occupancy snapshot pci/0000:01:00.0 # devlink sb occupancy clearmax pci/0000:01:00.0 The register has two masks of 256 bits to denote on which ingress / egress ports the register should operate on. Spectrum-4 has more than 256 ports, so the register was extended by cited commit with a new 'port_page' field. However, when filling the register's payload, the driver specifies the ports as absolute numbers and not relative to the first port of the port page, resulting in memory corruptions [1]. Fix by specifying the ports relative to the first port of the port page. [1] BUG: KASAN: slab-use-after-free in mlxsw_sp_sb_occ_snapshot+0xb6d/0xbc0 Read of size 1 at addr ffff8881068cb00f by task devlink/1566 [...] Call Trace: <TASK> dump_stack_lvl+0xc6/0x120 print_report+0xce/0x670 kasan_report+0xd7/0x110 mlxsw_sp_sb_occ_snapshot+0xb6d/0xbc0 mlxsw_devlink_sb_occ_snapshot+0x75/0xb0 devlink_nl_sb_occ_snapshot_doit+0x1f9/0x2a0 genl_family_rcv_msg_doit+0x20c/0x300 genl_rcv_msg+0x567/0x800 netlink_rcv_skb+0x170/0x450 genl_rcv+0x2d/0x40 netlink_unicast+0x547/0x830 netlink_sendmsg+0x8d4/0xdb0 __sys_sendto+0x49b/0x510 __x64_sys_sendto+0xe5/0x1c0 do_syscall_64+0xc1/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f [...] Allocated by task 1: kasan_save_stack+0x33/0x60 kasan_save_track+0x14/0x30 __kasan_kmalloc+0x8f/0xa0 copy_verifier_state+0xbc2/0xfb0 do_check_common+0x2c51/0xc7e0 bpf_check+0x5107/0x9960 bpf_prog_load+0xf0e/0x2690 __sys_bpf+0x1a61/0x49d0 __x64_sys_bpf+0x7d/0xc0 do_syscall_64+0xc1/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f Freed by task 1: kasan_save_stack+0x33/0x60 kasan_save_track+0x14/0x30 kasan_save_free_info+0x3b/0x60 poison_slab_object+0x109/0x170 __kasan_slab_free+0x14/0x30 kfree+0xca/0x2b0 free_verifier_state+0xce/0x270 do_check_common+0x4828/0xc7e0 bpf_check+0x5107/0x9960 bpf_prog_load+0xf0e/0x2690 __sys_bpf+0x1a61/0x49d0 __x64_sys_bpf+0x7d/0xc0 do_syscall_64+0xc1/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ocfs2: fix DIO failure due to insufficient transaction credits The code in ocfs2_dio_end_io_write() estimates number of necessary transaction credits using ocfs2_calc_extend_credits(). This however does not take into account that the IO could be arbitrarily large and can contain arbitrary number of extents. Extent tree manipulations do often extend the current transaction but not in all of the cases. For example if we have only single block extents in the tree, ocfs2_mark_extent_written() will end up calling ocfs2_replace_extent_rec() all the time and we will never extend the current transaction and eventually exhaust all the transaction credits if the IO contains many single block extents. Once that happens a WARN_ON(jbd2_handle_buffer_credits(handle) <= 0) is triggered in jbd2_journal_dirty_metadata() and subsequently OCFS2 aborts in response to this error. This was actually triggered by one of our customers on a heavily fragmented OCFS2 filesystem. To fix the issue make sure the transaction always has enough credits for one extent insert before each call of ocfs2_mark_extent_written(). Heming Zhao said: ------ PANIC: "Kernel panic - not syncing: OCFS2: (device dm-1): panic forced after error" PID: xxx TASK: xxxx CPU: 5 COMMAND: "SubmitThread-CA" #0 machine_kexec at ffffffff8c069932 #1 __crash_kexec at ffffffff8c1338fa #2 panic at ffffffff8c1d69b9 #3 ocfs2_handle_error at ffffffffc0c86c0c [ocfs2] #4 __ocfs2_abort at ffffffffc0c88387 [ocfs2] #5 ocfs2_journal_dirty at ffffffffc0c51e98 [ocfs2] #6 ocfs2_split_extent at ffffffffc0c27ea3 [ocfs2] #7 ocfs2_change_extent_flag at ffffffffc0c28053 [ocfs2] #8 ocfs2_mark_extent_written at ffffffffc0c28347 [ocfs2] #9 ocfs2_dio_end_io_write at ffffffffc0c2bef9 [ocfs2] #10 ocfs2_dio_end_io at ffffffffc0c2c0f5 [ocfs2] #11 dio_complete at ffffffff8c2b9fa7 #12 do_blockdev_direct_IO at ffffffff8c2bc09f #13 ocfs2_direct_IO at ffffffffc0c2b653 [ocfs2] #14 generic_file_direct_write at ffffffff8c1dcf14 #15 __generic_file_write_iter at ffffffff8c1dd07b #16 ocfs2_file_write_iter at ffffffffc0c49f1f [ocfs2] #17 aio_write at ffffffff8c2cc72e #18 kmem_cache_alloc at ffffffff8c248dde #19 do_io_submit at ffffffff8c2ccada #20 do_syscall_64 at ffffffff8c004984 #21 entry_SYSCALL_64_after_hwframe at ffffffff8c8000ba [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/restrack: Fix potential invalid address access struct rdma_restrack_entry's kern_name was set to KBUILD_MODNAME in ib_create_cq(), while if the module exited but forgot del this rdma_restrack_entry, it would cause a invalid address access in rdma_restrack_clean() when print the owner of this rdma_restrack_entry. These code is used to help find one forgotten PD release in one of the ULPs. But it is not needed anymore, so delete them. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: xdp: Remove WARN() from __xdp_reg_mem_model() syzkaller reports a warning in __xdp_reg_mem_model(). The warning occurs only if __mem_id_init_hash_table() returns an error. It returns the error in two cases: 1. memory allocation fails; 2. rhashtable_init() fails when some fields of rhashtable_params struct are not initialized properly. The second case cannot happen since there is a static const rhashtable_params struct with valid fields. So, warning is only triggered when there is a problem with memory allocation. Thus, there is no sense in using WARN() to handle this error and it can be safely removed. WARNING: CPU: 0 PID: 5065 at net/core/xdp.c:299 __xdp_reg_mem_model+0x2d9/0x650 net/core/xdp.c:299 CPU: 0 PID: 5065 Comm: syz-executor883 Not tainted 6.8.0-syzkaller-05271-gf99c5f563c17 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 03/27/2024 RIP: 0010:__xdp_reg_mem_model+0x2d9/0x650 net/core/xdp.c:299 Call Trace: xdp_reg_mem_model+0x22/0x40 net/core/xdp.c:344 xdp_test_run_setup net/bpf/test_run.c:188 [inline] bpf_test_run_xdp_live+0x365/0x1e90 net/bpf/test_run.c:377 bpf_prog_test_run_xdp+0x813/0x11b0 net/bpf/test_run.c:1267 bpf_prog_test_run+0x33a/0x3b0 kernel/bpf/syscall.c:4240 __sys_bpf+0x48d/0x810 kernel/bpf/syscall.c:5649 __do_sys_bpf kernel/bpf/syscall.c:5738 [inline] __se_sys_bpf kernel/bpf/syscall.c:5736 [inline] __x64_sys_bpf+0x7c/0x90 kernel/bpf/syscall.c:5736 do_syscall_64+0xfb/0x240 entry_SYSCALL_64_after_hwframe+0x6d/0x75 Found by Linux Verification Center (linuxtesting.org) with syzkaller. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ftruncate: pass a signed offset The old ftruncate() syscall, using the 32-bit off_t misses a sign extension when called in compat mode on 64-bit architectures. As a result, passing a negative length accidentally succeeds in truncating to file size between 2GiB and 4GiB. Changing the type of the compat syscall to the signed compat_off_t changes the behavior so it instead returns -EINVAL. The native entry point, the truncate() syscall and the corresponding loff_t based variants are all correct already and do not suffer from this mistake. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: iio: chemical: bme680: Fix overflows in compensate() functions There are cases in the compensate functions of the driver that there could be overflows of variables due to bit shifting ops. These implications were initially discussed here [1] and they were mentioned in log message of Commit 1b3bd8592780 ("iio: chemical: Add support for Bosch BME680 sensor"). [1]: https://lore.kernel.org/linux-iio/20180728114028.3c1bbe81@archlinux/ [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ASoC: fsl-asoc-card: set priv->pdev before using it priv->pdev pointer was set after being used in fsl_asoc_card_audmux_init(). Move this assignment at the start of the probe function, so sub-functions can correctly use pdev through priv. fsl_asoc_card_audmux_init() dereferences priv->pdev to get access to the dev struct, used with dev_err macros. As priv is zero-initialised, there would be a NULL pointer dereference. Note that if priv->dev is dereferenced before assignment but never used, for example if there is no error to be printed, the driver won't crash probably due to compiler optimisations. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: pinctrl: fix deadlock in create_pinctrl() when handling -EPROBE_DEFER In create_pinctrl(), pinctrl_maps_mutex is acquired before calling add_setting(). If add_setting() returns -EPROBE_DEFER, create_pinctrl() calls pinctrl_free(). However, pinctrl_free() attempts to acquire pinctrl_maps_mutex, which is already held by create_pinctrl(), leading to a potential deadlock. This patch resolves the issue by releasing pinctrl_maps_mutex before calling pinctrl_free(), preventing the deadlock. This bug was discovered and resolved using Coverity Static Analysis Security Testing (SAST) by Synopsys, Inc. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: gpio: davinci: Validate the obtained number of IRQs Value of pdata->gpio_unbanked is taken from Device Tree. In case of broken DT due to any error this value can be any. Without this value validation there can be out of chips->irqs array boundaries access in davinci_gpio_probe(). Validate the obtained nirq value so that it won't exceed the maximum number of IRQs per bank. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: serial: 8250_omap: Implementation of Errata i2310 As per Errata i2310[0], Erroneous timeout can be triggered, if this Erroneous interrupt is not cleared then it may leads to storm of interrupts, therefore apply Errata i2310 solution. [0] https://www.ti.com/lit/pdf/sprz536 page 23 [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/nouveau: fix null pointer dereference in nouveau_connector_get_modes In nouveau_connector_get_modes(), the return value of drm_mode_duplicate() is assigned to mode, which will lead to a possible NULL pointer dereference on failure of drm_mode_duplicate(). Add a check to avoid npd. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Revert "mm/writeback: fix possible divide-by-zero in wb_dirty_limits(), again" Patch series "mm: Avoid possible overflows in dirty throttling". Dirty throttling logic assumes dirty limits in page units fit into 32-bits. This patch series makes sure this is true (see patch 2/2 for more details). This patch (of 2): This reverts commit 9319b647902cbd5cc884ac08a8a6d54ce111fc78. The commit is broken in several ways. Firstly, the removed (u64) cast from the multiplication will introduce a multiplication overflow on 32-bit archs if wb_thresh * bg_thresh >= 1<<32 (which is actually common - the default settings with 4GB of RAM will trigger this). Secondly, the div64_u64() is unnecessarily expensive on 32-bit archs. We have div64_ul() in case we want to be safe & cheap. Thirdly, if dirty thresholds are larger than 1<<32 pages, then dirty balancing is going to blow up in many other spectacular ways anyway so trying to fix one possible overflow is just moot. [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: btrfs: fix adding block group to a reclaim list and the unused list during reclaim There is a potential parallel list adding for retrying in btrfs_reclaim_bgs_work and adding to the unused list. Since the block group is removed from the reclaim list and it is on a relocation work, it can be added into the unused list in parallel. When that happens, adding it to the reclaim list will corrupt the list head and trigger list corruption like below. Fix it by taking fs_info->unused_bgs_lock. [177.504][T2585409] BTRFS error (device nullb1): error relocating ch= unk 2415919104 [177.514][T2585409] list_del corruption. next->prev should be ff1100= 0344b119c0, but was ff11000377e87c70. (next=3Dff110002390cd9c0) [177.529][T2585409] ------------[ cut here ]------------ [177.537][T2585409] kernel BUG at lib/list_debug.c:65! [177.545][T2585409] Oops: invalid opcode: 0000 [#1] PREEMPT SMP KASAN NOPTI [177.555][T2585409] CPU: 9 PID: 2585409 Comm: kworker/u128:2 Tainted: G W 6.10.0-rc5-kts #1 [177.568][T2585409] Hardware name: Supermicro SYS-520P-WTR/X12SPW-TF, BIOS 1.2 02/14/2022 [177.579][T2585409] Workqueue: events_unbound btrfs_reclaim_bgs_work[btrfs] [177.589][T2585409] RIP: 0010:__list_del_entry_valid_or_report.cold+0x70/0x72 [177.624][T2585409] RSP: 0018:ff11000377e87a70 EFLAGS: 00010286 [177.633][T2585409] RAX: 000000000000006d RBX: ff11000344b119c0 RCX:0000000000000000 [177.644][T2585409] RDX: 000000000000006d RSI: 0000000000000008 RDI:ffe21c006efd0f40 [177.655][T2585409] RBP: ff110002e0509f78 R08: 0000000000000001 R09:ffe21c006efd0f08 [177.665][T2585409] R10: ff11000377e87847 R11: 0000000000000000 R12:ff110002390cd9c0 [177.676][T2585409] R13: ff11000344b119c0 R14: ff110002e0508000 R15:dffffc0000000000 [177.687][T2585409] FS: 0000000000000000(0000) GS:ff11000fec880000(0000) knlGS:0000000000000000 [177.700][T2585409] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [177.709][T2585409] CR2: 00007f06bc7b1978 CR3: 0000001021e86005 CR4:0000000000771ef0 [177.720][T2585409] DR0: 0000000000000000 DR1: 0000000000000000 DR2:0000000000000000 [177.731][T2585409] DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7:0000000000000400 [177.742][T2585409] PKRU: 55555554 [177.748][T2585409] Call Trace: [177.753][T2585409] <TASK> [177.759][T2585409] ? __die_body.cold+0x19/0x27 [177.766][T2585409] ? die+0x2e/0x50 [177.772][T2585409] ? do_trap+0x1ea/0x2d0 [177.779][T2585409] ? __list_del_entry_valid_or_report.cold+0x70/0x72 [177.788][T2585409] ? do_error_trap+0xa3/0x160 [177.795][T2585409] ? __list_del_entry_valid_or_report.cold+0x70/0x72 [177.805][T2585409] ? handle_invalid_op+0x2c/0x40 [177.812][T2585409] ? __list_del_entry_valid_or_report.cold+0x70/0x72 [177.820][T2585409] ? exc_invalid_op+0x2d/0x40 [177.827][T2585409] ? asm_exc_invalid_op+0x1a/0x20 [177.834][T2585409] ? __list_del_entry_valid_or_report.cold+0x70/0x72 [177.843][T2585409] btrfs_delete_unused_bgs+0x3d9/0x14c0 [btrfs] There is a similar retry_list code in btrfs_delete_unused_bgs(), but it is safe, AFAICS. Since the block group was in the unused list, the used bytes should be 0 when it was added to the unused list. Then, it checks block_group->{used,reserved,pinned} are still 0 under the block_group->lock. So, they should be still eligible for the unused list, not the reclaim list. The reason it is safe there it's because because we're holding space_info->groups_sem in write mode. That means no other task can allocate from the block group, so while we are at deleted_unused_bgs() it's not possible for other tasks to allocate and deallocate extents from the block group, so it can't be added to the unused list or the reclaim list by anyone else. The bug can be reproduced by btrfs/166 after a few rounds. In practice this can be hit when relocation cannot find more chunk space and ends with ENOSPC. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nilfs2: add missing check for inode numbers on directory entries Syzbot reported that mounting and unmounting a specific pattern of corrupted nilfs2 filesystem images causes a use-after-free of metadata file inodes, which triggers a kernel bug in lru_add_fn(). As Jan Kara pointed out, this is because the link count of a metadata file gets corrupted to 0, and nilfs_evict_inode(), which is called from iput(), tries to delete that inode (ifile inode in this case). The inconsistency occurs because directories containing the inode numbers of these metadata files that should not be visible in the namespace are read without checking. Fix this issue by treating the inode numbers of these internal files as errors in the sanity check helper when reading directory folios/pages. Also thanks to Hillf Danton and Matthew Wilcox for their initial mm-layer analysis. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: inet_diag: Initialize pad field in struct inet_diag_req_v2 KMSAN reported uninit-value access in raw_lookup() [1]. Diag for raw sockets uses the pad field in struct inet_diag_req_v2 for the underlying protocol. This field corresponds to the sdiag_raw_protocol field in struct inet_diag_req_raw. inet_diag_get_exact_compat() converts inet_diag_req to inet_diag_req_v2, but leaves the pad field uninitialized. So the issue occurs when raw_lookup() accesses the sdiag_raw_protocol field. Fix this by initializing the pad field in inet_diag_get_exact_compat(). Also, do the same fix in inet_diag_dump_compat() to avoid the similar issue in the future. [1] BUG: KMSAN: uninit-value in raw_lookup net/ipv4/raw_diag.c:49 [inline] BUG: KMSAN: uninit-value in raw_sock_get+0x657/0x800 net/ipv4/raw_diag.c:71 raw_lookup net/ipv4/raw_diag.c:49 [inline] raw_sock_get+0x657/0x800 net/ipv4/raw_diag.c:71 raw_diag_dump_one+0xa1/0x660 net/ipv4/raw_diag.c:99 inet_diag_cmd_exact+0x7d9/0x980 inet_diag_get_exact_compat net/ipv4/inet_diag.c:1404 [inline] inet_diag_rcv_msg_compat+0x469/0x530 net/ipv4/inet_diag.c:1426 sock_diag_rcv_msg+0x23d/0x740 net/core/sock_diag.c:282 netlink_rcv_skb+0x537/0x670 net/netlink/af_netlink.c:2564 sock_diag_rcv+0x35/0x40 net/core/sock_diag.c:297 netlink_unicast_kernel net/netlink/af_netlink.c:1335 [inline] netlink_unicast+0xe74/0x1240 net/netlink/af_netlink.c:1361 netlink_sendmsg+0x10c6/0x1260 net/netlink/af_netlink.c:1905 sock_sendmsg_nosec net/socket.c:730 [inline] __sock_sendmsg+0x332/0x3d0 net/socket.c:745 ____sys_sendmsg+0x7f0/0xb70 net/socket.c:2585 ___sys_sendmsg+0x271/0x3b0 net/socket.c:2639 __sys_sendmsg net/socket.c:2668 [inline] __do_sys_sendmsg net/socket.c:2677 [inline] __se_sys_sendmsg net/socket.c:2675 [inline] __x64_sys_sendmsg+0x27e/0x4a0 net/socket.c:2675 x64_sys_call+0x135e/0x3ce0 arch/x86/include/generated/asm/syscalls_64.h:47 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xd9/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Uninit was stored to memory at: raw_sock_get+0x650/0x800 net/ipv4/raw_diag.c:71 raw_diag_dump_one+0xa1/0x660 net/ipv4/raw_diag.c:99 inet_diag_cmd_exact+0x7d9/0x980 inet_diag_get_exact_compat net/ipv4/inet_diag.c:1404 [inline] inet_diag_rcv_msg_compat+0x469/0x530 net/ipv4/inet_diag.c:1426 sock_diag_rcv_msg+0x23d/0x740 net/core/sock_diag.c:282 netlink_rcv_skb+0x537/0x670 net/netlink/af_netlink.c:2564 sock_diag_rcv+0x35/0x40 net/core/sock_diag.c:297 netlink_unicast_kernel net/netlink/af_netlink.c:1335 [inline] netlink_unicast+0xe74/0x1240 net/netlink/af_netlink.c:1361 netlink_sendmsg+0x10c6/0x1260 net/netlink/af_netlink.c:1905 sock_sendmsg_nosec net/socket.c:730 [inline] __sock_sendmsg+0x332/0x3d0 net/socket.c:745 ____sys_sendmsg+0x7f0/0xb70 net/socket.c:2585 ___sys_sendmsg+0x271/0x3b0 net/socket.c:2639 __sys_sendmsg net/socket.c:2668 [inline] __do_sys_sendmsg net/socket.c:2677 [inline] __se_sys_sendmsg net/socket.c:2675 [inline] __x64_sys_sendmsg+0x27e/0x4a0 net/socket.c:2675 x64_sys_call+0x135e/0x3ce0 arch/x86/include/generated/asm/syscalls_64.h:47 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xd9/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Local variable req.i created at: inet_diag_get_exact_compat net/ipv4/inet_diag.c:1396 [inline] inet_diag_rcv_msg_compat+0x2a6/0x530 net/ipv4/inet_diag.c:1426 sock_diag_rcv_msg+0x23d/0x740 net/core/sock_diag.c:282 CPU: 1 PID: 8888 Comm: syz-executor.6 Not tainted 6.10.0-rc4-00217-g35bb670d65fc #32 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.3-2.fc40 04/01/2014 [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: nf_tables: unconditionally flush pending work before notifier syzbot reports: KASAN: slab-uaf in nft_ctx_update include/net/netfilter/nf_tables.h:1831 KASAN: slab-uaf in nft_commit_release net/netfilter/nf_tables_api.c:9530 KASAN: slab-uaf int nf_tables_trans_destroy_work+0x152b/0x1750 net/netfilter/nf_tables_api.c:9597 Read of size 2 at addr ffff88802b0051c4 by task kworker/1:1/45 [..] Workqueue: events nf_tables_trans_destroy_work Call Trace: nft_ctx_update include/net/netfilter/nf_tables.h:1831 [inline] nft_commit_release net/netfilter/nf_tables_api.c:9530 [inline] nf_tables_trans_destroy_work+0x152b/0x1750 net/netfilter/nf_tables_api.c:9597 Problem is that the notifier does a conditional flush, but its possible that the table-to-be-removed is still referenced by transactions being processed by the worker, so we need to flush unconditionally. We could make the flush_work depend on whether we found a table to delete in nf-next to avoid the flush for most cases. AFAICS this problem is only exposed in nf-next, with commit e169285f8c56 ("netfilter: nf_tables: do not store nft_ctx in transaction objects"), with this commit applied there is an unconditional fetch of table->family which is whats triggering the above splat. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: ntb_netdev: Move ntb_netdev_rx_handler() to call netif_rx() from __netif_rx() The following is emitted when using idxd (DSA) dmanegine as the data mover for ntb_transport that ntb_netdev uses. [74412.546922] BUG: using smp_processor_id() in preemptible [00000000] code: irq/52-idxd-por/14526 [74412.556784] caller is netif_rx_internal+0x42/0x130 [74412.562282] CPU: 6 PID: 14526 Comm: irq/52-idxd-por Not tainted 6.9.5 #5 [74412.569870] Hardware name: Intel Corporation ArcherCity/ArcherCity, BIOS EGSDCRB1.E9I.1752.P05.2402080856 02/08/2024 [74412.581699] Call Trace: [74412.584514] <TASK> [74412.586933] dump_stack_lvl+0x55/0x70 [74412.591129] check_preemption_disabled+0xc8/0xf0 [74412.596374] netif_rx_internal+0x42/0x130 [74412.600957] __netif_rx+0x20/0xd0 [74412.604743] ntb_netdev_rx_handler+0x66/0x150 [ntb_netdev] [74412.610985] ntb_complete_rxc+0xed/0x140 [ntb_transport] [74412.617010] ntb_rx_copy_callback+0x53/0x80 [ntb_transport] [74412.623332] idxd_dma_complete_txd+0xe3/0x160 [idxd] [74412.628963] idxd_wq_thread+0x1a6/0x2b0 [idxd] [74412.634046] irq_thread_fn+0x21/0x60 [74412.638134] ? irq_thread+0xa8/0x290 [74412.642218] irq_thread+0x1a0/0x290 [74412.646212] ? __pfx_irq_thread_fn+0x10/0x10 [74412.651071] ? __pfx_irq_thread_dtor+0x10/0x10 [74412.656117] ? __pfx_irq_thread+0x10/0x10 [74412.660686] kthread+0x100/0x130 [74412.664384] ? __pfx_kthread+0x10/0x10 [74412.668639] ret_from_fork+0x31/0x50 [74412.672716] ? __pfx_kthread+0x10/0x10 [74412.676978] ret_from_fork_asm+0x1a/0x30 [74412.681457] </TASK> The cause is due to the idxd driver interrupt completion handler uses threaded interrupt and the threaded handler is not hard or soft interrupt context. However __netif_rx() can only be called from interrupt context. Change the call to netif_rx() in order to allow completion via normal context for dmaengine drivers that utilize threaded irq handling. While the following commit changed from netif_rx() to __netif_rx(), baebdf48c360 ("net: dev: Makes sure netif_rx() can be invoked in any context."), the change should've been a noop instead. However, the code precedes this fix should've been using netif_rx_ni() or netif_rx_any_context(). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: cfg80211: restrict NL80211_ATTR_TXQ_QUANTUM values syzbot is able to trigger softlockups, setting NL80211_ATTR_TXQ_QUANTUM to 2^31. We had a similar issue in sch_fq, fixed with commit d9e15a273306 ("pkt_sched: fq: do not accept silly TCA_FQ_QUANTUM") watchdog: BUG: soft lockup - CPU#1 stuck for 26s! [kworker/1:0:24] Modules linked in: irq event stamp: 131135 hardirqs last enabled at (131134): [<ffff80008ae8778c>] __exit_to_kernel_mode arch/arm64/kernel/entry-common.c:85 [inline] hardirqs last enabled at (131134): [<ffff80008ae8778c>] exit_to_kernel_mode+0xdc/0x10c arch/arm64/kernel/entry-common.c:95 hardirqs last disabled at (131135): [<ffff80008ae85378>] __el1_irq arch/arm64/kernel/entry-common.c:533 [inline] hardirqs last disabled at (131135): [<ffff80008ae85378>] el1_interrupt+0x24/0x68 arch/arm64/kernel/entry-common.c:551 softirqs last enabled at (125892): [<ffff80008907e82c>] neigh_hh_init net/core/neighbour.c:1538 [inline] softirqs last enabled at (125892): [<ffff80008907e82c>] neigh_resolve_output+0x268/0x658 net/core/neighbour.c:1553 softirqs last disabled at (125896): [<ffff80008904166c>] local_bh_disable+0x10/0x34 include/linux/bottom_half.h:19 CPU: 1 PID: 24 Comm: kworker/1:0 Not tainted 6.9.0-rc7-syzkaller-gfda5695d692c #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 03/27/2024 Workqueue: mld mld_ifc_work pstate: 80400005 (Nzcv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : __list_del include/linux/list.h:195 [inline] pc : __list_del_entry include/linux/list.h:218 [inline] pc : list_move_tail include/linux/list.h:310 [inline] pc : fq_tin_dequeue include/net/fq_impl.h:112 [inline] pc : ieee80211_tx_dequeue+0x6b8/0x3b4c net/mac80211/tx.c:3854 lr : __list_del_entry include/linux/list.h:218 [inline] lr : list_move_tail include/linux/list.h:310 [inline] lr : fq_tin_dequeue include/net/fq_impl.h:112 [inline] lr : ieee80211_tx_dequeue+0x67c/0x3b4c net/mac80211/tx.c:3854 sp : ffff800093d36700 x29: ffff800093d36a60 x28: ffff800093d36960 x27: dfff800000000000 x26: ffff0000d800ad50 x25: ffff0000d800abe0 x24: ffff0000d800abf0 x23: ffff0000e0032468 x22: ffff0000e00324d4 x21: ffff0000d800abf0 x20: ffff0000d800abf8 x19: ffff0000d800abf0 x18: ffff800093d363c0 x17: 000000000000d476 x16: ffff8000805519dc x15: ffff7000127a6cc8 x14: 1ffff000127a6cc8 x13: 0000000000000004 x12: ffffffffffffffff x11: ffff7000127a6cc8 x10: 0000000000ff0100 x9 : 0000000000000000 x8 : 0000000000000000 x7 : 0000000000000000 x6 : 0000000000000000 x5 : ffff80009287aa08 x4 : 0000000000000008 x3 : ffff80008034c7fc x2 : ffff0000e0032468 x1 : 00000000da0e46b8 x0 : ffff0000e0032470 Call trace: __list_del include/linux/list.h:195 [inline] __list_del_entry include/linux/list.h:218 [inline] list_move_tail include/linux/list.h:310 [inline] fq_tin_dequeue include/net/fq_impl.h:112 [inline] ieee80211_tx_dequeue+0x6b8/0x3b4c net/mac80211/tx.c:3854 wake_tx_push_queue net/mac80211/util.c:294 [inline] ieee80211_handle_wake_tx_queue+0x118/0x274 net/mac80211/util.c:315 drv_wake_tx_queue net/mac80211/driver-ops.h:1350 [inline] schedule_and_wake_txq net/mac80211/driver-ops.h:1357 [inline] ieee80211_queue_skb+0x18e8/0x2244 net/mac80211/tx.c:1664 ieee80211_tx+0x260/0x400 net/mac80211/tx.c:1966 ieee80211_xmit+0x278/0x354 net/mac80211/tx.c:2062 __ieee80211_subif_start_xmit+0xab8/0x122c net/mac80211/tx.c:4338 ieee80211_subif_start_xmit+0xe0/0x438 net/mac80211/tx.c:4532 __netdev_start_xmit include/linux/netdevice.h:4903 [inline] netdev_start_xmit include/linux/netdevice.h:4917 [inline] xmit_one net/core/dev.c:3531 [inline] dev_hard_start_xmit+0x27c/0x938 net/core/dev.c:3547 __dev_queue_xmit+0x1678/0x33fc net/core/dev.c:4341 dev_queue_xmit include/linux/netdevice.h:3091 [inline] neigh_resolve_output+0x558/0x658 net/core/neighbour.c:1563 neigh_output include/net/neighbour.h:542 [inline] ip6_fini ---truncated--- [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm: avoid overflows in dirty throttling logic The dirty throttling logic is interspersed with assumptions that dirty limits in PAGE_SIZE units fit into 32-bit (so that various multiplications fit into 64-bits). If limits end up being larger, we will hit overflows, possible divisions by 0 etc. Fix these problems by never allowing so large dirty limits as they have dubious practical value anyway. For dirty_bytes / dirty_background_bytes interfaces we can just refuse to set so large limits. For dirty_ratio / dirty_background_ratio it isn't so simple as the dirty limit is computed from the amount of available memory which can change due to memory hotplug etc. So when converting dirty limits from ratios to numbers of pages, we just don't allow the result to exceed UINT_MAX. This is root-only triggerable problem which occurs when the operator sets dirty limits to >16 TB. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cdrom: rearrange last_media_change check to avoid unintentional overflow When running syzkaller with the newly reintroduced signed integer wrap sanitizer we encounter this splat: [ 366.015950] UBSAN: signed-integer-overflow in ../drivers/cdrom/cdrom.c:2361:33 [ 366.021089] -9223372036854775808 - 346321 cannot be represented in type '__s64' (aka 'long long') [ 366.025894] program syz-executor.4 is using a deprecated SCSI ioctl, please convert it to SG_IO [ 366.027502] CPU: 5 PID: 28472 Comm: syz-executor.7 Not tainted 6.8.0-rc2-00035-gb3ef86b5a957 #1 [ 366.027512] Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.3-debian-1.16.3-2 04/01/2014 [ 366.027518] Call Trace: [ 366.027523] <TASK> [ 366.027533] dump_stack_lvl+0x93/0xd0 [ 366.027899] handle_overflow+0x171/0x1b0 [ 366.038787] ata1.00: invalid multi_count 32 ignored [ 366.043924] cdrom_ioctl+0x2c3f/0x2d10 [ 366.063932] ? __pm_runtime_resume+0xe6/0x130 [ 366.071923] sr_block_ioctl+0x15d/0x1d0 [ 366.074624] ? __pfx_sr_block_ioctl+0x10/0x10 [ 366.077642] blkdev_ioctl+0x419/0x500 [ 366.080231] ? __pfx_blkdev_ioctl+0x10/0x10 ... Historically, the signed integer overflow sanitizer did not work in the kernel due to its interaction with `-fwrapv` but this has since been changed [1] in the newest version of Clang. It was re-enabled in the kernel with Commit 557f8c582a9ba8ab ("ubsan: Reintroduce signed overflow sanitizer"). Let's rearrange the check to not perform any arithmetic, thus not tripping the sanitizer. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mlxsw: core_linecards: Fix double memory deallocation in case of invalid INI file In case of invalid INI file mlxsw_linecard_types_init() deallocates memory but doesn't reset pointer to NULL and returns 0. In case of any error occurred after mlxsw_linecard_types_init() call, mlxsw_linecards_init() calls mlxsw_linecard_types_fini() which performs memory deallocation again. Add pointer reset to NULL. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: riscv: kexec: Avoid deadlock in kexec crash path If the kexec crash code is called in the interrupt context, the machine_kexec_mask_interrupts() function will trigger a deadlock while trying to acquire the irqdesc spinlock and then deactivate irqchip in irq_set_irqchip_state() function. Unlike arm64, riscv only requires irq_eoi handler to complete EOI and keeping irq_set_irqchip_state() will only leave this possible deadlock without any use. So we simply remove it. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5: E-switch, Create ingress ACL when needed Currently, ingress acl is used for three features. It is created only when vport metadata match and prio tag are enabled. But active-backup lag mode also uses it. It is independent of vport metadata match and prio tag. And vport metadata match can be disabled using the following devlink command: # devlink dev param set pci/0000:08:00.0 name esw_port_metadata \ value false cmode runtime If ingress acl is not created, will hit panic when creating drop rule for active-backup lag mode. If always create it, there will be about 5% performance degradation. Fix it by creating ingress acl when needed. If esw_port_metadata is true, ingress acl exists, then create drop rule using existing ingress acl. If esw_port_metadata is false, create ingress acl and then create drop rule. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: IB/core: Implement a limit on UMAD receive List The existing behavior of ib_umad, which maintains received MAD packets in an unbounded list, poses a risk of uncontrolled growth. As user-space applications extract packets from this list, the rate of extraction may not match the rate of incoming packets, leading to potential list overflow. To address this, we introduce a limit to the size of the list. After considering typical scenarios, such as OpenSM processing, which can handle approximately 100k packets per second, and the 1-second retry timeout for most packets, we set the list size limit to 200k. Packets received beyond this limit are dropped, assuming they are likely timed out by the time they are handled by user-space. Notably, packets queued on the receive list due to reasons like timed-out sends are preserved even when the list is full. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: crypto: hisilicon/debugfs - Fix debugfs uninit process issue During the zip probe process, the debugfs failure does not stop the probe. When debugfs initialization fails, jumping to the error branch will also release regs, in addition to its own rollback operation. As a result, it may be released repeatedly during the regs uninit process. Therefore, the null check needs to be added to the regs uninit process. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nvmet: fix a possible leak when destroy a ctrl during qp establishment In nvmet_sq_destroy we capture sq->ctrl early and if it is non-NULL we know that a ctrl was allocated (in the admin connect request handler) and we need to release pending AERs, clear ctrl->sqs and sq->ctrl (for nvme-loop primarily), and drop the final reference on the ctrl. However, a small window is possible where nvmet_sq_destroy starts (as a result of the client giving up and disconnecting) concurrently with the nvme admin connect cmd (which may be in an early stage). But *before* kill_and_confirm of sq->ref (i.e. the admin connect managed to get an sq live reference). In this case, sq->ctrl was allocated however after it was captured in a local variable in nvmet_sq_destroy. This prevented the final reference drop on the ctrl. Solve this by re-capturing the sq->ctrl after all inflight request has completed, where for sure sq->ctrl reference is final, and move forward based on that. This issue was observed in an environment with many hosts connecting multiple ctrls simoutanuosly, creating a delay in allocating a ctrl leading up to this race window. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: i2c: pnx: Fix potential deadlock warning from del_timer_sync() call in isr When del_timer_sync() is called in an interrupt context it throws a warning because of potential deadlock. The timer is used only to exit from wait_for_completion() after a timeout so replacing the call with wait_for_completion_timeout() allows to remove the problematic timer and its related functions altogether. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: Using uninitialized value *size when calling amdgpu_vce_cs_reloc Initialize the size before calling amdgpu_vce_cs_reloc, such as case 0x03000001. V2: To really improve the handling we would actually need to have a separate value of 0xffffffff.(Christian) [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: crypto: aead,cipher - zeroize key buffer after use I.G 9.7.B for FIPS 140-3 specifies that variables temporarily holding cryptographic information should be zeroized once they are no longer needed. Accomplish this by using kfree_sensitive for buffers that previously held the private key. [] None NistCVSS3(cvss='AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N', score=4.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: powerpc/pseries: Fix scv instruction crash with kexec kexec on pseries disables AIL (reloc_on_exc), required for scv instruction support, before other CPUs have been shut down. This means they can execute scv instructions after AIL is disabled, which causes an interrupt at an unexpected entry location that crashes the kernel. Change the kexec sequence to disable AIL after other CPUs have been brought down. As a refresher, the real-mode scv interrupt vector is 0x17000, and the fixed-location head code probably couldn't easily deal with implementing such high addresses so it was just decided not to support that interrupt at all. [] None NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: libceph: fix race between delayed_work() and ceph_monc_stop() The way the delayed work is handled in ceph_monc_stop() is prone to races with mon_fault() and possibly also finish_hunting(). Both of these can requeue the delayed work which wouldn't be canceled by any of the following code in case that happens after cancel_delayed_work_sync() runs -- __close_session() doesn't mess with the delayed work in order to avoid interfering with the hunting interval logic. This part was missed in commit b5d91704f53e ("libceph: behave in mon_fault() if cur_mon < 0") and use-after-free can still ensue on monc and objects that hang off of it, with monc->auth and monc->monmap being particularly susceptible to quickly being reused. To fix this: - clear monc->cur_mon and monc->hunting as part of closing the session in ceph_monc_stop() - bail from delayed_work() if monc->cur_mon is cleared, similar to how it's done in mon_fault() and finish_hunting() (based on monc->hunting) - call cancel_delayed_work_sync() after the session is closed [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: usb: gadget: configfs: Prevent OOB read/write in usb_string_copy() Userspace provided string 's' could trivially have the length zero. Left unchecked this will firstly result in an OOB read in the form `if (str[0 - 1] == '\n') followed closely by an OOB write in the form `str[0 - 1] = '\0'`. There is already a validating check to catch strings that are too long. Let's supply an additional check for invalid strings that are too short. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: firmware: cs_dsp: Validate payload length before processing block Move the payload length check in cs_dsp_load() and cs_dsp_coeff_load() to be done before the block is processed. The check that the length of a block payload does not exceed the number of remaining bytes in the firwmware file buffer was being done near the end of the loop iteration. However, some code before that check used the length field without validating it. [NistCWE(cwe='CWE-834')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: firmware: cs_dsp: Return error if block header overflows file Return an error from cs_dsp_power_up() if a block header is longer than the amount of data left in the file. The previous code in cs_dsp_load() and cs_dsp_load_coeff() would loop while there was enough data left in the file for a valid region. This protected against overrunning the end of the file data, but it didn't abort the file processing with an error. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: x86/bhi: Avoid warning in #DB handler due to BHI mitigation When BHI mitigation is enabled, if SYSENTER is invoked with the TF flag set then entry_SYSENTER_compat() uses CLEAR_BRANCH_HISTORY and calls the clear_bhb_loop() before the TF flag is cleared. This causes the #DB handler (exc_debug_kernel()) to issue a warning because single-step is used outside the entry_SYSENTER_compat() function. To address this issue, entry_SYSENTER_compat() should use CLEAR_BRANCH_HISTORY after making sure the TF flag is cleared. The problem can be reproduced with the following sequence: $ cat sysenter_step.c int main() { asm("pushf; pop %ax; bts $8,%ax; push %ax; popf; sysenter"); } $ gcc -o sysenter_step sysenter_step.c $ ./sysenter_step Segmentation fault (core dumped) The program is expected to crash, and the #DB handler will issue a warning. Kernel log: WARNING: CPU: 27 PID: 7000 at arch/x86/kernel/traps.c:1009 exc_debug_kernel+0xd2/0x160 ... RIP: 0010:exc_debug_kernel+0xd2/0x160 ... Call Trace: <#DB> ? show_regs+0x68/0x80 ? __warn+0x8c/0x140 ? exc_debug_kernel+0xd2/0x160 ? report_bug+0x175/0x1a0 ? handle_bug+0x44/0x90 ? exc_invalid_op+0x1c/0x70 ? asm_exc_invalid_op+0x1f/0x30 ? exc_debug_kernel+0xd2/0x160 exc_debug+0x43/0x50 asm_exc_debug+0x1e/0x40 RIP: 0010:clear_bhb_loop+0x0/0xb0 ... </#DB> <TASK> ? entry_SYSENTER_compat_after_hwframe+0x6e/0x8d </TASK> [ bp: Massage commit message. ] [NistCWE(cwe='CWE-835')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: USB: serial: mos7840: fix crash on resume Since commit c49cfa917025 ("USB: serial: use generic method if no alternative is provided in usb serial layer"), USB serial core calls the generic resume implementation when the driver has not provided one. This can trigger a crash on resume with mos7840 since support for multiple read URBs was added back in 2011. Specifically, both port read URBs are now submitted on resume for open ports, but the context pointer of the second URB is left set to the core rather than mos7840 port structure. Fix this by implementing dedicated suspend and resume functions for mos7840. Tested with Delock 87414 USB 2.0 to 4x serial adapter. [ johan: analyse crash and rewrite commit message; set busy flag on resume; drop bulk-in check; drop unnecessary usb_kill_urb() ] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Revert "sched/fair: Make sure to try to detach at least one movable task" This reverts commit b0defa7ae03ecf91b8bfd10ede430cff12fcbd06. b0defa7ae03ec changed the load balancing logic to ignore env.max_loop if all tasks examined to that point were pinned. The goal of the patch was to make it more likely to be able to detach a task buried in a long list of pinned tasks. However, this has the unfortunate side effect of creating an O(n) iteration in detach_tasks(), as we now must fully iterate every task on a cpu if all or most are pinned. Since this load balance code is done with rq lock held, and often in softirq context, it is very easy to trigger hard lockups. We observed such hard lockups with a user who affined O(10k) threads to a single cpu. When I discussed this with Vincent he initially suggested that we keep the limit on the number of tasks to detach, but increase the number of tasks we can search. However, after some back and forth on the mailing list, he recommended we instead revert the original patch, as it seems likely no one was actually getting hit by the original issue. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net, sunrpc: Remap EPERM in case of connection failure in xs_tcp_setup_socket When using a BPF program on kernel_connect(), the call can return -EPERM. This causes xs_tcp_setup_socket() to loop forever, filling up the syslog and causing the kernel to potentially freeze up. Neil suggested: This will propagate -EPERM up into other layers which might not be ready to handle it. It might be safer to map EPERM to an error we would be more likely to expect from the network system - such as ECONNREFUSED or ENETDOWN. ECONNREFUSED as error seems reasonable. For programs setting a different error can be out of reach (see handling in 4fbac77d2d09) in particular on kernels which do not have f10d05966196 ("bpf: Make BPF_PROG_RUN_ARRAY return -err instead of allow boolean"), thus given that it is better to simply remap for consistent behavior. UDP does handle EPERM in xs_udp_send_request(). [NistCWE(cwe='CWE-835')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wireguard: allowedips: avoid unaligned 64-bit memory accesses On the parisc platform, the kernel issues kernel warnings because swap_endian() tries to load a 128-bit IPv6 address from an unaligned memory location: Kernel: unaligned access to 0x55f4688c in wg_allowedips_insert_v6+0x2c/0x80 [wireguard] (iir 0xf3010df) Kernel: unaligned access to 0x55f46884 in wg_allowedips_insert_v6+0x38/0x80 [wireguard] (iir 0xf2010dc) Avoid such unaligned memory accesses by instead using the get_unaligned_be64() helper macro. [Jason: replace src[8] in original patch with src+8] [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: closures: Change BUG_ON() to WARN_ON() If a BUG_ON() can be hit in the wild, it shouldn't be a BUG_ON() For reference, this has popped up once in the CI, and we'll need more info to debug it: 03240 ------------[ cut here ]------------ 03240 kernel BUG at lib/closure.c:21! 03240 kernel BUG at lib/closure.c:21! 03240 Internal error: Oops - BUG: 00000000f2000800 [#1] SMP 03240 Modules linked in: 03240 CPU: 15 PID: 40534 Comm: kworker/u80:1 Not tainted 6.10.0-rc4-ktest-ga56da69799bd #25570 03240 Hardware name: linux,dummy-virt (DT) 03240 Workqueue: btree_update btree_interior_update_work 03240 pstate: 00001005 (nzcv daif -PAN -UAO -TCO -DIT +SSBS BTYPE=--) 03240 pc : closure_put+0x224/0x2a0 03240 lr : closure_put+0x24/0x2a0 03240 sp : ffff0000d12071c0 03240 x29: ffff0000d12071c0 x28: dfff800000000000 x27: ffff0000d1207360 03240 x26: 0000000000000040 x25: 0000000000000040 x24: 0000000000000040 03240 x23: ffff0000c1f20180 x22: 0000000000000000 x21: ffff0000c1f20168 03240 x20: 0000000040000000 x19: ffff0000c1f20140 x18: 0000000000000001 03240 x17: 0000000000003aa0 x16: 0000000000003ad0 x15: 1fffe0001c326974 03240 x14: 0000000000000a1e x13: 0000000000000000 x12: 1fffe000183e402d 03240 x11: ffff6000183e402d x10: dfff800000000000 x9 : ffff6000183e402e 03240 x8 : 0000000000000001 x7 : 00009fffe7c1bfd3 x6 : ffff0000c1f2016b 03240 x5 : ffff0000c1f20168 x4 : ffff6000183e402e x3 : ffff800081391954 03240 x2 : 0000000000000001 x1 : 0000000000000000 x0 : 00000000a8000000 03240 Call trace: 03240 closure_put+0x224/0x2a0 03240 bch2_check_for_deadlock+0x910/0x1028 03240 bch2_six_check_for_deadlock+0x1c/0x30 03240 six_lock_slowpath.isra.0+0x29c/0xed0 03240 six_lock_ip_waiter+0xa8/0xf8 03240 __bch2_btree_node_lock_write+0x14c/0x298 03240 bch2_trans_lock_write+0x6d4/0xb10 03240 __bch2_trans_commit+0x135c/0x5520 03240 btree_interior_update_work+0x1248/0x1c10 03240 process_scheduled_works+0x53c/0xd90 03240 worker_thread+0x370/0x8c8 03240 kthread+0x258/0x2e8 03240 ret_from_fork+0x10/0x20 03240 Code: aa1303e0 d63f0020 a94363f7 17ffff8c (d4210000) 03240 ---[ end trace 0000000000000000 ]--- 03240 Kernel panic - not syncing: Oops - BUG: Fatal exception 03240 SMP: stopping secondary CPUs 03241 SMP: failed to stop secondary CPUs 13,15 03241 Kernel Offset: disabled 03241 CPU features: 0x00,00000003,80000008,4240500b 03241 Memory Limit: none 03241 ---[ end Kernel panic - not syncing: Oops - BUG: Fatal exception ]--- 03246 ========= FAILED TIMEOUT copygc_torture_no_checksum in 7200s [NistCWE(cwe='CWE-617')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm: huge_memory: use !CONFIG_64BIT to relax huge page alignment on 32 bit machines Yves-Alexis Perez reported commit 4ef9ad19e176 ("mm: huge_memory: don't force huge page alignment on 32 bit") didn't work for x86_32 [1]. It is because x86_32 uses CONFIG_X86_32 instead of CONFIG_32BIT. !CONFIG_64BIT should cover all 32 bit machines. [1] https://lore.kernel.org/linux-mm/CAHbLzkr1LwH3pcTgM+aGQ31ip2bKqiqEQ8=FQB+t2c3dhNKNHA@mail.gmail.com/ [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/i915/gem: Fix Virtual Memory mapping boundaries calculation Calculating the size of the mapped area as the lesser value between the requested size and the actual size does not consider the partial mapping offset. This can cause page fault access. Fix the calculation of the starting and ending addresses, the total size is now deduced from the difference between the end and start addresses. Additionally, the calculations have been rewritten in a clearer and more understandable form. [Joonas: Add Requires: tag] Requires: 60a2066c5005 ("drm/i915/gem: Adjust vma offset for framebuffer mmap offset") (cherry picked from commit 97b6784753da06d9d40232328efc5c5367e53417) [NistCWE(cwe='CWE-131')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: riscv/mm: Add handling for VM_FAULT_SIGSEGV in mm_fault_error() Handle VM_FAULT_SIGSEGV in the page fault path so that we correctly kill the process and we don't BUG() the kernel. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5: Fix missing lock on sync reset reload On sync reset reload work, when remote host updates devlink on reload actions performed on that host, it misses taking devlink lock before calling devlink_remote_reload_actions_performed() which results in triggering lock assert like the following: WARNING: CPU: 4 PID: 1164 at net/devlink/core.c:261 devl_assert_locked+0x3e/0x50 … CPU: 4 PID: 1164 Comm: kworker/u96:6 Tainted: G S W 6.10.0-rc2+ #116 Hardware name: Supermicro SYS-2028TP-DECTR/X10DRT-PT, BIOS 2.0 12/18/2015 Workqueue: mlx5_fw_reset_events mlx5_sync_reset_reload_work [mlx5_core] RIP: 0010:devl_assert_locked+0x3e/0x50 … Call Trace: <TASK> ? __warn+0xa4/0x210 ? devl_assert_locked+0x3e/0x50 ? report_bug+0x160/0x280 ? handle_bug+0x3f/0x80 ? exc_invalid_op+0x17/0x40 ? asm_exc_invalid_op+0x1a/0x20 ? devl_assert_locked+0x3e/0x50 devlink_notify+0x88/0x2b0 ? mlx5_attach_device+0x20c/0x230 [mlx5_core] ? __pfx_devlink_notify+0x10/0x10 ? process_one_work+0x4b6/0xbb0 process_one_work+0x4b6/0xbb0 […] [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: iptables: Fix potential null-ptr-deref in ip6table_nat_table_init(). ip6table_nat_table_init() accesses net->gen->ptr[ip6table_nat_net_ops.id], but the function is exposed to user space before the entry is allocated via register_pernet_subsys(). Let's call register_pernet_subsys() before xt_register_template(). [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: f2fs: assign CURSEG_ALL_DATA_ATGC if blkaddr is valid mkdir /mnt/test/comp f2fs_io setflags compression /mnt/test/comp dd if=/dev/zero of=/mnt/test/comp/testfile bs=16k count=1 truncate --size 13 /mnt/test/comp/testfile In the above scenario, we can get a BUG_ON. kernel BUG at fs/f2fs/segment.c:3589! Call Trace: do_write_page+0x78/0x390 [f2fs] f2fs_outplace_write_data+0x62/0xb0 [f2fs] f2fs_do_write_data_page+0x275/0x740 [f2fs] f2fs_write_single_data_page+0x1dc/0x8f0 [f2fs] f2fs_write_multi_pages+0x1e5/0xae0 [f2fs] f2fs_write_cache_pages+0xab1/0xc60 [f2fs] f2fs_write_data_pages+0x2d8/0x330 [f2fs] do_writepages+0xcf/0x270 __writeback_single_inode+0x44/0x350 writeback_sb_inodes+0x242/0x530 __writeback_inodes_wb+0x54/0xf0 wb_writeback+0x192/0x310 wb_workfn+0x30d/0x400 The reason is we gave CURSEG_ALL_DATA_ATGC to COMPR_ADDR where the page was set the gcing flag by set_cluster_dirty(). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Revert "ALSA: firewire-lib: operate for period elapse event in process context" Commit 7ba5ca32fe6e ("ALSA: firewire-lib: operate for period elapse event in process context") removed the process context workqueue from amdtp_domain_stream_pcm_pointer() and update_pcm_pointers() to remove its overhead. With RME Fireface 800, this lead to a regression since Kernels 5.14.0, causing an AB/BA deadlock competition for the substream lock with eventual system freeze under ALSA operation: thread 0: * (lock A) acquire substream lock by snd_pcm_stream_lock_irq() in snd_pcm_status64() * (lock B) wait for tasklet to finish by calling tasklet_unlock_spin_wait() in tasklet_disable_in_atomic() in ohci_flush_iso_completions() of ohci.c thread 1: * (lock B) enter tasklet * (lock A) attempt to acquire substream lock, waiting for it to be released: snd_pcm_stream_lock_irqsave() in snd_pcm_period_elapsed() in update_pcm_pointers() in process_ctx_payloads() in process_rx_packets() of amdtp-stream.c ? tasklet_unlock_spin_wait </NMI> <TASK> ohci_flush_iso_completions firewire_ohci amdtp_domain_stream_pcm_pointer snd_firewire_lib snd_pcm_update_hw_ptr0 snd_pcm snd_pcm_status64 snd_pcm ? native_queued_spin_lock_slowpath </NMI> <IRQ> _raw_spin_lock_irqsave snd_pcm_period_elapsed snd_pcm process_rx_packets snd_firewire_lib irq_target_callback snd_firewire_lib handle_it_packet firewire_ohci context_tasklet firewire_ohci Restore the process context work queue to prevent deadlock AB/BA deadlock competition for ALSA substream lock of snd_pcm_stream_lock_irq() in snd_pcm_status64() and snd_pcm_stream_lock_irqsave() in snd_pcm_period_elapsed(). revert commit 7ba5ca32fe6e ("ALSA: firewire-lib: operate for period elapse event in process context") Replace inline description to prevent future deadlock. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nvme-pci: add missing condition check for existence of mapped data nvme_map_data() is called when request has physical segments, hence the nvme_unmap_data() should have same condition to avoid dereference. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: iommu: sprd: Avoid NULL deref in sprd_iommu_hw_en In sprd_iommu_cleanup() before calling function sprd_iommu_hw_en() dom->sdev is equal to NULL, which leads to null dereference. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mISDN: Fix a use after free in hfcmulti_tx() Don't dereference *sp after calling dev_kfree_skb(*sp). [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: nexthop: Initialize all fields in dumped nexthops struct nexthop_grp contains two reserved fields that are not initialized by nla_put_nh_group(), and carry garbage. This can be observed e.g. with strace (edited for clarity): # ip nexthop add id 1 dev lo # ip nexthop add id 101 group 1 # strace -e recvmsg ip nexthop get id 101 ... recvmsg(... [{nla_len=12, nla_type=NHA_GROUP}, [{id=1, weight=0, resvd1=0x69, resvd2=0x67}]] ...) = 52 The fields are reserved and therefore not currently used. But as they are, they leak kernel memory, and the fact they are not just zero complicates repurposing of the fields for new ends. Initialize the full structure. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: qla2xxx: validate nvme_local_port correctly The driver load failed with error message, qla2xxx [0000:04:00.0]-ffff:0: register_localport failed: ret=ffffffef and with a kernel crash, BUG: unable to handle kernel NULL pointer dereference at 0000000000000070 Workqueue: events_unbound qla_register_fcport_fn [qla2xxx] RIP: 0010:nvme_fc_register_remoteport+0x16/0x430 [nvme_fc] RSP: 0018:ffffaaa040eb3d98 EFLAGS: 00010282 RAX: 0000000000000000 RBX: ffff9dfb46b78c00 RCX: 0000000000000000 RDX: ffff9dfb46b78da8 RSI: ffffaaa040eb3e08 RDI: 0000000000000000 RBP: ffff9dfb612a0a58 R08: ffffffffaf1d6270 R09: 3a34303a30303030 R10: 34303a303030305b R11: 2078787832616c71 R12: ffff9dfb46b78dd4 R13: ffff9dfb46b78c24 R14: ffff9dfb41525300 R15: ffff9dfb46b78da8 FS: 0000000000000000(0000) GS:ffff9dfc67c00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000000070 CR3: 000000018da10004 CR4: 00000000000206f0 Call Trace: qla_nvme_register_remote+0xeb/0x1f0 [qla2xxx] ? qla2x00_dfs_create_rport+0x231/0x270 [qla2xxx] qla2x00_update_fcport+0x2a1/0x3c0 [qla2xxx] qla_register_fcport_fn+0x54/0xc0 [qla2xxx] Exit the qla_nvme_register_remote() function when qla_nvme_register_hba() fails and correctly validate nvme_local_port. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: qla2xxx: Complete command early within lock A crash was observed while performing NPIV and FW reset, BUG: kernel NULL pointer dereference, address: 000000000000001c #PF: supervisor read access in kernel mode #PF: error_code(0x0000) - not-present page PGD 0 P4D 0 Oops: 0000 1 PREEMPT_RT SMP NOPTI RIP: 0010:dma_direct_unmap_sg+0x51/0x1e0 RSP: 0018:ffffc90026f47b88 EFLAGS: 00010246 RAX: 0000000000000000 RBX: 0000000000000021 RCX: 0000000000000002 RDX: 0000000000000021 RSI: 0000000000000000 RDI: ffff8881041130d0 RBP: ffff8881041130d0 R08: 0000000000000000 R09: 0000000000000034 R10: ffffc90026f47c48 R11: 0000000000000031 R12: 0000000000000000 R13: 0000000000000000 R14: ffff8881565e4a20 R15: 0000000000000000 FS: 00007f4c69ed3d00(0000) GS:ffff889faac80000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000000000000001c CR3: 0000000288a50002 CR4: 00000000007706e0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 PKRU: 55555554 Call Trace: <TASK> ? __die_body+0x1a/0x60 ? page_fault_oops+0x16f/0x4a0 ? do_user_addr_fault+0x174/0x7f0 ? exc_page_fault+0x69/0x1a0 ? asm_exc_page_fault+0x22/0x30 ? dma_direct_unmap_sg+0x51/0x1e0 ? preempt_count_sub+0x96/0xe0 qla2xxx_qpair_sp_free_dma+0x29f/0x3b0 [qla2xxx] qla2xxx_qpair_sp_compl+0x60/0x80 [qla2xxx] __qla2x00_abort_all_cmds+0xa2/0x450 [qla2xxx] The command completion was done early while aborting the commands in driver unload path but outside lock to avoid the WARN_ON condition of performing dma_free_attr within the lock. However this caused race condition while command completion via multiple paths causing system crash. Hence complete the command early in unload path but within the lock to avoid race condition. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: qla2xxx: Fix for possible memory corruption Init Control Block is dereferenced incorrectly. Correctly dereference ICB [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: qla2xxx: During vport delete send async logout explicitly During vport delete, it is observed that during unload we hit a crash because of stale entries in outstanding command array. For all these stale I/O entries, eh_abort was issued and aborted (fast_fail_io = 2009h) but I/Os could not complete while vport delete is in process of deleting. BUG: kernel NULL pointer dereference, address: 000000000000001c #PF: supervisor read access in kernel mode #PF: error_code(0x0000) - not-present page PGD 0 P4D 0 Oops: 0000 [#1] PREEMPT SMP NOPTI Workqueue: qla2xxx_wq qla_do_work [qla2xxx] RIP: 0010:dma_direct_unmap_sg+0x51/0x1e0 RSP: 0018:ffffa1e1e150fc68 EFLAGS: 00010046 RAX: 0000000000000000 RBX: 0000000000000021 RCX: 0000000000000001 RDX: 0000000000000021 RSI: 0000000000000000 RDI: ffff8ce208a7a0d0 RBP: ffff8ce208a7a0d0 R08: 0000000000000000 R09: ffff8ce378aac9c8 R10: ffff8ce378aac8a0 R11: ffffa1e1e150f9d8 R12: 0000000000000000 R13: 0000000000000000 R14: ffff8ce378aac9c8 R15: 0000000000000000 FS: 0000000000000000(0000) GS:ffff8d217f000000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000000000000001c CR3: 0000002089acc000 CR4: 0000000000350ee0 Call Trace: <TASK> qla2xxx_qpair_sp_free_dma+0x417/0x4e0 ? qla2xxx_qpair_sp_compl+0x10d/0x1a0 ? qla2x00_status_entry+0x768/0x2830 ? newidle_balance+0x2f0/0x430 ? dequeue_entity+0x100/0x3c0 ? qla24xx_process_response_queue+0x6a1/0x19e0 ? __schedule+0x2d5/0x1140 ? qla_do_work+0x47/0x60 ? process_one_work+0x267/0x440 ? process_one_work+0x440/0x440 ? worker_thread+0x2d/0x3d0 ? process_one_work+0x440/0x440 ? kthread+0x156/0x180 ? set_kthread_struct+0x50/0x50 ? ret_from_fork+0x22/0x30 </TASK> Send out async logout explicitly for all the ports during vport delete. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: irqchip/imx-irqsteer: Handle runtime power management correctly The power domain is automatically activated from clk_prepare(). However, on certain platforms like i.MX8QM and i.MX8QXP, the power-on handling invokes sleeping functions, which triggers the 'scheduling while atomic' bug in the context switch path during device probing: BUG: scheduling while atomic: kworker/u13:1/48/0x00000002 Call trace: __schedule_bug+0x54/0x6c __schedule+0x7f0/0xa94 schedule+0x5c/0xc4 schedule_preempt_disabled+0x24/0x40 __mutex_lock.constprop.0+0x2c0/0x540 __mutex_lock_slowpath+0x14/0x20 mutex_lock+0x48/0x54 clk_prepare_lock+0x44/0xa0 clk_prepare+0x20/0x44 imx_irqsteer_resume+0x28/0xe0 pm_generic_runtime_resume+0x2c/0x44 __genpd_runtime_resume+0x30/0x80 genpd_runtime_resume+0xc8/0x2c0 __rpm_callback+0x48/0x1d8 rpm_callback+0x6c/0x78 rpm_resume+0x490/0x6b4 __pm_runtime_resume+0x50/0x94 irq_chip_pm_get+0x2c/0xa0 __irq_do_set_handler+0x178/0x24c irq_set_chained_handler_and_data+0x60/0xa4 mxc_gpio_probe+0x160/0x4b0 Cure this by implementing the irq_bus_lock/sync_unlock() interrupt chip callbacks and handle power management in them as they are invoked from non-atomic context. [ tglx: Rewrote change log, added Fixes tag ] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ice: Add a per-VF limit on number of FDIR filters While the iavf driver adds a s/w limit (128) on the number of FDIR filters that the VF can request, a malicious VF driver can request more than that and exhaust the resources for other VFs. Add a similar limit in ice. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: kobject_uevent: Fix OOB access within zap_modalias_env() zap_modalias_env() wrongly calculates size of memory block to move, so will cause OOB memory access issue if variable MODALIAS is not the last one within its @env parameter, fixed by correcting size to memmove. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nilfs2: handle inconsistent state in nilfs_btnode_create_block() Syzbot reported that a buffer state inconsistency was detected in nilfs_btnode_create_block(), triggering a kernel bug. It is not appropriate to treat this inconsistency as a bug; it can occur if the argument block address (the buffer index of the newly created block) is a virtual block number and has been reallocated due to corruption of the bitmap used to manage its allocation state. So, modify nilfs_btnode_create_block() and its callers to treat it as a possible filesystem error, rather than triggering a kernel bug. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fs/ntfs3: Update log->page_{mask,bits} if log->page_size changed If an NTFS file system is mounted to another system with different PAGE_SIZE from the original system, log->page_size will change in log_replay(), but log->page_{mask,bits} don't change correspondingly. This will cause a panic because "u32 bytes = log->page_size - page_off" will get a negative value in the later read_log_page(). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ext4: make sure the first directory block is not a hole The syzbot constructs a directory that has no dirblock but is non-inline, i.e. the first directory block is a hole. And no errors are reported when creating files in this directory in the following flow. ext4_mknod ... ext4_add_entry // Read block 0 ext4_read_dirblock(dir, block, DIRENT) bh = ext4_bread(NULL, inode, block, 0) if (!bh && (type == INDEX || type == DIRENT_HTREE)) // The first directory block is a hole // But type == DIRENT, so no error is reported. After that, we get a directory block without '.' and '..' but with a valid dentry. This may cause some code that relies on dot or dotdot (such as make_indexed_dir()) to crash. Therefore when ext4_read_dirblock() finds that the first directory block is a hole report that the filesystem is corrupted and return an error to avoid loading corrupted data from disk causing something bad. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ext4: check dot and dotdot of dx_root before making dir indexed Syzbot reports a issue as follows: ============================================ BUG: unable to handle page fault for address: ffffed11022e24fe PGD 23ffee067 P4D 23ffee067 PUD 0 Oops: Oops: 0000 [#1] PREEMPT SMP KASAN PTI CPU: 0 PID: 5079 Comm: syz-executor306 Not tainted 6.10.0-rc5-g55027e689933 #0 Call Trace: <TASK> make_indexed_dir+0xdaf/0x13c0 fs/ext4/namei.c:2341 ext4_add_entry+0x222a/0x25d0 fs/ext4/namei.c:2451 ext4_rename fs/ext4/namei.c:3936 [inline] ext4_rename2+0x26e5/0x4370 fs/ext4/namei.c:4214 [...] ============================================ The immediate cause of this problem is that there is only one valid dentry for the block to be split during do_split, so split==0 results in out of bounds accesses to the map triggering the issue. do_split unsigned split dx_make_map count = 1 split = count/2 = 0; continued = hash2 == map[split - 1].hash; ---> map[4294967295] The maximum length of a filename is 255 and the minimum block size is 1024, so it is always guaranteed that the number of entries is greater than or equal to 2 when do_split() is called. But syzbot's crafted image has no dot and dotdot in dir, and the dentry distribution in dirblock is as follows: bus dentry1 hole dentry2 free |xx--|xx-------------|...............|xx-------------|...............| 0 12 (8+248)=256 268 256 524 (8+256)=264 788 236 1024 So when renaming dentry1 increases its name_len length by 1, neither hole nor free is sufficient to hold the new dentry, and make_indexed_dir() is called. In make_indexed_dir() it is assumed that the first two entries of the dirblock must be dot and dotdot, so bus and dentry1 are left in dx_root because they are treated as dot and dotdot, and only dentry2 is moved to the new leaf block. That's why count is equal to 1. Therefore add the ext4_check_dx_root() helper function to add more sanity checks to dot and dotdot before starting the conversion to avoid the above issue. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: udf: Avoid using corrupted block bitmap buffer When the filesystem block bitmap is corrupted, we detect the corruption while loading the bitmap and fail the allocation with error. However the next allocation from the same bitmap will notice the bitmap buffer is already loaded and tries to allocate from the bitmap with mixed results (depending on the exact nature of the bitmap corruption). Fix the problem by using BH_verified bit to indicate whether the bitmap is valid or not. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cifs: fix potential null pointer use in destroy_workqueue in init_cifs error path Dan Carpenter reported a Smack static checker warning: fs/smb/client/cifsfs.c:1981 init_cifs() error: we previously assumed 'serverclose_wq' could be null (see line 1895) The patch which introduced the serverclose workqueue used the wrong oredering in error paths in init_cifs() for freeing it on errors. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/gma500: fix null pointer dereference in psb_intel_lvds_get_modes In psb_intel_lvds_get_modes(), the return value of drm_mode_duplicate() is assigned to mode, which will lead to a possible NULL pointer dereference on failure of drm_mode_duplicate(). Add a check to avoid npd. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: hfs: fix to initialize fields of hfs_inode_info after hfs_alloc_inode() Syzbot reports uninitialized value access issue as below: loop0: detected capacity change from 0 to 64 ===================================================== BUG: KMSAN: uninit-value in hfs_revalidate_dentry+0x307/0x3f0 fs/hfs/sysdep.c:30 hfs_revalidate_dentry+0x307/0x3f0 fs/hfs/sysdep.c:30 d_revalidate fs/namei.c:862 [inline] lookup_fast+0x89e/0x8e0 fs/namei.c:1649 walk_component fs/namei.c:2001 [inline] link_path_walk+0x817/0x1480 fs/namei.c:2332 path_lookupat+0xd9/0x6f0 fs/namei.c:2485 filename_lookup+0x22e/0x740 fs/namei.c:2515 user_path_at_empty+0x8b/0x390 fs/namei.c:2924 user_path_at include/linux/namei.h:57 [inline] do_mount fs/namespace.c:3689 [inline] __do_sys_mount fs/namespace.c:3898 [inline] __se_sys_mount+0x66b/0x810 fs/namespace.c:3875 __x64_sys_mount+0xe4/0x140 fs/namespace.c:3875 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcf/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x63/0x6b BUG: KMSAN: uninit-value in hfs_ext_read_extent fs/hfs/extent.c:196 [inline] BUG: KMSAN: uninit-value in hfs_get_block+0x92d/0x1620 fs/hfs/extent.c:366 hfs_ext_read_extent fs/hfs/extent.c:196 [inline] hfs_get_block+0x92d/0x1620 fs/hfs/extent.c:366 block_read_full_folio+0x4ff/0x11b0 fs/buffer.c:2271 hfs_read_folio+0x55/0x60 fs/hfs/inode.c:39 filemap_read_folio+0x148/0x4f0 mm/filemap.c:2426 do_read_cache_folio+0x7c8/0xd90 mm/filemap.c:3553 do_read_cache_page mm/filemap.c:3595 [inline] read_cache_page+0xfb/0x2f0 mm/filemap.c:3604 read_mapping_page include/linux/pagemap.h:755 [inline] hfs_btree_open+0x928/0x1ae0 fs/hfs/btree.c:78 hfs_mdb_get+0x260c/0x3000 fs/hfs/mdb.c:204 hfs_fill_super+0x1fb1/0x2790 fs/hfs/super.c:406 mount_bdev+0x628/0x920 fs/super.c:1359 hfs_mount+0xcd/0xe0 fs/hfs/super.c:456 legacy_get_tree+0x167/0x2e0 fs/fs_context.c:610 vfs_get_tree+0xdc/0x5d0 fs/super.c:1489 do_new_mount+0x7a9/0x16f0 fs/namespace.c:3145 path_mount+0xf98/0x26a0 fs/namespace.c:3475 do_mount fs/namespace.c:3488 [inline] __do_sys_mount fs/namespace.c:3697 [inline] __se_sys_mount+0x919/0x9e0 fs/namespace.c:3674 __ia32_sys_mount+0x15b/0x1b0 fs/namespace.c:3674 do_syscall_32_irqs_on arch/x86/entry/common.c:112 [inline] __do_fast_syscall_32+0xa2/0x100 arch/x86/entry/common.c:178 do_fast_syscall_32+0x37/0x80 arch/x86/entry/common.c:203 do_SYSENTER_32+0x1f/0x30 arch/x86/entry/common.c:246 entry_SYSENTER_compat_after_hwframe+0x70/0x82 Uninit was created at: __alloc_pages+0x9a6/0xe00 mm/page_alloc.c:4590 __alloc_pages_node include/linux/gfp.h:238 [inline] alloc_pages_node include/linux/gfp.h:261 [inline] alloc_slab_page mm/slub.c:2190 [inline] allocate_slab mm/slub.c:2354 [inline] new_slab+0x2d7/0x1400 mm/slub.c:2407 ___slab_alloc+0x16b5/0x3970 mm/slub.c:3540 __slab_alloc mm/slub.c:3625 [inline] __slab_alloc_node mm/slub.c:3678 [inline] slab_alloc_node mm/slub.c:3850 [inline] kmem_cache_alloc_lru+0x64d/0xb30 mm/slub.c:3879 alloc_inode_sb include/linux/fs.h:3018 [inline] hfs_alloc_inode+0x5a/0xc0 fs/hfs/super.c:165 alloc_inode+0x83/0x440 fs/inode.c:260 new_inode_pseudo fs/inode.c:1005 [inline] new_inode+0x38/0x4f0 fs/inode.c:1031 hfs_new_inode+0x61/0x1010 fs/hfs/inode.c:186 hfs_mkdir+0x54/0x250 fs/hfs/dir.c:228 vfs_mkdir+0x49a/0x700 fs/namei.c:4126 do_mkdirat+0x529/0x810 fs/namei.c:4149 __do_sys_mkdirat fs/namei.c:4164 [inline] __se_sys_mkdirat fs/namei.c:4162 [inline] __x64_sys_mkdirat+0xc8/0x120 fs/namei.c:4162 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcf/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x63/0x6b It missed to initialize .tz_secondswest, .cached_start and .cached_blocks fields in struct hfs_inode_info after hfs_alloc_inode(), fix it. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: sysctl: always initialize i_uid/i_gid Always initialize i_uid/i_gid inside the sysfs core so set_ownership() can safely skip setting them. Commit 5ec27ec735ba ("fs/proc/proc_sysctl.c: fix the default values of i_uid/i_gid on /proc/sys inodes.") added defaults for i_uid/i_gid when set_ownership() was not implemented. It also missed adjusting net_ctl_set_ownership() to use the same default values in case the computation of a better value failed. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: btrfs: fix extent map use-after-free when adding pages to compressed bio At add_ra_bio_pages() we are accessing the extent map to calculate 'add_size' after we dropped our reference on the extent map, resulting in a use-after-free. Fix this by computing 'add_size' before dropping our extent map reference. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm/mglru: fix div-by-zero in vmpressure_calc_level() evict_folios() uses a second pass to reclaim folios that have gone through page writeback and become clean before it finishes the first pass, since folio_rotate_reclaimable() cannot handle those folios due to the isolation. The second pass tries to avoid potential double counting by deducting scan_control->nr_scanned. However, this can result in underflow of nr_scanned, under a condition where shrink_folio_list() does not increment nr_scanned, i.e., when folio_trylock() fails. The underflow can cause the divisor, i.e., scale=scanned+reclaimed in vmpressure_calc_level(), to become zero, resulting in the following crash: [exception RIP: vmpressure_work_fn+101] process_one_work at ffffffffa3313f2b Since scan_control->nr_scanned has no established semantics, the potential double counting has minimal risks. Therefore, fix the problem by not deducting scan_control->nr_scanned in evict_folios(). [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: landlock: Don't lose track of restrictions on cred_transfer When a process' cred struct is replaced, this _almost_ always invokes the cred_prepare LSM hook; but in one special case (when KEYCTL_SESSION_TO_PARENT updates the parent's credentials), the cred_transfer LSM hook is used instead. Landlock only implements the cred_prepare hook, not cred_transfer, so KEYCTL_SESSION_TO_PARENT causes all information on Landlock restrictions to be lost. This basically means that a process with the ability to use the fork() and keyctl() syscalls can get rid of all Landlock restrictions on itself. Fix it by adding a cred_transfer hook that does the same thing as the existing cred_prepare hook. (Implemented by having hook_cred_prepare() call hook_cred_transfer() so that the two functions are less likely to accidentally diverge in the future.) [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: s390/dasd: fix error checks in dasd_copy_pair_store() dasd_add_busid() can return an error via ERR_PTR() if an allocation fails. However, two callsites in dasd_copy_pair_store() do not check the result, potentially resulting in a NULL pointer dereference. Fix this by checking the result with IS_ERR() and returning the error up the stack. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: flow_dissector: use DEBUG_NET_WARN_ON_ONCE The following splat is easy to reproduce upstream as well as in -stable kernels. Florian Westphal provided the following commit: d1dab4f71d37 ("net: add and use __skb_get_hash_symmetric_net") but this complementary fix has been also suggested by Willem de Bruijn and it can be easily backported to -stable kernel which consists in using DEBUG_NET_WARN_ON_ONCE instead to silence the following splat given __skb_get_hash() is used by the nftables tracing infrastructure to to identify packets in traces. [69133.561393] ------------[ cut here ]------------ [69133.561404] WARNING: CPU: 0 PID: 43576 at net/core/flow_dissector.c:1104 __skb_flow_dissect+0x134f/ [...] [69133.561944] CPU: 0 PID: 43576 Comm: socat Not tainted 6.10.0-rc7+ #379 [69133.561959] RIP: 0010:__skb_flow_dissect+0x134f/0x2ad0 [69133.561970] Code: 83 f9 04 0f 84 b3 00 00 00 45 85 c9 0f 84 aa 00 00 00 41 83 f9 02 0f 84 81 fc ff ff 44 0f b7 b4 24 80 00 00 00 e9 8b f9 ff ff <0f> 0b e9 20 f3 ff ff 41 f6 c6 20 0f 84 e4 ef ff ff 48 8d 7b 12 e8 [69133.561979] RSP: 0018:ffffc90000006fc0 EFLAGS: 00010246 [69133.561988] RAX: 0000000000000000 RBX: ffffffff82f33e20 RCX: ffffffff81ab7e19 [69133.561994] RDX: dffffc0000000000 RSI: ffffc90000007388 RDI: ffff888103a1b418 [69133.562001] RBP: ffffc90000007310 R08: 0000000000000000 R09: 0000000000000000 [69133.562007] R10: ffffc90000007388 R11: ffffffff810cface R12: ffff888103a1b400 [69133.562013] R13: 0000000000000000 R14: ffffffff82f33e2a R15: ffffffff82f33e28 [69133.562020] FS: 00007f40f7131740(0000) GS:ffff888390800000(0000) knlGS:0000000000000000 [69133.562027] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [69133.562033] CR2: 00007f40f7346ee0 CR3: 000000015d200001 CR4: 00000000001706f0 [69133.562040] Call Trace: [69133.562044] <IRQ> [69133.562049] ? __warn+0x9f/0x1a0 [ 1211.841384] ? __skb_flow_dissect+0x107e/0x2860 [...] [ 1211.841496] ? bpf_flow_dissect+0x160/0x160 [ 1211.841753] __skb_get_hash+0x97/0x280 [ 1211.841765] ? __skb_get_hash_symmetric+0x230/0x230 [ 1211.841776] ? mod_find+0xbf/0xe0 [ 1211.841786] ? get_stack_info_noinstr+0x12/0xe0 [ 1211.841798] ? bpf_ksym_find+0x56/0xe0 [ 1211.841807] ? __rcu_read_unlock+0x2a/0x70 [ 1211.841819] nft_trace_init+0x1b9/0x1c0 [nf_tables] [ 1211.841895] ? nft_trace_notify+0x830/0x830 [nf_tables] [ 1211.841964] ? get_stack_info+0x2b/0x80 [ 1211.841975] ? nft_do_chain_arp+0x80/0x80 [nf_tables] [ 1211.842044] nft_do_chain+0x79c/0x850 [nf_tables] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 zabbix A non-admin user account on the Zabbix frontend with the default User role, or with any other role that gives API access can exploit this vulnerability. An SQLi exists in the CUser class in the addRelatedObjects function, this function is being called from the CUser.get function which is available for every user who has API access. [NistCWE(cwe='CWE-89')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H', score=9.9) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix When the webdriver for the Browser object downloads data from a HTTP server, the data pointer is set to NULL and is allocated only in curl_write_cb when receiving data. If the server's response is an empty document, then wd->data in the code below will remain NULL and an attempt to read from it will result in a crash. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L', score=3.3) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix The HttpRequest object allows to get the HTTP headers from the server's response after sending the request. The problem is that the returned strings are created directly from the data returned by the server and are not correctly encoded for JavaScript. This allows to create internal strings that can be used to access hidden properties of objects. [NistCWE(cwe='CWE-134')] None NistCVSS3(cvss='AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H', score=9.1) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix In the src/libs/zbxembed/browser.c file, the es_browser_ctor method retrieves a heap pointer from the Duktape JavaScript engine. This heap pointer is subsequently utilized by the browser_push_error method in the src/libs/zbxembed/browser_error.c file. A use-after-free bug can occur at this stage if the wd->browser heap pointer is freed by garbage collection. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L', score=3.3) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix The researcher is showing that due to the way the SNMP trap log is parsed, an attacker can craft an SNMP trap with additional lines of information and have forged data show in the Zabbix UI. This attack requires SNMP auth to be off and/or the attacker to know the community/auth details. The attack requires an SNMP item to be configured as text on the target host. [NistCWE(cwe='CWE-116')] None NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N', score=3.7) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 zabbix The researcher is showing that it is possible to leak a small amount of Zabbix Server memory using an out of bounds read in src/libs/zbxmedia/email.c [NistCWE(cwe='CWE-126')] None NistCVSS3(cvss='AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N', score=2.7) - Удалить ПО zabbix, если оно не используется - Отключить и удалить неиспользуемые учётные записи пользователей - Обеспечить возможность запуска zabbix только доверенными пользователями ОС - Использовать ПО Zabbix в виде Docker-контейнера - Ограничьте доступ к Zabbix серверу и агентам, используя брандмауэры и сетевые политики - Используйте шифрование для передачи данных между Zabbix сервером и агентами - Обеспечьте безопасность веб-интерфейса Zabbix, используя HTTPS вместо HTTP. Настройте сервер для использования SSL/TLS сертификатов - Ограничьте доступ к API Zabbix, используя токены аутентификации и ограничивая IP-адреса, с которых разрешены запросы - Для Zabbix-агента создайте отдельного защищённого пользователя - При настройке Zabbix важно принудительно применить атрибуты secure и SameSite для сеансовых файлов cookie для повышения безопасности и предотвращения атак с подделкой межсайтовых запросов (CSRF) - Включить политику безопасности контента (CSP) на веб-сервере - Отключить отображение информации о веб-сервере Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: missing check virtio Two missing check in virtio_net_hdr_to_skb() allowed syzbot to crash kernels again 1. After the skb_segment function the buffer may become non-linear (nr_frags != 0), but since the SKBTX_SHARED_FRAG flag is not set anywhere the __skb_linearize function will not be executed, then the buffer will remain non-linear. Then the condition (offset >= skb_headlen(skb)) becomes true, which causes WARN_ON_ONCE in skb_checksum_help. 2. The struct sk_buff and struct virtio_net_hdr members must be mathematically related. (gso_size) must be greater than (needed) otherwise WARN_ON_ONCE. (remainder) must be greater than (needed) otherwise WARN_ON_ONCE. (remainder) may be 0 if division is without remainder. offset+2 (4191) > skb_headlen() (1116) WARNING: CPU: 1 PID: 5084 at net/core/dev.c:3303 skb_checksum_help+0x5e2/0x740 net/core/dev.c:3303 Modules linked in: CPU: 1 PID: 5084 Comm: syz-executor336 Not tainted 6.7.0-rc3-syzkaller-00014-gdf60cee26a2e #0 Hardware name: Google Compute Engine/Google Compute Engine, BIOS Google 11/10/2023 RIP: 0010:skb_checksum_help+0x5e2/0x740 net/core/dev.c:3303 Code: 89 e8 83 e0 07 83 c0 03 38 d0 7c 08 84 d2 0f 85 52 01 00 00 44 89 e2 2b 53 74 4c 89 ee 48 c7 c7 40 57 e9 8b e8 af 8f dd f8 90 <0f> 0b 90 90 e9 87 fe ff ff e8 40 0f 6e f9 e9 4b fa ff ff 48 89 ef RSP: 0018:ffffc90003a9f338 EFLAGS: 00010286 RAX: 0000000000000000 RBX: ffff888025125780 RCX: ffffffff814db209 RDX: ffff888015393b80 RSI: ffffffff814db216 RDI: 0000000000000001 RBP: ffff8880251257f4 R08: 0000000000000001 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000001 R12: 000000000000045c R13: 000000000000105f R14: ffff8880251257f0 R15: 000000000000105d FS: 0000555555c24380(0000) GS:ffff8880b9900000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000000002000f000 CR3: 0000000023151000 CR4: 00000000003506f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> ip_do_fragment+0xa1b/0x18b0 net/ipv4/ip_output.c:777 ip_fragment.constprop.0+0x161/0x230 net/ipv4/ip_output.c:584 ip_finish_output_gso net/ipv4/ip_output.c:286 [inline] __ip_finish_output net/ipv4/ip_output.c:308 [inline] __ip_finish_output+0x49c/0x650 net/ipv4/ip_output.c:295 ip_finish_output+0x31/0x310 net/ipv4/ip_output.c:323 NF_HOOK_COND include/linux/netfilter.h:303 [inline] ip_output+0x13b/0x2a0 net/ipv4/ip_output.c:433 dst_output include/net/dst.h:451 [inline] ip_local_out+0xaf/0x1a0 net/ipv4/ip_output.c:129 iptunnel_xmit+0x5b4/0x9b0 net/ipv4/ip_tunnel_core.c:82 ipip6_tunnel_xmit net/ipv6/sit.c:1034 [inline] sit_tunnel_xmit+0xed2/0x28f0 net/ipv6/sit.c:1076 __netdev_start_xmit include/linux/netdevice.h:4940 [inline] netdev_start_xmit include/linux/netdevice.h:4954 [inline] xmit_one net/core/dev.c:3545 [inline] dev_hard_start_xmit+0x13d/0x6d0 net/core/dev.c:3561 __dev_queue_xmit+0x7c1/0x3d60 net/core/dev.c:4346 dev_queue_xmit include/linux/netdevice.h:3134 [inline] packet_xmit+0x257/0x380 net/packet/af_packet.c:276 packet_snd net/packet/af_packet.c:3087 [inline] packet_sendmsg+0x24ca/0x5240 net/packet/af_packet.c:3119 sock_sendmsg_nosec net/socket.c:730 [inline] __sock_sendmsg+0xd5/0x180 net/socket.c:745 __sys_sendto+0x255/0x340 net/socket.c:2190 __do_sys_sendto net/socket.c:2202 [inline] __se_sys_sendto net/socket.c:2198 [inline] __x64_sys_sendto+0xe0/0x1b0 net/socket.c:2198 do_syscall_x64 arch/x86/entry/common.c:51 [inline] do_syscall_64+0x40/0x110 arch/x86/entry/common.c:82 entry_SYSCALL_64_after_hwframe+0x63/0x6b Found by Linux Verification Center (linuxtesting.org) with Syzkaller [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ASoC: amd: Adjust error handling in case of absent codec device acpi_get_first_physical_node() can return NULL in several cases (no such device, ACPI table error, reference count drop to 0, etc). Existing check just emit error message, but doesn't perform return. Then this NULL pointer is passed to devm_acpi_dev_add_driver_gpios() where it is dereferenced. Adjust this error handling by adding error code return. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: PCI: keystone: Fix NULL pointer dereference in case of DT error in ks_pcie_setup_rc_app_regs() If IORESOURCE_MEM is not provided in Device Tree due to any error, resource_list_first_type() will return NULL and pci_parse_request_of_pci_ranges() will just emit a warning. This will cause a NULL pointer dereference. Fix this bug by adding NULL return check. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ext4: fix infinite loop when replaying fast_commit When doing fast_commit replay an infinite loop may occur due to an uninitialized extent_status struct. ext4_ext_determine_insert_hole() does not detect the replay and calls ext4_es_find_extent_range(), which will return immediately without initializing the 'es' variable. Because 'es' contains garbage, an integer overflow may happen causing an infinite loop in this function, easily reproducible using fstest generic/039. This commit fixes this issue by unconditionally initializing the structure in function ext4_es_find_extent_range(). Thanks to Zhang Yi, for figuring out the real problem! [NistCWE(cwe='CWE-835')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: leds: trigger: Unregister sysfs attributes before calling deactivate() Triggers which have trigger specific sysfs attributes typically store related data in trigger-data allocated by the activate() callback and freed by the deactivate() callback. Calling device_remove_groups() after calling deactivate() leaves a window where the sysfs attributes show/store functions could be called after deactivation and then operate on the just freed trigger-data. Move the device_remove_groups() call to before deactivate() to close this race window. This also makes the deactivation path properly do things in reverse order of the activation path which calls the activate() callback before calling device_add_groups(). [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: s390/uv: Don't call folio_wait_writeback() without a folio reference folio_wait_writeback() requires that no spinlocks are held and that a folio reference is held, as documented. After we dropped the PTL, the folio could get freed concurrently. So grab a temporary reference. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: media: v4l: async: Fix NULL pointer dereference in adding ancillary links In v4l2_async_create_ancillary_links(), ancillary links are created for lens and flash sub-devices. These are sub-device to sub-device links and if the async notifier is related to a V4L2 device, the source sub-device of the ancillary link is NULL, leading to a NULL pointer dereference. Check the notifier's sd field is non-NULL in v4l2_async_create_ancillary_links(). [Sakari Ailus: Reword the subject and commit messages slightly.] [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: xdp: fix invalid wait context of page_pool_destroy() If the driver uses a page pool, it creates a page pool with page_pool_create(). The reference count of page pool is 1 as default. A page pool will be destroyed only when a reference count reaches 0. page_pool_destroy() is used to destroy page pool, it decreases a reference count. When a page pool is destroyed, ->disconnect() is called, which is mem_allocator_disconnect(). This function internally acquires mutex_lock(). If the driver uses XDP, it registers a memory model with xdp_rxq_info_reg_mem_model(). The xdp_rxq_info_reg_mem_model() internally increases a page pool reference count if a memory model is a page pool. Now the reference count is 2. To destroy a page pool, the driver should call both page_pool_destroy() and xdp_unreg_mem_model(). The xdp_unreg_mem_model() internally calls page_pool_destroy(). Only page_pool_destroy() decreases a reference count. If a driver calls page_pool_destroy() then xdp_unreg_mem_model(), we will face an invalid wait context warning. Because xdp_unreg_mem_model() calls page_pool_destroy() with rcu_read_lock(). The page_pool_destroy() internally acquires mutex_lock(). Splat looks like: ============================= [ BUG: Invalid wait context ] 6.10.0-rc6+ #4 Tainted: G W ----------------------------- ethtool/1806 is trying to lock: ffffffff90387b90 (mem_id_lock){+.+.}-{4:4}, at: mem_allocator_disconnect+0x73/0x150 other info that might help us debug this: context-{5:5} 3 locks held by ethtool/1806: stack backtrace: CPU: 0 PID: 1806 Comm: ethtool Tainted: G W 6.10.0-rc6+ #4 f916f41f172891c800f2fed Hardware name: ASUS System Product Name/PRIME Z690-P D4, BIOS 0603 11/01/2021 Call Trace: <TASK> dump_stack_lvl+0x7e/0xc0 __lock_acquire+0x1681/0x4de0 ? _printk+0x64/0xe0 ? __pfx_mark_lock.part.0+0x10/0x10 ? __pfx___lock_acquire+0x10/0x10 lock_acquire+0x1b3/0x580 ? mem_allocator_disconnect+0x73/0x150 ? __wake_up_klogd.part.0+0x16/0xc0 ? __pfx_lock_acquire+0x10/0x10 ? dump_stack_lvl+0x91/0xc0 __mutex_lock+0x15c/0x1690 ? mem_allocator_disconnect+0x73/0x150 ? __pfx_prb_read_valid+0x10/0x10 ? mem_allocator_disconnect+0x73/0x150 ? __pfx_llist_add_batch+0x10/0x10 ? console_unlock+0x193/0x1b0 ? lockdep_hardirqs_on+0xbe/0x140 ? __pfx___mutex_lock+0x10/0x10 ? tick_nohz_tick_stopped+0x16/0x90 ? __irq_work_queue_local+0x1e5/0x330 ? irq_work_queue+0x39/0x50 ? __wake_up_klogd.part.0+0x79/0xc0 ? mem_allocator_disconnect+0x73/0x150 mem_allocator_disconnect+0x73/0x150 ? __pfx_mem_allocator_disconnect+0x10/0x10 ? mark_held_locks+0xa5/0xf0 ? rcu_is_watching+0x11/0xb0 page_pool_release+0x36e/0x6d0 page_pool_destroy+0xd7/0x440 xdp_unreg_mem_model+0x1a7/0x2a0 ? __pfx_xdp_unreg_mem_model+0x10/0x10 ? kfree+0x125/0x370 ? bnxt_free_ring.isra.0+0x2eb/0x500 ? bnxt_free_mem+0x5ac/0x2500 xdp_rxq_info_unreg+0x4a/0xd0 bnxt_free_mem+0x1356/0x2500 bnxt_close_nic+0xf0/0x3b0 ? __pfx_bnxt_close_nic+0x10/0x10 ? ethnl_parse_bit+0x2c6/0x6d0 ? __pfx___nla_validate_parse+0x10/0x10 ? __pfx_ethnl_parse_bit+0x10/0x10 bnxt_set_features+0x2a8/0x3e0 __netdev_update_features+0x4dc/0x1370 ? ethnl_parse_bitset+0x4ff/0x750 ? __pfx_ethnl_parse_bitset+0x10/0x10 ? __pfx___netdev_update_features+0x10/0x10 ? mark_held_locks+0xa5/0xf0 ? _raw_spin_unlock_irqrestore+0x42/0x70 ? __pm_runtime_resume+0x7d/0x110 ethnl_set_features+0x32d/0xa20 To fix this problem, it uses rhashtable_lookup_fast() instead of rhashtable_lookup() with rcu_read_lock(). Using xa without rcu_read_lock() here is safe. xa is freed by __xdp_mem_allocator_rcu_free() and this is called by call_rcu() of mem_xa_remove(). The mem_xa_remove() is called by page_pool_destroy() if a reference count reaches 0. The xa is already protected by the reference count mechanism well in the control plane. So removing rcu_read_lock() for page_pool_destroy() is safe. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: virtio_net: Fix napi_skb_cache_put warning After the commit bdacf3e34945 ("net: Use nested-BH locking for napi_alloc_cache.") was merged, the following warning began to appear: WARNING: CPU: 5 PID: 1 at net/core/skbuff.c:1451 napi_skb_cache_put+0x82/0x4b0 __warn+0x12f/0x340 napi_skb_cache_put+0x82/0x4b0 napi_skb_cache_put+0x82/0x4b0 report_bug+0x165/0x370 handle_bug+0x3d/0x80 exc_invalid_op+0x1a/0x50 asm_exc_invalid_op+0x1a/0x20 __free_old_xmit+0x1c8/0x510 napi_skb_cache_put+0x82/0x4b0 __free_old_xmit+0x1c8/0x510 __free_old_xmit+0x1c8/0x510 __pfx___free_old_xmit+0x10/0x10 The issue arises because virtio is assuming it's running in NAPI context even when it's not, such as in the netpoll case. To resolve this, modify virtnet_poll_tx() to only set NAPI when budget is available. Same for virtnet_poll_cleantx(), which always assumed that it was in a NAPI context. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Fix null pointer dereference in resolve_prog_type() for BPF_PROG_TYPE_EXT When loading a EXT program without specifying `attr->attach_prog_fd`, the `prog->aux->dst_prog` will be null. At this time, calling resolve_prog_type() anywhere will result in a null pointer dereference. Example stack trace: [ 8.107863] Unable to handle kernel NULL pointer dereference at virtual address 0000000000000004 [ 8.108262] Mem abort info: [ 8.108384] ESR = 0x0000000096000004 [ 8.108547] EC = 0x25: DABT (current EL), IL = 32 bits [ 8.108722] SET = 0, FnV = 0 [ 8.108827] EA = 0, S1PTW = 0 [ 8.108939] FSC = 0x04: level 0 translation fault [ 8.109102] Data abort info: [ 8.109203] ISV = 0, ISS = 0x00000004, ISS2 = 0x00000000 [ 8.109399] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 8.109614] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 8.109836] user pgtable: 4k pages, 48-bit VAs, pgdp=0000000101354000 [ 8.110011] [0000000000000004] pgd=0000000000000000, p4d=0000000000000000 [ 8.112624] Internal error: Oops: 0000000096000004 [#1] PREEMPT SMP [ 8.112783] Modules linked in: [ 8.113120] CPU: 0 PID: 99 Comm: may_access_dire Not tainted 6.10.0-rc3-next-20240613-dirty #1 [ 8.113230] Hardware name: linux,dummy-virt (DT) [ 8.113390] pstate: 60000005 (nZCv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 8.113429] pc : may_access_direct_pkt_data+0x24/0xa0 [ 8.113746] lr : add_subprog_and_kfunc+0x634/0x8e8 [ 8.113798] sp : ffff80008283b9f0 [ 8.113813] x29: ffff80008283b9f0 x28: ffff800082795048 x27: 0000000000000001 [ 8.113881] x26: ffff0000c0bb2600 x25: 0000000000000000 x24: 0000000000000000 [ 8.113897] x23: ffff0000c1134000 x22: 000000000001864f x21: ffff0000c1138000 [ 8.113912] x20: 0000000000000001 x19: ffff0000c12b8000 x18: ffffffffffffffff [ 8.113929] x17: 0000000000000000 x16: 0000000000000000 x15: 0720072007200720 [ 8.113944] x14: 0720072007200720 x13: 0720072007200720 x12: 0720072007200720 [ 8.113958] x11: 0720072007200720 x10: 0000000000f9fca4 x9 : ffff80008021f4e4 [ 8.113991] x8 : 0101010101010101 x7 : 746f72705f6d656d x6 : 000000001e0e0f5f [ 8.114006] x5 : 000000000001864f x4 : ffff0000c12b8000 x3 : 000000000000001c [ 8.114020] x2 : 0000000000000002 x1 : 0000000000000000 x0 : 0000000000000000 [ 8.114126] Call trace: [ 8.114159] may_access_direct_pkt_data+0x24/0xa0 [ 8.114202] bpf_check+0x3bc/0x28c0 [ 8.114214] bpf_prog_load+0x658/0xa58 [ 8.114227] __sys_bpf+0xc50/0x2250 [ 8.114240] __arm64_sys_bpf+0x28/0x40 [ 8.114254] invoke_syscall.constprop.0+0x54/0xf0 [ 8.114273] do_el0_svc+0x4c/0xd8 [ 8.114289] el0_svc+0x3c/0x140 [ 8.114305] el0t_64_sync_handler+0x134/0x150 [ 8.114331] el0t_64_sync+0x168/0x170 [ 8.114477] Code: 7100707f 54000081 f9401c00 f9403800 (b9400403) [ 8.118672] ---[ end trace 0000000000000000 ]--- One way to fix it is by forcing `attach_prog_fd` non-empty when bpf_prog_load(). But this will lead to `libbpf_probe_bpf_prog_type` API broken which use verifier log to probe prog type and will log nothing if we reject invalid EXT prog before bpf_check(). Another way is by adding null check in resolve_prog_type(). The issue was introduced by commit 4a9c7bbe2ed4 ("bpf: Resolve to prog->aux->dst_prog->type only for BPF_PROG_TYPE_EXT") which wanted to correct type resolution for BPF_PROG_TYPE_TRACING programs. Before that, the type resolution of BPF_PROG_TYPE_EXT prog actually follows the logic below: prog->aux->dst_prog ? prog->aux->dst_prog->type : prog->type; It implies that when EXT program is not yet attached to `dst_prog`, the prog type should be EXT itself. This code worked fine in the past. So just keep using it. Fix this by returning `prog->type` for BPF_PROG_TYPE_EXT if `dst_prog` is not present in resolve_prog_type(). [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: rtw89: Fix array index mistake in rtw89_sta_info_get_iter() In rtw89_sta_info_get_iter() 'status->he_gi' is compared to array size. But then 'rate->he_gi' is used as array index instead of 'status->he_gi'. This can lead to go beyond array boundaries in case of 'rate->he_gi' is not equal to 'status->he_gi' and is bigger than array size. Looks like "copy-paste" mistake. Fix this mistake by replacing 'rate->he_gi' with 'status->he_gi'. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: lib: objagg: Fix general protection fault The library supports aggregation of objects into other objects only if the parent object does not have a parent itself. That is, nesting is not supported. Aggregation happens in two cases: Without and with hints, where hints are a pre-computed recommendation on how to aggregate the provided objects. Nesting is not possible in the first case due to a check that prevents it, but in the second case there is no check because the assumption is that nesting cannot happen when creating objects based on hints. The violation of this assumption leads to various warnings and eventually to a general protection fault [1]. Before fixing the root cause, error out when nesting happens and warn. [1] general protection fault, probably for non-canonical address 0xdead000000000d90: 0000 [#1] PREEMPT SMP PTI CPU: 1 PID: 1083 Comm: kworker/1:9 Tainted: G W 6.9.0-rc6-custom-gd9b4f1cca7fb #7 Hardware name: Mellanox Technologies Ltd. MSN3700/VMOD0005, BIOS 5.11 01/06/2019 Workqueue: mlxsw_core mlxsw_sp_acl_tcam_vregion_rehash_work RIP: 0010:mlxsw_sp_acl_erp_bf_insert+0x25/0x80 [...] Call Trace: <TASK> mlxsw_sp_acl_atcam_entry_add+0x256/0x3c0 mlxsw_sp_acl_tcam_entry_create+0x5e/0xa0 mlxsw_sp_acl_tcam_vchunk_migrate_one+0x16b/0x270 mlxsw_sp_acl_tcam_vregion_rehash_work+0xbe/0x510 process_one_work+0x151/0x370 worker_thread+0x2cb/0x3e0 kthread+0xd0/0x100 ret_from_fork+0x34/0x50 ret_from_fork_asm+0x1a/0x30 </TASK> [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: soc: qcom: pdr: protect locator_addr with the main mutex If the service locator server is restarted fast enough, the PDR can rewrite locator_addr fields concurrently. Protect them by placing modification of those fields under the main pdr->lock. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: soc: xilinx: rename cpu_number1 to dummy_cpu_number The per cpu variable cpu_number1 is passed to xlnx_event_handler as argument "dev_id", but it is not used in this function. So drop the initialization of this variable and rename it to dummy_cpu_number. This patch is to fix the following call trace when the kernel option CONFIG_DEBUG_ATOMIC_SLEEP is enabled: BUG: sleeping function called from invalid context at include/linux/sched/mm.h:274 in_atomic(): 1, irqs_disabled(): 0, non_block: 0, pid: 1, name: swapper/0 preempt_count: 1, expected: 0 CPU: 0 PID: 1 Comm: swapper/0 Not tainted 6.1.0 #53 Hardware name: Xilinx Versal vmk180 Eval board rev1.1 (QSPI) (DT) Call trace: dump_backtrace+0xd0/0xe0 show_stack+0x18/0x40 dump_stack_lvl+0x7c/0xa0 dump_stack+0x18/0x34 __might_resched+0x10c/0x140 __might_sleep+0x4c/0xa0 __kmem_cache_alloc_node+0xf4/0x168 kmalloc_trace+0x28/0x38 __request_percpu_irq+0x74/0x138 xlnx_event_manager_probe+0xf8/0x298 platform_probe+0x68/0xd8 [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: block: initialize integrity buffer to zero before writing it to media Metadata added by bio_integrity_prep is using plain kmalloc, which leads to random kernel memory being written media. For PI metadata this is limited to the app tag that isn't used by kernel generated metadata, but for non-PI metadata the entire buffer leaks kernel memory. Fix this by adding the __GFP_ZERO flag to allocations for writes. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: md: fix deadlock between mddev_suspend and flush bio Deadlock occurs when mddev is being suspended while some flush bio is in progress. It is a complex issue. T1. the first flush is at the ending stage, it clears 'mddev->flush_bio' and tries to submit data, but is blocked because mddev is suspended by T4. T2. the second flush sets 'mddev->flush_bio', and attempts to queue md_submit_flush_data(), which is already running (T1) and won't execute again if on the same CPU as T1. T3. the third flush inc active_io and tries to flush, but is blocked because 'mddev->flush_bio' is not NULL (set by T2). T4. mddev_suspend() is called and waits for active_io dec to 0 which is inc by T3. T1 T2 T3 T4 (flush 1) (flush 2) (third 3) (suspend) md_submit_flush_data mddev->flush_bio = NULL; . . md_flush_request . mddev->flush_bio = bio . queue submit_flushes . . . . md_handle_request . . active_io + 1 . . md_flush_request . . wait !mddev->flush_bio . . . . mddev_suspend . . wait !active_io . . . submit_flushes . queue_work md_submit_flush_data . //md_submit_flush_data is already running (T1) . md_handle_request wait resume The root issue is non-atomic inc/dec of active_io during flush process. active_io is dec before md_submit_flush_data is queued, and inc soon after md_submit_flush_data() run. md_flush_request active_io + 1 submit_flushes active_io - 1 md_submit_flush_data md_handle_request active_io + 1 make_request active_io - 1 If active_io is dec after md_handle_request() instead of within submit_flushes(), make_request() can be called directly intead of md_handle_request() in md_submit_flush_data(), and active_io will only inc and dec once in the whole flush process. Deadlock will be fixed. Additionally, the only difference between fixing the issue and before is that there is no return error handling of make_request(). But after previous patch cleaned md_write_start(), make_requst() only return error in raid5_make_request() by dm-raid, see commit 41425f96d7aa ("dm-raid456, md/raid456: fix a deadlock for dm-raid456 while io concurrent with reshape)". Since dm always splits data and flush operation into two separate io, io size of flush submitted by dm always is 0, make_request() will not be called in md_submit_flush_data(). To prevent future modifications from introducing issues, add WARN_ON to ensure make_request() no error is returned in this context. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: dma: fix call order in dmam_free_coherent dmam_free_coherent() frees a DMA allocation, which makes the freed vaddr available for reuse, then calls devres_destroy() to remove and free the data structure used to track the DMA allocation. Between the two calls, it is possible for a concurrent task to make an allocation with the same vaddr and add it to the devres list. If this happens, there will be two entries in the devres list with the same vaddr and devres_destroy() can free the wrong entry, triggering the WARN_ON() in dmam_match. Fix by destroying the devres entry before freeing the DMA allocation. kokonut //net/encryption http://sponge2/b9145fe6-0f72-4325-ac2f-a84d81075b03 [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: f2fs: fix to truncate preallocated blocks in f2fs_file_open() chenyuwen reports a f2fs bug as below: Unable to handle kernel NULL pointer dereference at virtual address 0000000000000011 fscrypt_set_bio_crypt_ctx+0x78/0x1e8 f2fs_grab_read_bio+0x78/0x208 f2fs_submit_page_read+0x44/0x154 f2fs_get_read_data_page+0x288/0x5f4 f2fs_get_lock_data_page+0x60/0x190 truncate_partial_data_page+0x108/0x4fc f2fs_do_truncate_blocks+0x344/0x5f0 f2fs_truncate_blocks+0x6c/0x134 f2fs_truncate+0xd8/0x200 f2fs_iget+0x20c/0x5ac do_garbage_collect+0x5d0/0xf6c f2fs_gc+0x22c/0x6a4 f2fs_disable_checkpoint+0xc8/0x310 f2fs_fill_super+0x14bc/0x1764 mount_bdev+0x1b4/0x21c f2fs_mount+0x20/0x30 legacy_get_tree+0x50/0xbc vfs_get_tree+0x5c/0x1b0 do_new_mount+0x298/0x4cc path_mount+0x33c/0x5fc __arm64_sys_mount+0xcc/0x15c invoke_syscall+0x60/0x150 el0_svc_common+0xb8/0xf8 do_el0_svc+0x28/0xa0 el0_svc+0x24/0x84 el0t_64_sync_handler+0x88/0xec It is because inode.i_crypt_info is not initialized during below path: - mount - f2fs_fill_super - f2fs_disable_checkpoint - f2fs_gc - f2fs_iget - f2fs_truncate So, let's relocate truncation of preallocated blocks to f2fs_file_open(), after fscrypt_file_open(). [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: remoteproc: imx_rproc: Skip over memory region when node value is NULL In imx_rproc_addr_init() "nph = of_count_phandle_with_args()" just counts number of phandles. But phandles may be empty. So of_parse_phandle() in the parsing loop (0 < a < nph) may return NULL which is later dereferenced. Adjust this issue by adding NULL-return check. Found by Linux Verification Center (linuxtesting.org) with SVACE. [Fixed title to fit within the prescribed 70-75 charcters] [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/vmwgfx: Fix a deadlock in dma buf fence polling Introduce a version of the fence ops that on release doesn't remove the fence from the pending list, and thus doesn't require a lock to fix poll->fence wait->fence unref deadlocks. vmwgfx overwrites the wait callback to iterate over the list of all fences and update their status, to do that it holds a lock to prevent the list modifcations from other threads. The fence destroy callback both deletes the fence and removes it from the list of pending fences, for which it holds a lock. dma buf polling cb unrefs a fence after it's been signaled: so the poll calls the wait, which signals the fences, which are being destroyed. The destruction tries to acquire the lock on the pending fences list which it can never get because it's held by the wait from which it was called. Old bug, but not a lot of userspace apps were using dma-buf polling interfaces. Fix those, in particular this fixes KDE stalls/deadlock. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/nouveau: prime: fix refcount underflow Calling nouveau_bo_ref() on a nouveau_bo without initializing it (and hence the backing ttm_bo) leads to a refcount underflow. Instead of calling nouveau_bo_ref() in the unwind path of drm_gem_object_init(), clean things up manually. (cherry picked from commit 1b93f3e89d03cfc576636e195466a0d728ad8de5) [NistCWE(cwe='CWE-191')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: riscv/purgatory: align riscv_kernel_entry When alignment handling is delegated to the kernel, everything must be word-aligned in purgatory, since the trap handler is then set to the kexec one. Without the alignment, hitting the exception would ultimately crash. On other occasions, the kernel's handler would take care of exceptions. This has been tested on a JH7110 SoC with oreboot and its SBI delegating unaligned access exceptions and the kernel configured to handle them. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: perf: Fix event leak upon exec and file release The perf pending task work is never waited upon the matching event release. In the case of a child event, released via free_event() directly, this can potentially result in a leaked event, such as in the following scenario that doesn't even require a weak IRQ work implementation to trigger: schedule() prepare_task_switch() =======> <NMI> perf_event_overflow() event->pending_sigtrap = ... irq_work_queue(&event->pending_irq) <======= </NMI> perf_event_task_sched_out() event_sched_out() event->pending_sigtrap = 0; atomic_long_inc_not_zero(&event->refcount) task_work_add(&event->pending_task) finish_lock_switch() =======> <IRQ> perf_pending_irq() //do nothing, rely on pending task work <======= </IRQ> begin_new_exec() perf_event_exit_task() perf_event_exit_event() // If is child event free_event() WARN(atomic_long_cmpxchg(&event->refcount, 1, 0) != 1) // event is leaked Similar scenarios can also happen with perf_event_remove_on_exec() or simply against concurrent perf_event_release(). Fix this with synchonizing against the possibly remaining pending task work while freeing the event, just like is done with remaining pending IRQ work. This means that the pending task callback neither need nor should hold a reference to the event, preventing it from ever beeing freed. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: perf: Fix event leak upon exit When a task is scheduled out, pending sigtrap deliveries are deferred to the target task upon resume to userspace via task_work. However failures while adding an event's callback to the task_work engine are ignored. And since the last call for events exit happen after task work is eventually closed, there is a small window during which pending sigtrap can be queued though ignored, leaking the event refcount addition such as in the following scenario: TASK A ----- do_exit() exit_task_work(tsk); <IRQ> perf_event_overflow() event->pending_sigtrap = pending_id; irq_work_queue(&event->pending_irq); </IRQ> =========> PREEMPTION: TASK A -> TASK B event_sched_out() event->pending_sigtrap = 0; atomic_long_inc_not_zero(&event->refcount) // FAILS: task work has exited task_work_add(&event->pending_task) [...] <IRQ WORK> perf_pending_irq() // early return: event->oncpu = -1 </IRQ WORK> [...] =========> TASK B -> TASK A perf_event_exit_task(tsk) perf_event_exit_event() free_event() WARN(atomic_long_cmpxchg(&event->refcount, 1, 0) != 1) // leak event due to unexpected refcount == 2 As a result the event is never released while the task exits. Fix this with appropriate task_work_add()'s error handling. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: devres: Fix memory leakage caused by driver API devm_free_percpu() It will cause memory leakage when use driver API devm_free_percpu() to free memory allocated by devm_alloc_percpu(), fixed by using devres_release() instead of devres_destroy() within devm_free_percpu(). [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: PCI: endpoint: Clean up error handling in vpci_scan_bus() Smatch complains about inconsistent NULL checking in vpci_scan_bus(): drivers/pci/endpoint/functions/pci-epf-vntb.c:1024 vpci_scan_bus() error: we previously assumed 'vpci_bus' could be null (see line 1021) Instead of printing an error message and then crashing we should return an error code and clean up. Also the NULL check is reversed so it prints an error for success instead of failure. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: PCI: rcar: Demote WARN() to dev_warn_ratelimited() in rcar_pcie_wakeup() Avoid large backtrace, it is sufficient to warn the user that there has been a link problem. Either the link has failed and the system is in need of maintenance, or the link continues to work and user has been informed. The message from the warning can be looked up in the sources. This makes an actual link issue less verbose. First of all, this controller has a limitation in that the controller driver has to assist the hardware with transition to L1 link state by writing L1IATN to PMCTRL register, the L1 and L0 link state switching is not fully automatic on this controller. In case of an ASMedia ASM1062 PCIe SATA controller which does not support ASPM, on entry to suspend or during platform pm_test, the SATA controller enters D3hot state and the link enters L1 state. If the SATA controller wakes up before rcar_pcie_wakeup() was called and returns to D0, the link returns to L0 before the controller driver even started its transition to L1 link state. At this point, the SATA controller did send an PM_ENTER_L1 DLLP to the PCIe controller and the PCIe controller received it, and the PCIe controller did set PMSR PMEL1RX bit. Once rcar_pcie_wakeup() is called, if the link is already back in L0 state and PMEL1RX bit is set, the controller driver has no way to determine if it should perform the link transition to L1 state, or treat the link as if it is in L0 state. Currently the driver attempts to perform the transition to L1 link state unconditionally, which in this specific case fails with a PMSR L1FAEG poll timeout, however the link still works as it is already back in L0 state. Reduce this warning verbosity. In case the link is really broken, the rcar_pcie_config_access() would fail, otherwise it will succeed and any system with this controller and ASM1062 can suspend without generating a backtrace. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: media: pci: ivtv: Add check for DMA map result In case DMA fails, 'dma->SG_length' is 0. This value is later used to access 'dma->SGarray[dma->SG_length - 1]', which will cause out of bounds access. Add check to return early on invalid value. Adjust warnings accordingly. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: cfg80211: handle 2x996 RU allocation in cfg80211_calculate_bitrate_he() Currently NL80211_RATE_INFO_HE_RU_ALLOC_2x996 is not handled in cfg80211_calculate_bitrate_he(), leading to below warning: kernel: invalid HE MCS: bw:6, ru:6 kernel: WARNING: CPU: 0 PID: 2312 at net/wireless/util.c:1501 cfg80211_calculate_bitrate_he+0x22b/0x270 [cfg80211] Fix it by handling 2x996 RU allocation in the same way as 160 MHz bandwidth. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mlxsw: spectrum_acl_erp: Fix object nesting warning ACLs in Spectrum-2 and newer ASICs can reside in the algorithmic TCAM (A-TCAM) or in the ordinary circuit TCAM (C-TCAM). The former can contain more ACLs (i.e., tc filters), but the number of masks in each region (i.e., tc chain) is limited. In order to mitigate the effects of the above limitation, the device allows filters to share a single mask if their masks only differ in up to 8 consecutive bits. For example, dst_ip/25 can be represented using dst_ip/24 with a delta of 1 bit. The C-TCAM does not have a limit on the number of masks being used (and therefore does not support mask aggregation), but can contain a limited number of filters. The driver uses the "objagg" library to perform the mask aggregation by passing it objects that consist of the filter's mask and whether the filter is to be inserted into the A-TCAM or the C-TCAM since filters in different TCAMs cannot share a mask. The set of created objects is dependent on the insertion order of the filters and is not necessarily optimal. Therefore, the driver will periodically ask the library to compute a more optimal set ("hints") by looking at all the existing objects. When the library asks the driver whether two objects can be aggregated the driver only compares the provided masks and ignores the A-TCAM / C-TCAM indication. This is the right thing to do since the goal is to move as many filters as possible to the A-TCAM. The driver also forbids two identical masks from being aggregated since this can only happen if one was intentionally put in the C-TCAM to avoid a conflict in the A-TCAM. The above can result in the following set of hints: H1: {mask X, A-TCAM} -> H2: {mask Y, A-TCAM} // X is Y + delta H3: {mask Y, C-TCAM} -> H4: {mask Z, A-TCAM} // Y is Z + delta After getting the hints from the library the driver will start migrating filters from one region to another while consulting the computed hints and instructing the device to perform a lookup in both regions during the transition. Assuming a filter with mask X is being migrated into the A-TCAM in the new region, the hints lookup will return H1. Since H2 is the parent of H1, the library will try to find the object associated with it and create it if necessary in which case another hints lookup (recursive) will be performed. This hints lookup for {mask Y, A-TCAM} will either return H2 or H3 since the driver passes the library an object comparison function that ignores the A-TCAM / C-TCAM indication. This can eventually lead to nested objects which are not supported by the library [1]. Fix by removing the object comparison function from both the driver and the library as the driver was the only user. That way the lookup will only return exact matches. I do not have a reliable reproducer that can reproduce the issue in a timely manner, but before the fix the issue would reproduce in several minutes and with the fix it does not reproduce in over an hour. Note that the current usefulness of the hints is limited because they include the C-TCAM indication and represent aggregation that cannot actually happen. This will be addressed in net-next. [1] WARNING: CPU: 0 PID: 153 at lib/objagg.c:170 objagg_obj_parent_assign+0xb5/0xd0 Modules linked in: CPU: 0 PID: 153 Comm: kworker/0:18 Not tainted 6.9.0-rc6-custom-g70fbc2c1c38b #42 Hardware name: Mellanox Technologies Ltd. MSN3700C/VMOD0008, BIOS 5.11 10/10/2018 Workqueue: mlxsw_core mlxsw_sp_acl_tcam_vregion_rehash_work RIP: 0010:objagg_obj_parent_assign+0xb5/0xd0 [...] Call Trace: <TASK> __objagg_obj_get+0x2bb/0x580 objagg_obj_get+0xe/0x80 mlxsw_sp_acl_erp_mask_get+0xb5/0xf0 mlxsw_sp_acl_atcam_entry_add+0xe8/0x3c0 mlxsw_sp_acl_tcam_entry_create+0x5e/0xa0 mlxsw_sp_acl_tcam_vchunk_migrate_one+0x16b/0x270 mlxsw_sp_acl_tcam_vregion_rehash_work+0xbe/0x510 process_one_work+0x151/0x370 [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: exec: Fix ToCToU between perm check and set-uid/gid usage When opening a file for exec via do_filp_open(), permission checking is done against the file's metadata at that moment, and on success, a file pointer is passed back. Much later in the execve() code path, the file metadata (specifically mode, uid, and gid) is used to determine if/how to set the uid and gid. However, those values may have changed since the permissions check, meaning the execution may gain unintended privileges. For example, if a file could change permissions from executable and not set-id: ---------x 1 root root 16048 Aug 7 13:16 target to set-id and non-executable: ---S------ 1 root root 16048 Aug 7 13:16 target it is possible to gain root privileges when execution should have been disallowed. While this race condition is rare in real-world scenarios, it has been observed (and proven exploitable) when package managers are updating the setuid bits of installed programs. Such files start with being world-executable but then are adjusted to be group-exec with a set-uid bit. For example, "chmod o-x,u+s target" makes "target" executable only by uid "root" and gid "cdrom", while also becoming setuid-root: -rwxr-xr-x 1 root cdrom 16048 Aug 7 13:16 target becomes: -rwsr-xr-- 1 root cdrom 16048 Aug 7 13:16 target But racing the chmod means users without group "cdrom" membership can get the permission to execute "target" just before the chmod, and when the chmod finishes, the exec reaches brpm_fill_uid(), and performs the setuid to root, violating the expressed authorization of "only cdrom group members can setuid to root". Re-check that we still have execute permissions in case the metadata has changed. It would be better to keep a copy from the perm-check time, but until we can do that refactoring, the least-bad option is to do a full inode_permission() call (under inode lock). It is understood that this is safe against dead-locks, but hardly optimal. [NistCWE(cwe='CWE-367'), NistCWE(cwe='CWE-367')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: MGMT: Add error handling to pair_device() hci_conn_params_add() never checks for a NULL value and could lead to a NULL pointer dereference causing a crash. Fixed by adding error handling in the function. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: padata: Fix possible divide-by-0 panic in padata_mt_helper() We are hit with a not easily reproducible divide-by-0 panic in padata.c at bootup time. [ 10.017908] Oops: divide error: 0000 1 PREEMPT SMP NOPTI [ 10.017908] CPU: 26 PID: 2627 Comm: kworker/u1666:1 Not tainted 6.10.0-15.el10.x86_64 #1 [ 10.017908] Hardware name: Lenovo ThinkSystem SR950 [7X12CTO1WW]/[7X12CTO1WW], BIOS [PSE140J-2.30] 07/20/2021 [ 10.017908] Workqueue: events_unbound padata_mt_helper [ 10.017908] RIP: 0010:padata_mt_helper+0x39/0xb0 : [ 10.017963] Call Trace: [ 10.017968] <TASK> [ 10.018004] ? padata_mt_helper+0x39/0xb0 [ 10.018084] process_one_work+0x174/0x330 [ 10.018093] worker_thread+0x266/0x3a0 [ 10.018111] kthread+0xcf/0x100 [ 10.018124] ret_from_fork+0x31/0x50 [ 10.018138] ret_from_fork_asm+0x1a/0x30 [ 10.018147] </TASK> Looking at the padata_mt_helper() function, the only way a divide-by-0 panic can happen is when ps->chunk_size is 0. The way that chunk_size is initialized in padata_do_multithreaded(), chunk_size can be 0 when the min_chunk in the passed-in padata_mt_job structure is 0. Fix this divide-by-0 panic by making sure that chunk_size will be at least 1 no matter what the input parameters are. [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tracing: Fix overflow in get_free_elt() "tracing_map->next_elt" in get_free_elt() is at risk of overflowing. Once it overflows, new elements can still be inserted into the tracing_map even though the maximum number of elements (`max_elts`) has been reached. Continuing to insert elements after the overflow could result in the tracing_map containing "tracing_map->max_size" elements, leaving no empty entries. If any attempt is made to insert an element into a full tracing_map using `__tracing_map_insert()`, it will cause an infinite loop with preemption disabled, leading to a CPU hang problem. Fix this by preventing any further increments to "tracing_map->next_elt" once it reaches "tracing_map->max_elt". [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: memcg: protect concurrent access to mem_cgroup_idr Commit 73f576c04b94 ("mm: memcontrol: fix cgroup creation failure after many small jobs") decoupled the memcg IDs from the CSS ID space to fix the cgroup creation failures. It introduced IDR to maintain the memcg ID space. The IDR depends on external synchronization mechanisms for modifications. For the mem_cgroup_idr, the idr_alloc() and idr_replace() happen within css callback and thus are protected through cgroup_mutex from concurrent modifications. However idr_remove() for mem_cgroup_idr was not protected against concurrency and can be run concurrently for different memcgs when they hit their refcnt to zero. Fix that. We have been seeing list_lru based kernel crashes at a low frequency in our fleet for a long time. These crashes were in different part of list_lru code including list_lru_add(), list_lru_del() and reparenting code. Upon further inspection, it looked like for a given object (dentry and inode), the super_block's list_lru didn't have list_lru_one for the memcg of that object. The initial suspicions were either the object is not allocated through kmem_cache_alloc_lru() or somehow memcg_list_lru_alloc() failed to allocate list_lru_one() for a memcg but returned success. No evidence were found for these cases. Looking more deeply, we started seeing situations where valid memcg's id is not present in mem_cgroup_idr and in some cases multiple valid memcgs have same id and mem_cgroup_idr is pointing to one of them. So, the most reasonable explanation is that these situations can happen due to race between multiple idr_remove() calls or race between idr_alloc()/idr_replace() and idr_remove(). These races are causing multiple memcgs to acquire the same ID and then offlining of one of them would cleanup list_lrus on the system for all of them. Later access from other memcgs to the list_lru cause crashes due to missing list_lru_one. [] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: serial: core: check uartclk for zero to avoid divide by zero Calling ioctl TIOCSSERIAL with an invalid baud_base can result in uartclk being zero, which will result in a divide by zero error in uart_get_divisor(). The check for uartclk being zero in uart_set_info() needs to be done before other settings are made as subsequent calls to ioctl TIOCSSERIAL for the same port would be impacted if the uartclk check was done where uartclk gets set. Oops: divide error: 0000 PREEMPT SMP KASAN PTI RIP: 0010:uart_get_divisor (drivers/tty/serial/serial_core.c:580) Call Trace: <TASK> serial8250_get_divisor (drivers/tty/serial/8250/8250_port.c:2576 drivers/tty/serial/8250/8250_port.c:2589) serial8250_do_set_termios (drivers/tty/serial/8250/8250_port.c:502 drivers/tty/serial/8250/8250_port.c:2741) serial8250_set_termios (drivers/tty/serial/8250/8250_port.c:2862) uart_change_line_settings (./include/linux/spinlock.h:376 ./include/linux/serial_core.h:608 drivers/tty/serial/serial_core.c:222) uart_port_startup (drivers/tty/serial/serial_core.c:342) uart_startup (drivers/tty/serial/serial_core.c:368) uart_set_info (drivers/tty/serial/serial_core.c:1034) uart_set_info_user (drivers/tty/serial/serial_core.c:1059) tty_set_serial (drivers/tty/tty_io.c:2637) tty_ioctl (drivers/tty/tty_io.c:2647 drivers/tty/tty_io.c:2791) __x64_sys_ioctl (fs/ioctl.c:52 fs/ioctl.c:907 fs/ioctl.c:893 fs/ioctl.c:893) do_syscall_64 (arch/x86/entry/common.c:52 (discriminator 1) arch/x86/entry/common.c:83 (discriminator 1)) entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:130) Rule: add [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/client: fix null pointer dereference in drm_client_modeset_probe In drm_client_modeset_probe(), the return value of drm_mode_duplicate() is assigned to modeset->mode, which will lead to a possible NULL pointer dereference on failure of drm_mode_duplicate(). Add a check to avoid npd. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: drop bad gso csum_start and offset in virtio_net_hdr Tighten csum_start and csum_offset checks in virtio_net_hdr_to_skb for GSO packets. The function already checks that a checksum requested with VIRTIO_NET_HDR_F_NEEDS_CSUM is in skb linear. But for GSO packets this might not hold for segs after segmentation. Syzkaller demonstrated to reach this warning in skb_checksum_help offset = skb_checksum_start_offset(skb); ret = -EINVAL; if (WARN_ON_ONCE(offset >= skb_headlen(skb))) By injecting a TSO packet: WARNING: CPU: 1 PID: 3539 at net/core/dev.c:3284 skb_checksum_help+0x3d0/0x5b0 ip_do_fragment+0x209/0x1b20 net/ipv4/ip_output.c:774 ip_finish_output_gso net/ipv4/ip_output.c:279 [inline] __ip_finish_output+0x2bd/0x4b0 net/ipv4/ip_output.c:301 iptunnel_xmit+0x50c/0x930 net/ipv4/ip_tunnel_core.c:82 ip_tunnel_xmit+0x2296/0x2c70 net/ipv4/ip_tunnel.c:813 __gre_xmit net/ipv4/ip_gre.c:469 [inline] ipgre_xmit+0x759/0xa60 net/ipv4/ip_gre.c:661 __netdev_start_xmit include/linux/netdevice.h:4850 [inline] netdev_start_xmit include/linux/netdevice.h:4864 [inline] xmit_one net/core/dev.c:3595 [inline] dev_hard_start_xmit+0x261/0x8c0 net/core/dev.c:3611 __dev_queue_xmit+0x1b97/0x3c90 net/core/dev.c:4261 packet_snd net/packet/af_packet.c:3073 [inline] The geometry of the bad input packet at tcp_gso_segment: [ 52.003050][ T8403] skb len=12202 headroom=244 headlen=12093 tailroom=0 [ 52.003050][ T8403] mac=(168,24) mac_len=24 net=(192,52) trans=244 [ 52.003050][ T8403] shinfo(txflags=0 nr_frags=1 gso(size=1552 type=3 segs=0)) [ 52.003050][ T8403] csum(0x60000c7 start=199 offset=1536 ip_summed=3 complete_sw=0 valid=0 level=0) Mitigate with stricter input validation. csum_offset: for GSO packets, deduce the correct value from gso_type. This is already done for USO. Extend it to TSO. Let UFO be: udp[46]_ufo_fragment ignores these fields and always computes the checksum in software. csum_start: finding the real offset requires parsing to the transport header. Do not add a parser, use existing segmentation parsing. Thanks to SKB_GSO_DODGY, that also catches bad packets that are hw offloaded. Again test both TSO and USO. Do not test UFO for the above reason, and do not test UDP tunnel offload. GSO packet are almost always CHECKSUM_PARTIAL. USO packets may be CHECKSUM_NONE since commit 10154dbded6d6 ("udp: Allow GSO transmit from devices with no checksum offload"), but then still these fields are initialized correctly in udp4_hwcsum/udp6_hwcsum_outgoing. So no need to test for ip_summed == CHECKSUM_PARTIAL first. This revises an existing fix mentioned in the Fixes tag, which broke small packets with GSO offload, as detected by kselftests. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Add null checker before passing variables Checks null pointer before passing variables to functions. This fixes 3 NULL_RETURNS issues reported by Coverity. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Add null checks for 'stream' and 'plane' before dereferencing This commit adds null checks for the 'stream' and 'plane' variables in the dcn30_apply_idle_power_optimizations function. These variables were previously assumed to be null at line 922, but they were used later in the code without checking if they were null. This could potentially lead to a null pointer dereference, which would cause a crash. The null checks ensure that 'stream' and 'plane' are not null before they are used, preventing potential crashes. Fixes the below static smatch checker: drivers/gpu/drm/amd/amdgpu/../display/dc/hwss/dcn30/dcn30_hwseq.c:938 dcn30_apply_idle_power_optimizations() error: we previously assumed 'stream' could be null (see line 922) drivers/gpu/drm/amd/amdgpu/../display/dc/hwss/dcn30/dcn30_hwseq.c:940 dcn30_apply_idle_power_optimizations() error: we previously assumed 'plane' could be null (see line 922) [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/pm: Fix the null pointer dereference for vega10_hwmgr Check return value and conduct null pointer handling to avoid null pointer dereference. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu/pm: Fix the null pointer dereference for smu7 optimize the code to avoid pass a null pointer (hwmgr->backend) to function smu7_update_edc_leakage_table. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: nl80211: disallow setting special AP channel widths Setting the AP channel width is meant for use with the normal 20/40/... MHz channel width progression, and switching around in S1G or narrow channels isn't supported. Disallow that. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 webkit2gtk The issue was addressed with improved checks. This issue is fixed in Safari 17.6, iOS 17.6 and iPadOS 17.6, macOS Sonoma 14.6, tvOS 17.6, visionOS 1.3, watchOS 10.6. Processing maliciously crafted web content may lead to an unexpected process crash. [] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk A cross-origin issue existed with "iframe" elements. This was addressed with improved tracking of security origins. This issue is fixed in Safari 18, iOS 18 and iPadOS 18, macOS Sequoia 15, tvOS 18, visionOS 2, watchOS 11. A malicious website may exfiltrate data cross-origin. [NistCWE(cwe='CWE-346'), NistCWE(cwe='CWE-346')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk The issue was addressed with improved checks. This issue is fixed in Safari 18, iOS 18 and iPadOS 18, macOS Sequoia 15, tvOS 18, visionOS 2, watchOS 11. Processing maliciously crafted web content may lead to an unexpected process crash. [NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk A memory corruption issue was addressed with improved input validation. This issue is fixed in Safari 18.1, iOS 18.1 and iPadOS 18.1, macOS Sequoia 15.1, tvOS 18.1, visionOS 2.1, watchOS 11.1. Processing maliciously crafted web content may lead to an unexpected process crash. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L', score=4.3) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk The issue was addressed with improved checks. This issue is fixed in Safari 18.1, iOS 17.7.1 and iPadOS 17.7.1, iOS 18.1 and iPadOS 18.1, macOS Sequoia 15.1, tvOS 18.1, visionOS 2.1, watchOS 11.1. Processing maliciously crafted web content may prevent Content Security Policy from being enforced. [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N', score=5.4) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk The issue was addressed with improved checks. This issue is fixed in Safari 18.1.1, iOS 17.7.2 and iPadOS 17.7.2, iOS 18.1.1 and iPadOS 18.1.1, macOS Sequoia 15.1.1, visionOS 2.1.1. Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited on Intel-based Mac systems. [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 webkit2gtk A cookie management issue was addressed with improved state management. This issue is fixed in Safari 18.1.1, iOS 17.7.2 and iPadOS 17.7.2, iOS 18.1.1 and iPadOS 18.1.1, macOS Sequoia 15.1.1, visionOS 2.1.1. Processing maliciously crafted web content may lead to a cross site scripting attack. Apple is aware of a report that this issue may have been actively exploited on Intel-based Mac systems. [NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L', score=6.3) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: bridge: mcast: wait for previous gc cycles when removing port syzbot hit a use-after-free[1] which is caused because the bridge doesn't make sure that all previous garbage has been collected when removing a port. What happens is: CPU 1 CPU 2 start gc cycle remove port acquire gc lock first wait for lock call br_multicasg_gc() directly acquire lock now but free port the port can be freed while grp timers still running Make sure all previous gc cycles have finished by using flush_work before freeing the port. [1] BUG: KASAN: slab-use-after-free in br_multicast_port_group_expired+0x4c0/0x550 net/bridge/br_multicast.c:861 Read of size 8 at addr ffff888071d6d000 by task syz.5.1232/9699 CPU: 1 PID: 9699 Comm: syz.5.1232 Not tainted 6.10.0-rc5-syzkaller-00021-g24ca36a562d6 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 06/07/2024 Call Trace: <IRQ> __dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0x116/0x1f0 lib/dump_stack.c:114 print_address_description mm/kasan/report.c:377 [inline] print_report+0xc3/0x620 mm/kasan/report.c:488 kasan_report+0xd9/0x110 mm/kasan/report.c:601 br_multicast_port_group_expired+0x4c0/0x550 net/bridge/br_multicast.c:861 call_timer_fn+0x1a3/0x610 kernel/time/timer.c:1792 expire_timers kernel/time/timer.c:1843 [inline] __run_timers+0x74b/0xaf0 kernel/time/timer.c:2417 __run_timer_base kernel/time/timer.c:2428 [inline] __run_timer_base kernel/time/timer.c:2421 [inline] run_timer_base+0x111/0x190 kernel/time/timer.c:2437 [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: sctp: Fix null-ptr-deref in reuseport_add_sock(). syzbot reported a null-ptr-deref while accessing sk2->sk_reuseport_cb in reuseport_add_sock(). [0] The repro first creates a listener with SO_REUSEPORT. Then, it creates another listener on the same port and concurrently closes the first listener. The second listen() calls reuseport_add_sock() with the first listener as sk2, where sk2->sk_reuseport_cb is not expected to be cleared concurrently, but the close() does clear it by reuseport_detach_sock(). The problem is SCTP does not properly synchronise reuseport_alloc(), reuseport_add_sock(), and reuseport_detach_sock(). The caller of reuseport_alloc() and reuseport_{add,detach}_sock() must provide synchronisation for sockets that are classified into the same reuseport group. Otherwise, such sockets form multiple identical reuseport groups, and all groups except one would be silently dead. 1. Two sockets call listen() concurrently 2. No socket in the same group found in sctp_ep_hashtable[] 3. Two sockets call reuseport_alloc() and form two reuseport groups 4. Only one group hit first in __sctp_rcv_lookup_endpoint() receives incoming packets Also, the reported null-ptr-deref could occur. TCP/UDP guarantees that would not happen by holding the hash bucket lock. Let's apply the locking strategy to __sctp_hash_endpoint() and __sctp_unhash_endpoint(). [0]: Oops: general protection fault, probably for non-canonical address 0xdffffc0000000002: 0000 [#1] PREEMPT SMP KASAN PTI KASAN: null-ptr-deref in range [0x0000000000000010-0x0000000000000017] CPU: 1 UID: 0 PID: 10230 Comm: syz-executor119 Not tainted 6.10.0-syzkaller-12585-g301927d2d2eb #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 06/27/2024 RIP: 0010:reuseport_add_sock+0x27e/0x5e0 net/core/sock_reuseport.c:350 Code: 00 0f b7 5d 00 bf 01 00 00 00 89 de e8 1b a4 ff f7 83 fb 01 0f 85 a3 01 00 00 e8 6d a0 ff f7 49 8d 7e 12 48 89 f8 48 c1 e8 03 <42> 0f b6 04 28 84 c0 0f 85 4b 02 00 00 41 0f b7 5e 12 49 8d 7e 14 RSP: 0018:ffffc9000b947c98 EFLAGS: 00010202 RAX: 0000000000000002 RBX: ffff8880252ddf98 RCX: ffff888079478000 RDX: 0000000000000000 RSI: 0000000000000001 RDI: 0000000000000012 RBP: 0000000000000001 R08: ffffffff8993e18d R09: 1ffffffff1fef385 R10: dffffc0000000000 R11: fffffbfff1fef386 R12: ffff8880252ddac0 R13: dffffc0000000000 R14: 0000000000000000 R15: 0000000000000000 FS: 00007f24e45b96c0(0000) GS:ffff8880b9300000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007ffcced5f7b8 CR3: 00000000241be000 CR4: 00000000003506f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> __sctp_hash_endpoint net/sctp/input.c:762 [inline] sctp_hash_endpoint+0x52a/0x600 net/sctp/input.c:790 sctp_listen_start net/sctp/socket.c:8570 [inline] sctp_inet_listen+0x767/0xa20 net/sctp/socket.c:8625 __sys_listen_socket net/socket.c:1883 [inline] __sys_listen+0x1b7/0x230 net/socket.c:1894 __do_sys_listen net/socket.c:1902 [inline] __se_sys_listen net/socket.c:1900 [inline] __x64_sys_listen+0x5a/0x70 net/socket.c:1900 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f24e46039b9 Code: 28 00 00 00 75 05 48 83 c4 28 c3 e8 91 1a 00 00 90 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 c7 c1 b0 ff ff ff f7 d8 64 89 01 48 RSP: 002b:00007f24e45b9228 EFLAGS: 00000246 ORIG_RAX: 0000000000000032 RAX: ffffffffffffffda RBX: 00007f24e468e428 RCX: 00007f24e46039b9 RDX: 00007f24e46039b9 RSI: 0000000000000003 RDI: 0000000000000004 RBP: 00007f24e468e420 R08: 00007f24e45b96c0 R09: 00007f24e45b96c0 R10: 00007f24e45b96c0 R11: 0000000000000246 R12: 00007f24e468e42c R13: ---truncated--- [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: jfs: fix null ptr deref in dtInsertEntry [syzbot reported] general protection fault, probably for non-canonical address 0xdffffc0000000001: 0000 [#1] PREEMPT SMP KASAN PTI KASAN: null-ptr-deref in range [0x0000000000000008-0x000000000000000f] CPU: 0 PID: 5061 Comm: syz-executor404 Not tainted 6.8.0-syzkaller-08951-gfe46a7dd189e #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 03/27/2024 RIP: 0010:dtInsertEntry+0xd0c/0x1780 fs/jfs/jfs_dtree.c:3713 ... [Analyze] In dtInsertEntry(), when the pointer h has the same value as p, after writing name in UniStrncpy_to_le(), p->header.flag will be cleared. This will cause the previously true judgment "p->header.flag & BT-LEAF" to change to no after writing the name operation, this leads to entering an incorrect branch and accessing the uninitialized object ih when judging this condition for the second time. [Fix] After got the page, check freelist first, if freelist == 0 then exit dtInsert() and return -EINVAL. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fou: remove warn in gue_gro_receive on unsupported protocol Drop the WARN_ON_ONCE inn gue_gro_receive if the encapsulated type is not known or does not have a GRO handler. Such a packet is easily constructed. Syzbot generates them and sets off this warning. Remove the warning as it is expected and not actionable. The warning was previously reduced from WARN_ON to WARN_ON_ONCE in commit 270136613bf7 ("fou: Do WARN_ON_ONCE in gue_gro_receive for bad proto callbacks"). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: ctnetlink: use helper function to calculate expect ID Delete expectation path is missing a call to the nf_expect_get_id() helper function to calculate the expectation ID, otherwise LSB of the expectation object address is leaked to userspace. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: kcm: Serialise kcm_sendmsg() for the same socket. syzkaller reported UAF in kcm_release(). [0] The scenario is 1. Thread A builds a skb with MSG_MORE and sets kcm->seq_skb. 2. Thread A resumes building skb from kcm->seq_skb but is blocked by sk_stream_wait_memory() 3. Thread B calls sendmsg() concurrently, finishes building kcm->seq_skb and puts the skb to the write queue 4. Thread A faces an error and finally frees skb that is already in the write queue 5. kcm_release() does double-free the skb in the write queue When a thread is building a MSG_MORE skb, another thread must not touch it. Let's add a per-sk mutex and serialise kcm_sendmsg(). [0]: BUG: KASAN: slab-use-after-free in __skb_unlink include/linux/skbuff.h:2366 [inline] BUG: KASAN: slab-use-after-free in __skb_dequeue include/linux/skbuff.h:2385 [inline] BUG: KASAN: slab-use-after-free in __skb_queue_purge_reason include/linux/skbuff.h:3175 [inline] BUG: KASAN: slab-use-after-free in __skb_queue_purge include/linux/skbuff.h:3181 [inline] BUG: KASAN: slab-use-after-free in kcm_release+0x170/0x4c8 net/kcm/kcmsock.c:1691 Read of size 8 at addr ffff0000ced0fc80 by task syz-executor329/6167 CPU: 1 PID: 6167 Comm: syz-executor329 Tainted: G B 6.8.0-rc5-syzkaller-g9abbc24128bc #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/25/2024 Call trace: dump_backtrace+0x1b8/0x1e4 arch/arm64/kernel/stacktrace.c:291 show_stack+0x2c/0x3c arch/arm64/kernel/stacktrace.c:298 __dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0xd0/0x124 lib/dump_stack.c:106 print_address_description mm/kasan/report.c:377 [inline] print_report+0x178/0x518 mm/kasan/report.c:488 kasan_report+0xd8/0x138 mm/kasan/report.c:601 __asan_report_load8_noabort+0x20/0x2c mm/kasan/report_generic.c:381 __skb_unlink include/linux/skbuff.h:2366 [inline] __skb_dequeue include/linux/skbuff.h:2385 [inline] __skb_queue_purge_reason include/linux/skbuff.h:3175 [inline] __skb_queue_purge include/linux/skbuff.h:3181 [inline] kcm_release+0x170/0x4c8 net/kcm/kcmsock.c:1691 __sock_release net/socket.c:659 [inline] sock_close+0xa4/0x1e8 net/socket.c:1421 __fput+0x30c/0x738 fs/file_table.c:376 ____fput+0x20/0x30 fs/file_table.c:404 task_work_run+0x230/0x2e0 kernel/task_work.c:180 exit_task_work include/linux/task_work.h:38 [inline] do_exit+0x618/0x1f64 kernel/exit.c:871 do_group_exit+0x194/0x22c kernel/exit.c:1020 get_signal+0x1500/0x15ec kernel/signal.c:2893 do_signal+0x23c/0x3b44 arch/arm64/kernel/signal.c:1249 do_notify_resume+0x74/0x1f4 arch/arm64/kernel/entry-common.c:148 exit_to_user_mode_prepare arch/arm64/kernel/entry-common.c:169 [inline] exit_to_user_mode arch/arm64/kernel/entry-common.c:178 [inline] el0_svc+0xac/0x168 arch/arm64/kernel/entry-common.c:713 el0t_64_sync_handler+0x84/0xfc arch/arm64/kernel/entry-common.c:730 el0t_64_sync+0x190/0x194 arch/arm64/kernel/entry.S:598 Allocated by task 6166: kasan_save_stack mm/kasan/common.c:47 [inline] kasan_save_track+0x40/0x78 mm/kasan/common.c:68 kasan_save_alloc_info+0x70/0x84 mm/kasan/generic.c:626 unpoison_slab_object mm/kasan/common.c:314 [inline] __kasan_slab_alloc+0x74/0x8c mm/kasan/common.c:340 kasan_slab_alloc include/linux/kasan.h:201 [inline] slab_post_alloc_hook mm/slub.c:3813 [inline] slab_alloc_node mm/slub.c:3860 [inline] kmem_cache_alloc_node+0x204/0x4c0 mm/slub.c:3903 __alloc_skb+0x19c/0x3d8 net/core/skbuff.c:641 alloc_skb include/linux/skbuff.h:1296 [inline] kcm_sendmsg+0x1d3c/0x2124 net/kcm/kcmsock.c:783 sock_sendmsg_nosec net/socket.c:730 [inline] __sock_sendmsg net/socket.c:745 [inline] sock_sendmsg+0x220/0x2c0 net/socket.c:768 splice_to_socket+0x7cc/0xd58 fs/splice.c:889 do_splice_from fs/splice.c:941 [inline] direct_splice_actor+0xec/0x1d8 fs/splice.c:1164 splice_direct_to_actor+0x438/0xa0c fs/splice.c:1108 do_splice_direct_actor ---truncated--- [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fuse: Initialize beyond-EOF page contents before setting uptodate fuse_notify_store(), unlike fuse_do_readpage(), does not enable page zeroing (because it can be used to change partial page contents). So fuse_notify_store() must be more careful to fully initialize page contents (including parts of the page that are beyond end-of-file) before marking the page uptodate. The current code can leave beyond-EOF page contents uninitialized, which makes these uninitialized page contents visible to userspace via mmap(). This is an information leak, but only affects systems which do not enable init-on-alloc (via CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y or the corresponding kernel command line parameter). [NistCWE(cwe='CWE-665')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: sched/smt: Fix unbalance sched_smt_present dec/inc I got the following warn report while doing stress test: jump label: negative count! WARNING: CPU: 3 PID: 38 at kernel/jump_label.c:263 static_key_slow_try_dec+0x9d/0xb0 Call Trace: <TASK> __static_key_slow_dec_cpuslocked+0x16/0x70 sched_cpu_deactivate+0x26e/0x2a0 cpuhp_invoke_callback+0x3ad/0x10d0 cpuhp_thread_fun+0x3f5/0x680 smpboot_thread_fn+0x56d/0x8d0 kthread+0x309/0x400 ret_from_fork+0x41/0x70 ret_from_fork_asm+0x1b/0x30 </TASK> Because when cpuset_cpu_inactive() fails in sched_cpu_deactivate(), the cpu offline failed, but sched_smt_present is decremented before calling sched_cpu_deactivate(), it leads to unbalanced dec/inc, so fix it by incrementing sched_smt_present in the error path. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: usb: gadget: core: Check for unset descriptor Make sure the descriptor has been set before looking at maxpacket. This fixes a null pointer panic in this case. This may happen if the gadget doesn't properly set up the endpoint for the current speed, or the gadget descriptors are malformed and the descriptor for the speed/endpoint are not found. No current gadget driver is known to have this problem, but this may cause a hard-to-find bug during development of new gadgets. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: x86/mm: Fix pti_clone_pgtable() alignment assumption Guenter reported dodgy crashes on an i386-nosmp build using GCC-11 that had the form of endless traps until entry stack exhaust and then #DF from the stack guard. It turned out that pti_clone_pgtable() had alignment assumptions on the start address, notably it hard assumes start is PMD aligned. This is true on x86_64, but very much not true on i386. These assumptions can cause the end condition to malfunction, leading to a 'short' clone. Guess what happens when the user mapping has a short copy of the entry text? Use the correct increment form for addr to avoid alignment assumptions. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: binfmt_flat: Fix corruption when not offsetting data start Commit 04d82a6d0881 ("binfmt_flat: allow not offsetting data start") introduced a RISC-V specific variant of the FLAT format which does not allocate any space for the (obsolete) array of shared library pointers. However, it did not disable the code which initializes the array, resulting in the corruption of sizeof(long) bytes before the DATA segment, generally the end of the TEXT segment. Introduce MAX_SHARED_LIBS_UPDATE which depends on the state of CONFIG_BINFMT_FLAT_NO_DATA_START_OFFSET to guard the initialization of the shared library pointer region so that it will only be initialized if space is reserved for it. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/mgag200: Bind I2C lifetime to DRM device Managed cleanup with devm_add_action_or_reset() will release the I2C adapter when the underlying Linux device goes away. But the connector still refers to it, so this cleanup leaves behind a stale pointer in struct drm_connector.ddc. Bind the lifetime of the I2C adapter to the connector's lifetime by using DRM's managed release. When the DRM device goes away (after the Linux device) DRM will first clean up the connector and then clean up the I2C adapter. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5e: SHAMPO, Fix invalid WQ linked list unlink When all the strides in a WQE have been consumed, the WQE is unlinked from the WQ linked list (mlx5_wq_ll_pop()). For SHAMPO, it is possible to receive CQEs with 0 consumed strides for the same WQE even after the WQE is fully consumed and unlinked. This triggers an additional unlink for the same wqe which corrupts the linked list. Fix this scenario by accepting 0 sized consumed strides without unlinking the WQE again. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: dsa: bcm_sf2: Fix a possible memory leak in bcm_sf2_mdio_register() bcm_sf2_mdio_register() calls of_phy_find_device() and then phy_device_remove() in a loop to remove existing PHY devices. of_phy_find_device() eventually calls bus_find_device(), which calls get_device() on the returned struct device * to increment the refcount. The current implementation does not decrement the refcount, which causes memory leak. This commit adds the missing phy_device_free() call to decrement the refcount via put_device() to balance the refcount. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mptcp: pm: avoid possible UaF when selecting endp select_local_address() and select_signal_address() both select an endpoint entry from the list inside an RCU protected section, but return a reference to it, to be read later on. If the entry is dereferenced after the RCU unlock, reading info could cause a Use-after-Free. A simple solution is to copy the required info while inside the RCU protected section to avoid any risk of UaF later. The address ID might need to be modified later to handle the ID0 case later, so a copy seems OK to deal with. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: Validate TA binary size Add TA binary size validation to avoid OOB write. (cherry picked from commit c0a04e3570d72aaf090962156ad085e37c62e442) [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/msm/dpu: cleanup FB if dpu_format_populate_layout fails If the dpu_format_populate_layout() fails, then FB is prepared, but not cleaned up. This ends up leaking the pin_count on the GEM object and causes a splat during DRM file closure: msm_obj->pin_count WARNING: CPU: 2 PID: 569 at drivers/gpu/drm/msm/msm_gem.c:121 update_lru_locked+0xc4/0xcc [...] Call trace: update_lru_locked+0xc4/0xcc put_pages+0xac/0x100 msm_gem_free_object+0x138/0x180 drm_gem_object_free+0x1c/0x30 drm_gem_object_handle_put_unlocked+0x108/0x10c drm_gem_object_release_handle+0x58/0x70 idr_for_each+0x68/0xec drm_gem_release+0x28/0x40 drm_file_free+0x174/0x234 drm_release+0xb0/0x160 __fput+0xc0/0x2c8 __fput_sync+0x50/0x5c __arm64_sys_close+0x38/0x7c invoke_syscall+0x48/0x118 el0_svc_common.constprop.0+0x40/0xe0 do_el0_svc+0x1c/0x28 el0_svc+0x4c/0x120 el0t_64_sync_handler+0x100/0x12c el0t_64_sync+0x190/0x194 irq event stamp: 129818 hardirqs last enabled at (129817): [<ffffa5f6d953fcc0>] console_unlock+0x118/0x124 hardirqs last disabled at (129818): [<ffffa5f6da7dcf04>] el1_dbg+0x24/0x8c softirqs last enabled at (129808): [<ffffa5f6d94afc18>] handle_softirqs+0x4c8/0x4e8 softirqs last disabled at (129785): [<ffffa5f6d94105e4>] __do_softirq+0x14/0x20 Patchwork: https://patchwork.freedesktop.org/patch/600714/ [NistCWE(cwe='CWE-459')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: flowtable: validate vlan header Ensure there is sufficient room to access the protocol field of the VLAN header, validate it once before the flowtable lookup. ===================================================== BUG: KMSAN: uninit-value in nf_flow_offload_inet_hook+0x45a/0x5f0 net/netfilter/nf_flow_table_inet.c:32 nf_flow_offload_inet_hook+0x45a/0x5f0 net/netfilter/nf_flow_table_inet.c:32 nf_hook_entry_hookfn include/linux/netfilter.h:154 [inline] nf_hook_slow+0xf4/0x400 net/netfilter/core.c:626 nf_hook_ingress include/linux/netfilter_netdev.h:34 [inline] nf_ingress net/core/dev.c:5440 [inline] [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ipv6: prevent possible UAF in ip6_xmit() If skb_expand_head() returns NULL, skb has been freed and the associated dst/idev could also have been freed. We must use rcu_read_lock() to prevent a possible UAF. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ipv6: fix possible UAF in ip6_finish_output2() If skb_expand_head() returns NULL, skb has been freed and associated dst/idev could also have been freed. We need to hold rcu_read_lock() to make sure the dst and associated idev are alive. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: dsa: mv88e6xxx: Fix out-of-bound access If an ATU violation was caused by a CPU Load operation, the SPID could be larger than DSA_MAX_PORTS (the size of mv88e6xxx_chip.ports[] array). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bonding: fix xfrm real_dev null pointer dereference We shouldn't set real_dev to NULL because packets can be in transit and xfrm might call xdo_dev_offload_ok() in parallel. All callbacks assume real_dev is set. Example trace: kernel: BUG: unable to handle page fault for address: 0000000000001030 kernel: bond0: (slave eni0np1): making interface the new active one kernel: #PF: supervisor write access in kernel mode kernel: #PF: error_code(0x0002) - not-present page kernel: PGD 0 P4D 0 kernel: Oops: 0002 [#1] PREEMPT SMP kernel: CPU: 4 PID: 2237 Comm: ping Not tainted 6.7.7+ #12 kernel: Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-2.fc40 04/01/2014 kernel: RIP: 0010:nsim_ipsec_offload_ok+0xc/0x20 [netdevsim] kernel: bond0: (slave eni0np1): bond_ipsec_add_sa_all: failed to add SA kernel: Code: e0 0f 0b 48 83 7f 38 00 74 de 0f 0b 48 8b 47 08 48 8b 37 48 8b 78 40 e9 b2 e5 9a d7 66 90 0f 1f 44 00 00 48 8b 86 80 02 00 00 <83> 80 30 10 00 00 01 b8 01 00 00 00 c3 0f 1f 80 00 00 00 00 0f 1f kernel: bond0: (slave eni0np1): making interface the new active one kernel: RSP: 0018:ffffabde81553b98 EFLAGS: 00010246 kernel: bond0: (slave eni0np1): bond_ipsec_add_sa_all: failed to add SA kernel: kernel: RAX: 0000000000000000 RBX: ffff9eb404e74900 RCX: ffff9eb403d97c60 kernel: RDX: ffffffffc090de10 RSI: ffff9eb404e74900 RDI: ffff9eb3c5de9e00 kernel: RBP: ffff9eb3c0a42000 R08: 0000000000000010 R09: 0000000000000014 kernel: R10: 7974203030303030 R11: 3030303030303030 R12: 0000000000000000 kernel: R13: ffff9eb3c5de9e00 R14: ffffabde81553cc8 R15: ffff9eb404c53000 kernel: FS: 00007f2a77a3ad00(0000) GS:ffff9eb43bd00000(0000) knlGS:0000000000000000 kernel: CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 kernel: CR2: 0000000000001030 CR3: 00000001122ab000 CR4: 0000000000350ef0 kernel: bond0: (slave eni0np1): making interface the new active one kernel: Call Trace: kernel: <TASK> kernel: ? __die+0x1f/0x60 kernel: bond0: (slave eni0np1): bond_ipsec_add_sa_all: failed to add SA kernel: ? page_fault_oops+0x142/0x4c0 kernel: ? do_user_addr_fault+0x65/0x670 kernel: ? kvm_read_and_reset_apf_flags+0x3b/0x50 kernel: bond0: (slave eni0np1): making interface the new active one kernel: ? exc_page_fault+0x7b/0x180 kernel: ? asm_exc_page_fault+0x22/0x30 kernel: ? nsim_bpf_uninit+0x50/0x50 [netdevsim] kernel: bond0: (slave eni0np1): bond_ipsec_add_sa_all: failed to add SA kernel: ? nsim_ipsec_offload_ok+0xc/0x20 [netdevsim] kernel: bond0: (slave eni0np1): making interface the new active one kernel: bond_ipsec_offload_ok+0x7b/0x90 [bonding] kernel: xfrm_output+0x61/0x3b0 kernel: bond0: (slave eni0np1): bond_ipsec_add_sa_all: failed to add SA kernel: ip_push_pending_frames+0x56/0x80 [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bonding: fix null pointer deref in bond_ipsec_offload_ok We must check if there is an active slave before dereferencing the pointer. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tcp: prevent concurrent execution of tcp_sk_exit_batch Its possible that two threads call tcp_sk_exit_batch() concurrently, once from the cleanup_net workqueue, once from a task that failed to clone a new netns. In the latter case, error unwinding calls the exit handlers in reverse order for the 'failed' netns. tcp_sk_exit_batch() calls tcp_twsk_purge(). Problem is that since commit b099ce2602d8 ("net: Batch inet_twsk_purge"), this function picks up twsk in any dying netns, not just the one passed in via exit_batch list. This means that the error unwind of setup_net() can "steal" and destroy timewait sockets belonging to the exiting netns. This allows the netns exit worker to proceed to call WARN_ON_ONCE(!refcount_dec_and_test(&net->ipv4.tcp_death_row.tw_refcount)); without the expected 1 -> 0 transition, which then splats. At same time, error unwind path that is also running inet_twsk_purge() will splat as well: WARNING: .. at lib/refcount.c:31 refcount_warn_saturate+0x1ed/0x210 ... refcount_dec include/linux/refcount.h:351 [inline] inet_twsk_kill+0x758/0x9c0 net/ipv4/inet_timewait_sock.c:70 inet_twsk_deschedule_put net/ipv4/inet_timewait_sock.c:221 inet_twsk_purge+0x725/0x890 net/ipv4/inet_timewait_sock.c:304 tcp_sk_exit_batch+0x1c/0x170 net/ipv4/tcp_ipv4.c:3522 ops_exit_list+0x128/0x180 net/core/net_namespace.c:178 setup_net+0x714/0xb40 net/core/net_namespace.c:375 copy_net_ns+0x2f0/0x670 net/core/net_namespace.c:508 create_new_namespaces+0x3ea/0xb10 kernel/nsproxy.c:110 ... because refcount_dec() of tw_refcount unexpectedly dropped to 0. This doesn't seem like an actual bug (no tw sockets got lost and I don't see a use-after-free) but as erroneous trigger of debug check. Add a mutex to force strict ordering: the task that calls tcp_twsk_purge() blocks other task from doing final _dec_and_test before mutex-owner has removed all tw sockets of dying netns. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: hns3: fix a deadlock problem when config TC during resetting When config TC during the reset process, may cause a deadlock, the flow is as below: pf reset start │ ▼ ...... setup tc │ │ ▼ ▼ DOWN: napi_disable() napi_disable()(skip) │ │ │ ▼ ▼ ...... ...... │ │ ▼ │ napi_enable() │ ▼ UINIT: netif_napi_del() │ ▼ ...... │ ▼ INIT: netif_napi_add() │ ▼ ...... global reset start │ │ ▼ ▼ UP: napi_enable()(skip) ...... │ │ ▼ ▼ ...... napi_disable() In reset process, the driver will DOWN the port and then UINIT, in this case, the setup tc process will UP the port before UINIT, so cause the problem. Adds a DOWN process in UINIT to fix it. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: atm: idt77252: prevent use after free in dequeue_rx() We can't dereference "skb" after calling vcc->push() because the skb is released. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fs/netfs/fscache_cookie: add missing "n_accesses" check This fixes a NULL pointer dereference bug due to a data race which looks like this: BUG: kernel NULL pointer dereference, address: 0000000000000008 #PF: supervisor read access in kernel mode #PF: error_code(0x0000) - not-present page PGD 0 P4D 0 Oops: 0000 [#1] SMP PTI CPU: 33 PID: 16573 Comm: kworker/u97:799 Not tainted 6.8.7-cm4all1-hp+ #43 Hardware name: HP ProLiant DL380 Gen9/ProLiant DL380 Gen9, BIOS P89 10/17/2018 Workqueue: events_unbound netfs_rreq_write_to_cache_work RIP: 0010:cachefiles_prepare_write+0x30/0xa0 Code: 57 41 56 45 89 ce 41 55 49 89 cd 41 54 49 89 d4 55 53 48 89 fb 48 83 ec 08 48 8b 47 08 48 83 7f 10 00 48 89 34 24 48 8b 68 20 <48> 8b 45 08 4c 8b 38 74 45 49 8b 7f 50 e8 4e a9 b0 ff 48 8b 73 10 RSP: 0018:ffffb4e78113bde0 EFLAGS: 00010286 RAX: ffff976126be6d10 RBX: ffff97615cdb8438 RCX: 0000000000020000 RDX: ffff97605e6c4c68 RSI: ffff97605e6c4c60 RDI: ffff97615cdb8438 RBP: 0000000000000000 R08: 0000000000278333 R09: 0000000000000001 R10: ffff97605e6c4600 R11: 0000000000000001 R12: ffff97605e6c4c68 R13: 0000000000020000 R14: 0000000000000001 R15: ffff976064fe2c00 FS: 0000000000000000(0000) GS:ffff9776dfd40000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000000008 CR3: 000000005942c002 CR4: 00000000001706f0 Call Trace: <TASK> ? __die+0x1f/0x70 ? page_fault_oops+0x15d/0x440 ? search_module_extables+0xe/0x40 ? fixup_exception+0x22/0x2f0 ? exc_page_fault+0x5f/0x100 ? asm_exc_page_fault+0x22/0x30 ? cachefiles_prepare_write+0x30/0xa0 netfs_rreq_write_to_cache_work+0x135/0x2e0 process_one_work+0x137/0x2c0 worker_thread+0x2e9/0x400 ? __pfx_worker_thread+0x10/0x10 kthread+0xcc/0x100 ? __pfx_kthread+0x10/0x10 ret_from_fork+0x30/0x50 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1b/0x30 </TASK> Modules linked in: CR2: 0000000000000008 ---[ end trace 0000000000000000 ]--- This happened because fscache_cookie_state_machine() was slow and was still running while another process invoked fscache_unuse_cookie(); this led to a fscache_cookie_lru_do_one() call, setting the FSCACHE_COOKIE_DO_LRU_DISCARD flag, which was picked up by fscache_cookie_state_machine(), withdrawing the cookie via cachefiles_withdraw_cookie(), clearing cookie->cache_priv. At the same time, yet another process invoked cachefiles_prepare_write(), which found a NULL pointer in this code line: struct cachefiles_object *object = cachefiles_cres_object(cres); The next line crashes, obviously: struct cachefiles_cache *cache = object->volume->cache; During cachefiles_prepare_write(), the "n_accesses" counter is non-zero (via fscache_begin_operation()). The cookie must not be withdrawn until it drops to zero. The counter is checked by fscache_cookie_state_machine() before switching to FSCACHE_COOKIE_STATE_RELINQUISHING and FSCACHE_COOKIE_STATE_WITHDRAWING (in "case FSCACHE_COOKIE_STATE_FAILED"), but not for FSCACHE_COOKIE_STATE_LRU_DISCARDING ("case FSCACHE_COOKIE_STATE_ACTIVE"). This patch adds the missing check. With a non-zero access counter, the function returns and the next fscache_end_cookie_access() call will queue another fscache_cookie_state_machine() call to handle the still-pending FSCACHE_COOKIE_DO_LRU_DISCARD. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: rtla/osnoise: Prevent NULL dereference in error handling If the "tool->data" allocation fails then there is no need to call osnoise_free_top() and, in fact, doing so will lead to a NULL dereference. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: vfs: Don't evict inode under the inode lru traversing context The inode reclaiming process(See function prune_icache_sb) collects all reclaimable inodes and mark them with I_FREEING flag at first, at that time, other processes will be stuck if they try getting these inodes (See function find_inode_fast), then the reclaiming process destroy the inodes by function dispose_list(). Some filesystems(eg. ext4 with ea_inode feature, ubifs with xattr) may do inode lookup in the inode evicting callback function, if the inode lookup is operated under the inode lru traversing context, deadlock problems may happen. Case 1: In function ext4_evict_inode(), the ea inode lookup could happen if ea_inode feature is enabled, the lookup process will be stuck under the evicting context like this: 1. File A has inode i_reg and an ea inode i_ea 2. getfattr(A, xattr_buf) // i_ea is added into lru // lru->i_ea 3. Then, following three processes running like this: PA PB echo 2 > /proc/sys/vm/drop_caches shrink_slab prune_dcache_sb // i_reg is added into lru, lru->i_ea->i_reg prune_icache_sb list_lru_walk_one inode_lru_isolate i_ea->i_state |= I_FREEING // set inode state inode_lru_isolate __iget(i_reg) spin_unlock(&i_reg->i_lock) spin_unlock(lru_lock) rm file A i_reg->nlink = 0 iput(i_reg) // i_reg->nlink is 0, do evict ext4_evict_inode ext4_xattr_delete_inode ext4_xattr_inode_dec_ref_all ext4_xattr_inode_iget ext4_iget(i_ea->i_ino) iget_locked find_inode_fast __wait_on_freeing_inode(i_ea) ----→ AA deadlock dispose_list // cannot be executed by prune_icache_sb wake_up_bit(&i_ea->i_state) Case 2: In deleted inode writing function ubifs_jnl_write_inode(), file deleting process holds BASEHD's wbuf->io_mutex while getting the xattr inode, which could race with inode reclaiming process(The reclaiming process could try locking BASEHD's wbuf->io_mutex in inode evicting function), then an ABBA deadlock problem would happen as following: 1. File A has inode ia and a xattr(with inode ixa), regular file B has inode ib and a xattr. 2. getfattr(A, xattr_buf) // ixa is added into lru // lru->ixa 3. Then, following three processes running like this: PA PB PC echo 2 > /proc/sys/vm/drop_caches shrink_slab prune_dcache_sb // ib and ia are added into lru, lru->ixa->ib->ia prune_icache_sb list_lru_walk_one inode_lru_isolate ixa->i_state |= I_FREEING // set inode state inode_lru_isolate __iget(ib) spin_unlock(&ib->i_lock) spin_unlock(lru_lock) rm file B ib->nlink = 0 rm file A iput(ia) ubifs_evict_inode(ia) ubifs_jnl_delete_inode(ia) ubifs_jnl_write_inode(ia) make_reservation(BASEHD) // Lock wbuf->io_mutex ubifs_iget(ixa->i_ino) iget_locked find_inode_fast __wait_on_freeing_inode(ixa) | iput(ib) // ib->nlink is 0, do evict | ubifs_evict_inode | ubifs_jnl_delete_inode(ib) ↓ ubifs_jnl_write_inode ABBA deadlock ←-----make_reservation(BASEHD) dispose_list // cannot be executed by prune_icache_sb wake_up_bit(&ixa->i_state) Fix the possible deadlock by using new inode state flag I_LRU_ISOLATING to pin the inode in memory while inode_lru_isolate( ---truncated--- [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: xhci: Fix Panther point NULL pointer deref at full-speed re-enumeration re-enumerating full-speed devices after a failed address device command can trigger a NULL pointer dereference. Full-speed devices may need to reconfigure the endpoint 0 Max Packet Size value during enumeration. Usb core calls usb_ep0_reinit() in this case, which ends up calling xhci_configure_endpoint(). On Panther point xHC the xhci_configure_endpoint() function will additionally check and reserve bandwidth in software. Other hosts do this in hardware If xHC address device command fails then a new xhci_virt_device structure is allocated as part of re-enabling the slot, but the bandwidth table pointers are not set up properly here. This triggers the NULL pointer dereference the next time usb_ep0_reinit() is called and xhci_configure_endpoint() tries to check and reserve bandwidth [46710.713538] usb 3-1: new full-speed USB device number 5 using xhci_hcd [46710.713699] usb 3-1: Device not responding to setup address. [46710.917684] usb 3-1: Device not responding to setup address. [46711.125536] usb 3-1: device not accepting address 5, error -71 [46711.125594] BUG: kernel NULL pointer dereference, address: 0000000000000008 [46711.125600] #PF: supervisor read access in kernel mode [46711.125603] #PF: error_code(0x0000) - not-present page [46711.125606] PGD 0 P4D 0 [46711.125610] Oops: Oops: 0000 [#1] PREEMPT SMP PTI [46711.125615] CPU: 1 PID: 25760 Comm: kworker/1:2 Not tainted 6.10.3_2 #1 [46711.125620] Hardware name: Gigabyte Technology Co., Ltd. [46711.125623] Workqueue: usb_hub_wq hub_event [usbcore] [46711.125668] RIP: 0010:xhci_reserve_bandwidth (drivers/usb/host/xhci.c Fix this by making sure bandwidth table pointers are set up correctly after a failed address device command, and additionally by avoiding checking for bandwidth in cases like this where no actual endpoints are added or removed, i.e. only context for default control endpoint 0 is evaluated. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mptcp: pm: only mark 'subflow' endp as available Adding the following warning ... WARN_ON_ONCE(msk->pm.local_addr_used == 0) ... before decrementing the local_addr_used counter helped to find a bug when running the "remove single address" subtest from the mptcp_join.sh selftests. Removing a 'signal' endpoint will trigger the removal of all subflows linked to this endpoint via mptcp_pm_nl_rm_addr_or_subflow() with rm_type == MPTCP_MIB_RMSUBFLOW. This will decrement the local_addr_used counter, which is wrong in this case because this counter is linked to 'subflow' endpoints, and here it is a 'signal' endpoint that is being removed. Now, the counter is decremented, only if the ID is being used outside of mptcp_pm_nl_rm_addr_or_subflow(), only for 'subflow' endpoints, and if the ID is not 0 -- local_addr_used is not taking into account these ones. This marking of the ID as being available, and the decrement is done no matter if a subflow using this ID is currently available, because the subflow could have been closed before. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: char: xillybus: Check USB endpoints when probing device Ensure, as the driver probes the device, that all endpoints that the driver may attempt to access exist and are of the correct type. All XillyUSB devices must have a Bulk IN and Bulk OUT endpoint at address 1. This is verified in xillyusb_setup_base_eps(). On top of that, a XillyUSB device may have additional Bulk OUT endpoints. The information about these endpoints' addresses is deduced from a data structure (the IDT) that the driver fetches from the device while probing it. These endpoints are checked in setup_channels(). A XillyUSB device never has more than one IN endpoint, as all data towards the host is multiplexed in this single Bulk IN endpoint. This is why setup_channels() only checks OUT endpoints. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netem: fix return value if duplicate enqueue fails There is a bug in netem_enqueue() introduced by commit 5845f706388a ("net: netem: fix skb length BUG_ON in __skb_to_sgvec") that can lead to a use-after-free. This commit made netem_enqueue() always return NET_XMIT_SUCCESS when a packet is duplicated, which can cause the parent qdisc's q.qlen to be mistakenly incremented. When this happens qlen_notify() may be skipped on the parent during destruction, leaving a dangling pointer for some classful qdiscs like DRR. There are two ways for the bug happen: - If the duplicated packet is dropped by rootq->enqueue() and then the original packet is also dropped. - If rootq->enqueue() sends the duplicated packet to a different qdisc and the original packet is dropped. In both cases NET_XMIT_SUCCESS is returned even though no packets are enqueued at the netem qdisc. The fix is to defer the enqueue of the duplicate packet until after the original packet has been guaranteed to return NET_XMIT_SUCCESS. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: flowtable: initialise extack before use Fix missing initialisation of extack in flow offload. [NistCWE(cwe='CWE-665')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5e: Take state lock during tx timeout reporter mlx5e_safe_reopen_channels() requires the state lock taken. The referenced changed in the Fixes tag removed the lock to fix another issue. This patch adds it back but at a later point (when calling mlx5e_safe_reopen_channels()) to avoid the deadlock referenced in the Fixes tag. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: memcg_write_event_control(): fix a user-triggerable oops we are *not* guaranteed that anything past the terminating NUL is mapped (let alone initialized with anything sane). [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mm/vmalloc: fix page mapping if vm_area_alloc_pages() with high order fallback to order 0 The __vmap_pages_range_noflush() assumes its argument pages** contains pages with the same page shift. However, since commit e9c3cda4d86e ("mm, vmalloc: fix high order __GFP_NOFAIL allocations"), if gfp_flags includes __GFP_NOFAIL with high order in vm_area_alloc_pages() and page allocation failed for high order, the pages** may contain two different page shifts (high order and order-0). This could lead __vmap_pages_range_noflush() to perform incorrect mappings, potentially resulting in memory corruption. Users might encounter this as follows (vmap_allow_huge = true, 2M is for PMD_SIZE): kvmalloc(2M, __GFP_NOFAIL|GFP_X) __vmalloc_node_range_noprof(vm_flags=VM_ALLOW_HUGE_VMAP) vm_area_alloc_pages(order=9) ---> order-9 allocation failed and fallback to order-0 vmap_pages_range() vmap_pages_range_noflush() __vmap_pages_range_noflush(page_shift = 21) ----> wrong mapping happens We can remove the fallback code because if a high-order allocation fails, __vmalloc_node_range_noprof() will retry with order-0. Therefore, it is unnecessary to fallback to order-0 here. Therefore, fix this by removing the fallback code. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: s390/dasd: fix error recovery leading to data corruption on ESE devices Extent Space Efficient (ESE) or thin provisioned volumes need to be formatted on demand during usual IO processing. The dasd_ese_needs_format function checks for error codes that signal the non existence of a proper track format. The check for incorrect length is to imprecise since other error cases leading to transport of insufficient data also have this flag set. This might lead to data corruption in certain error cases for example during a storage server warmstart. Fix by removing the check for incorrect length and replacing by explicitly checking for invalid track format in transport mode. Also remove the check for file protected since this is not a valid ESE handling case. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mmc: mmc_test: Fix NULL dereference on allocation failure If the "test->highmem = alloc_pages()" allocation fails then calling __free_pages(test->highmem) will result in a NULL dereference. Also change the error code to -ENOMEM instead of returning success. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: i2c: tegra: Do not mark ACPI devices as irq safe On ACPI machines, the tegra i2c module encounters an issue due to a mutex being called inside a spinlock. This leads to the following bug: BUG: sleeping function called from invalid context at kernel/locking/mutex.c:585 ... Call trace: __might_sleep __mutex_lock_common mutex_lock_nested acpi_subsys_runtime_resume rpm_resume tegra_i2c_xfer The problem arises because during __pm_runtime_resume(), the spinlock &dev->power.lock is acquired before rpm_resume() is called. Later, rpm_resume() invokes acpi_subsys_runtime_resume(), which relies on mutexes, triggering the error. To address this issue, devices on ACPI are now marked as not IRQ-safe, considering the dependency of acpi_subsys_runtime_resume() on mutexes. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 opensc A vulnerability was found in OpenSC, OpenSC tools, PKCS#11 module, minidriver, and CTK. The problem is missing initialization of variables expected to be initialized (as arguments to other functions, etc.). [NistCWE(cwe='CWE-457'), NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:P/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L', score=3.9) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 opensc A vulnerability was found in OpenSC, OpenSC tools, PKCS#11 module, minidriver, and CTK. An attacker could use a crafted USB Device or Smart Card, which would present the system with a specially crafted response to APDUs. The following problems were caused by insufficient control of the response APDU buffer and its length when communicating with the card. [NistCWE(cwe='CWE-457'), NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:P/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L', score=3.9) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 opensc A vulnerability was found in OpenSC, OpenSC tools, PKCS#11 module, minidriver, and CTK. An attacker could use a crafted USB Device or Smart Card, which would present the system with a specially crafted response to APDUs. Insufficient or missing checking of return values of functions leads to unexpected work with variables that have not been initialized. [NistCWE(cwe='CWE-457'), NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:P/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L', score=3.9) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 opensc A vulnerability was found in pkcs15-init in OpenSC. An attacker could use a crafted USB Device or Smart Card, which would present the system with a specially crafted response to APDUs. Insufficient or missing checking of return values of functions leads to unexpected work with variables that have not been initialized. [NistCWE(cwe='CWE-457'), NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:P/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L', score=3.9) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 opensc A vulnerability was found in OpenSC, OpenSC tools, PKCS#11 module, minidriver, and CTK. An attacker could use a crafted USB Device or Smart Card, which would present the system with a specially crafted response to APDUs. When buffers are partially filled with data, initialized parts of the buffer can be incorrectly accessed. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:P/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L', score=4.3) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 opensc A vulnerability was found in the pkcs15-init tool in OpenSC. An attacker could use a crafted USB Device or Smart Card, which would present the system with a specially crafted response to APDUs. When buffers are partially filled with data, initialized parts of the buffer can be incorrectly accessed. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:P/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L', score=3.9) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.8 pgpool2 Exposure of sensitive information due to incompatible policies issue exists in Pgpool-II. If a database user accesses a query cache, table data unauthorized for the user may be retrieved. [NistCWE(cwe='CWE-200')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Запускайте приложения, использующие pgpool2, с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Настройте права доступа к конфигурационным файлам и коду приложения так, чтобы их могли изменять только администраторы системы. - Убедитесь, что ваши веб-приложения, использующие pgpool2, корректно проверяют все входные данные, чтобы предотвратить атаки, такие как SQL-инъекции и XSS. - Настройте веб-сервер для использования HTTPS, чтобы защитить данные, передаваемые между клиентом и сервером. Astra Linux 1.8 vlc VLC media player 3.0.20 and earlier is vulnerable to denial of service through an integer overflow which could be triggered with a maliciously crafted mms stream (heap based overflow). If successful, a malicious third party could trigger either a crash of VLC or an arbitrary code execution with the target user's privileges. [NistCWE(cwe='CWE-122')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H', score=8.0) - Запускать ПО vlc в изолированной программной среде с применением инструмента Firejail - Использовать ПО vlc только на низком или отдельно выделенном уровне целостности - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды - По возможности отказаться от использования ПО vlc в пользу ПО mpv Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: aacraid: Fix double-free on probe failure aac_probe_one() calls hardware-specific init functions through the aac_driver_ident::init pointer, all of which eventually call down to aac_init_adapter(). If aac_init_adapter() fails after allocating memory for aac_dev::queues, it frees the memory but does not clear that member. After the hardware-specific init function returns an error, aac_probe_one() goes down an error path that frees the memory pointed to by aac_dev::queues, resulting.in a double-free. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: usb: dwc3: st: fix probed platform device ref count on probe error path The probe function never performs any paltform device allocation, thus error path "undo_platform_dev_alloc" is entirely bogus. It drops the reference count from the platform device being probed. If error path is triggered, this will lead to unbalanced device reference counts and premature release of device resources, thus possible use-after-free when releasing remaining devm-managed resources. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nfc: pn533: Add poll mod list filling check In case of im_protocols value is 1 and tm_protocols value is 0 this combination successfully passes the check 'if (!im_protocols && !tm_protocols)' in the nfc_start_poll(). But then after pn533_poll_create_mod_list() call in pn533_start_poll() poll mod list will remain empty and dev->poll_mod_count will remain 0 which lead to division by zero. Normally no im protocol has value 1 in the mask, so this combination is not expected by driver. But these protocol values actually come from userspace via Netlink interface (NFC_CMD_START_POLL operation). So a broken or malicious program may pass a message containing a "bad" combination of protocol parameter values so that dev->poll_mod_count is not incremented inside pn533_poll_create_mod_list(), thus leading to division by zero. Call trace looks like: nfc_genl_start_poll() nfc_start_poll() ->start_poll() pn533_start_poll() Add poll mod list filling check. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: gtp: fix a potential NULL pointer dereference When sockfd_lookup() fails, gtp_encap_enable_socket() returns a NULL pointer, but its callers only check for error pointers thus miss the NULL pointer case. Fix it by returning an error pointer with the error code carried from sockfd_lookup(). (I found this bug during code inspection.) [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: pinctrl: single: fix potential NULL dereference in pcs_get_function() pinmux_generic_get_function() can return NULL and the pointer 'function' was dereferenced without checking against NULL. Add checking of pointer 'function' in pcs_get_function(). Found by code review. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: smb/client: avoid dereferencing rdata=NULL in smb2_new_read_req() This happens when called from SMB2_read() while using rdma and reaching the rdma_readwrite_threshold. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: avoid using null object of framebuffer Instead of using state->fb->obj[0] directly, get object from framebuffer by calling drm_gem_fb_get_obj() and return error code when object is null to avoid using null object of framebuffer. (cherry picked from commit 73dd0ad9e5dad53766ea3e631303430116f834b3) [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/vmwgfx: Prevent unmapping active read buffers The kms paths keep a persistent map active to read and compare the cursor buffer. These maps can race with each other in simple scenario where: a) buffer "a" mapped for update b) buffer "a" mapped for compare c) do the compare d) unmap "a" for compare e) update the cursor f) unmap "a" for update At step "e" the buffer has been unmapped and the read contents is bogus. Prevent unmapping of active read buffers by simply keeping a count of how many paths have currently active maps and unmap only when the count reaches 0. [] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mptcp: pm: fix ID 0 endp usage after multiple re-creations 'local_addr_used' and 'add_addr_accepted' are decremented for addresses not related to the initial subflow (ID0), because the source and destination addresses of the initial subflows are known from the beginning: they don't count as "additional local address being used" or "ADD_ADDR being accepted". It is then required not to increment them when the entrypoint used by the initial subflow is removed and re-added during a connection. Without this modification, this entrypoint cannot be removed and re-added more than once. [] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: perf/aux: Fix AUX buffer serialization Ole reported that event->mmap_mutex is strictly insufficient to serialize the AUX buffer, add a per RB mutex to fully serialize it. Note that in the lock order comment the perf_event::mmap_mutex order was already wrong, that is, it nesting under mmap_lock is not new with this patch. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: driver: iio: add missing checks on iio_info's callback access Some callbacks from iio_info structure are accessed without any check, so if a driver doesn't implement them trying to access the corresponding sysfs entries produce a kernel oops such as: [ 2203.527791] Unable to handle kernel NULL pointer dereference at virtual address 00000000 when execute [...] [ 2203.783416] Call trace: [ 2203.783429] iio_read_channel_info_avail from dev_attr_show+0x18/0x48 [ 2203.789807] dev_attr_show from sysfs_kf_seq_show+0x90/0x120 [ 2203.794181] sysfs_kf_seq_show from seq_read_iter+0xd0/0x4e4 [ 2203.798555] seq_read_iter from vfs_read+0x238/0x2a0 [ 2203.802236] vfs_read from ksys_read+0xa4/0xd4 [ 2203.805385] ksys_read from ret_fast_syscall+0x0/0x54 [ 2203.809135] Exception stack(0xe0badfa8 to 0xe0badff0) [ 2203.812880] dfa0: 00000003 b6f10f80 00000003 b6eab000 00020000 00000000 [ 2203.819746] dfc0: 00000003 b6f10f80 7ff00000 00000003 00000003 00000000 00020000 00000000 [ 2203.826619] dfe0: b6e1bc88 bed80958 b6e1bc94 b6e1bcb0 [ 2203.830363] Code: bad PC value [ 2203.832695] ---[ end trace 0000000000000000 ]--- [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: dmaengine: altera-msgdma: properly free descriptor in msgdma_free_descriptor Remove list_del call in msgdma_chan_desc_cleanup, this should be the role of msgdma_free_descriptor. In consequence replace list_add_tail with list_move_tail in msgdma_free_descriptor. This fixes the path: msgdma_free_chan_resources -> msgdma_free_descriptors -> msgdma_free_desc_list -> msgdma_free_descriptor which does not correctly free the descriptors as first nodes were not removed from the list. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5e: SHAMPO, Fix incorrect page release Under the following conditions: 1) No skb created yet 2) header_size == 0 (no SHAMPO header) 3) header_index + 1 % MLX5E_SHAMPO_WQ_HEADER_PER_PAGE == 0 (this is the last page fragment of a SHAMPO header page) a new skb is formed with a page that is NOT a SHAMPO header page (it is a regular data page). Further down in the same function (mlx5e_handle_rx_cqe_mpwrq_shampo()), a SHAMPO header page from header_index is released. This is wrong and it leads to SHAMPO header pages being released more than once. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: fix dereference after null check check the pointer hive before use. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: fix mc_data out-of-bounds read warning Clear warning that read mc_data[i-1] may out-of-bounds. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: fix ucode out-of-bounds read warning Clear warning that read ucode[] may out-of-bounds. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: Fix out-of-bounds read of df_v1_7_channel_number Check the fb_channel_number range to avoid the array out-of-bounds read error [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: Fix out-of-bounds write warning Check the ring type value to fix the out-of-bounds write warning [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Ensure index calculation will not overflow [WHY & HOW] Make sure vmid0p72_idx, vnom0p8_idx and vmax0p9_idx calculation will never overflow and exceess array size. This fixes 3 OVERRUN and 1 INTEGER_OVERFLOW issues reported by Coverity. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/pm: fix the Out-of-bounds read warning using index i - 1U may beyond element index for mc_data[] when i = 0. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ublk_drv: fix NULL pointer dereference in ublk_ctrl_start_recovery() When two UBLK_CMD_START_USER_RECOVERY commands are submitted, the first one sets 'ubq->ubq_daemon' to NULL, and the second one triggers WARN in ublk_queue_reinit() and subsequently a NULL pointer dereference issue. Fix it by adding the check in ublk_ctrl_start_recovery() and return immediately in case of zero 'ub->nr_queues_ready'. BUG: kernel NULL pointer dereference, address: 0000000000000028 RIP: 0010:ublk_ctrl_start_recovery.constprop.0+0x82/0x180 Call Trace: <TASK> ? __die+0x20/0x70 ? page_fault_oops+0x75/0x170 ? exc_page_fault+0x64/0x140 ? asm_exc_page_fault+0x22/0x30 ? ublk_ctrl_start_recovery.constprop.0+0x82/0x180 ublk_ctrl_uring_cmd+0x4f7/0x6c0 ? pick_next_task_idle+0x26/0x40 io_uring_cmd+0x9a/0x1b0 io_issue_sqe+0x193/0x3f0 io_wq_submit_work+0x9b/0x390 io_worker_handle_work+0x165/0x360 io_wq_worker+0xcb/0x2f0 ? finish_task_switch.isra.0+0x203/0x290 ? finish_task_switch.isra.0+0x203/0x290 ? __pfx_io_wq_worker+0x10/0x10 ret_from_fork+0x2d/0x50 ? __pfx_io_wq_worker+0x10/0x10 ret_from_fork_asm+0x1a/0x30 </TASK> [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nvmet-tcp: fix kernel crash if commands allocation fails If the commands allocation fails in nvmet_tcp_alloc_cmds() the kernel crashes in nvmet_tcp_release_queue_work() because of a NULL pointer dereference. nvmet: failed to install queue 0 cntlid 1 ret 6 Unable to handle kernel NULL pointer dereference at virtual address 0000000000000008 Fix the bug by setting queue->nr_cmds to zero in case nvmet_tcp_alloc_cmd() fails. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: VMCI: Fix use-after-free when removing resource in vmci_resource_remove() When removing a resource from vmci_resource_table in vmci_resource_remove(), the search is performed using the resource handle by comparing context and resource fields. It is possible though to create two resources with different types but same handle (same context and resource fields). When trying to remove one of the resources, vmci_resource_remove() may not remove the intended one, but the object will still be freed as in the case of the datagram type in vmci_datagram_destroy_handle(). vmci_resource_table will still hold a pointer to this freed resource leading to a use-after-free vulnerability. BUG: KASAN: use-after-free in vmci_handle_is_equal include/linux/vmw_vmci_defs.h:142 [inline] BUG: KASAN: use-after-free in vmci_resource_remove+0x3a1/0x410 drivers/misc/vmw_vmci/vmci_resource.c:147 Read of size 4 at addr ffff88801c16d800 by task syz-executor197/1592 Call Trace: <TASK> __dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0x82/0xa9 lib/dump_stack.c:106 print_address_description.constprop.0+0x21/0x366 mm/kasan/report.c:239 __kasan_report.cold+0x7f/0x132 mm/kasan/report.c:425 kasan_report+0x38/0x51 mm/kasan/report.c:442 vmci_handle_is_equal include/linux/vmw_vmci_defs.h:142 [inline] vmci_resource_remove+0x3a1/0x410 drivers/misc/vmw_vmci/vmci_resource.c:147 vmci_qp_broker_detach+0x89a/0x11b9 drivers/misc/vmw_vmci/vmci_queue_pair.c:2182 ctx_free_ctx+0x473/0xbe1 drivers/misc/vmw_vmci/vmci_context.c:444 kref_put include/linux/kref.h:65 [inline] vmci_ctx_put drivers/misc/vmw_vmci/vmci_context.c:497 [inline] vmci_ctx_destroy+0x170/0x1d6 drivers/misc/vmw_vmci/vmci_context.c:195 vmci_host_close+0x125/0x1ac drivers/misc/vmw_vmci/vmci_host.c:143 __fput+0x261/0xa34 fs/file_table.c:282 task_work_run+0xf0/0x194 kernel/task_work.c:164 tracehook_notify_resume include/linux/tracehook.h:189 [inline] exit_to_user_mode_loop+0x184/0x189 kernel/entry/common.c:187 exit_to_user_mode_prepare+0x11b/0x123 kernel/entry/common.c:220 __syscall_exit_to_user_mode_work kernel/entry/common.c:302 [inline] syscall_exit_to_user_mode+0x18/0x42 kernel/entry/common.c:313 do_syscall_64+0x41/0x85 arch/x86/entry/common.c:86 entry_SYSCALL_64_after_hwframe+0x6e/0x0 This change ensures the type is also checked when removing the resource from vmci_resource_table in vmci_resource_remove(). [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: uio_hv_generic: Fix kernel NULL pointer dereference in hv_uio_rescind For primary VM Bus channels, primary_channel pointer is always NULL. This pointer is valid only for the secondary channels. Also, rescind callback is meant for primary channels only. Fix NULL pointer dereference by retrieving the device_obj from the parent for the primary channel. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: binder: fix UAF caused by offsets overwrite Binder objects are processed and copied individually into the target buffer during transactions. Any raw data in-between these objects is copied as well. However, this raw data copy lacks an out-of-bounds check. If the raw data exceeds the data section size then the copy overwrites the offsets section. This eventually triggers an error that attempts to unwind the processed objects. However, at this point the offsets used to index these objects are now corrupted. Unwinding with corrupted offsets can result in decrements of arbitrary nodes and lead to their premature release. Other users of such nodes are left with a dangling pointer triggering a use-after-free. This issue is made evident by the following KASAN report (trimmed): ================================================================== BUG: KASAN: slab-use-after-free in _raw_spin_lock+0xe4/0x19c Write of size 4 at addr ffff47fc91598f04 by task binder-util/743 CPU: 9 UID: 0 PID: 743 Comm: binder-util Not tainted 6.11.0-rc4 #1 Hardware name: linux,dummy-virt (DT) Call trace: _raw_spin_lock+0xe4/0x19c binder_free_buf+0x128/0x434 binder_thread_write+0x8a4/0x3260 binder_ioctl+0x18f0/0x258c [...] Allocated by task 743: __kmalloc_cache_noprof+0x110/0x270 binder_new_node+0x50/0x700 binder_transaction+0x413c/0x6da8 binder_thread_write+0x978/0x3260 binder_ioctl+0x18f0/0x258c [...] Freed by task 745: kfree+0xbc/0x208 binder_thread_read+0x1c5c/0x37d4 binder_ioctl+0x16d8/0x258c [...] ================================================================== To avoid this issue, let's check that the raw data copy is within the boundaries of the data section. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: of/irq: Prevent device address out-of-bounds read in interrupt map walk When of_irq_parse_raw() is invoked with a device address smaller than the interrupt parent node (from #address-cells property), KASAN detects the following out-of-bounds read when populating the initial match table (dyndbg="func of_irq_parse_* +p"): OF: of_irq_parse_one: dev=/soc@0/picasso/watchdog, index=0 OF: parent=/soc@0/pci@878000000000/gpio0@17,0, intsize=2 OF: intspec=4 OF: of_irq_parse_raw: ipar=/soc@0/pci@878000000000/gpio0@17,0, size=2 OF: -> addrsize=3 ================================================================== BUG: KASAN: slab-out-of-bounds in of_irq_parse_raw+0x2b8/0x8d0 Read of size 4 at addr ffffff81beca5608 by task bash/764 CPU: 1 PID: 764 Comm: bash Tainted: G O 6.1.67-484c613561-nokia_sm_arm64 #1 Hardware name: Unknown Unknown Product/Unknown Product, BIOS 2023.01-12.24.03-dirty 01/01/2023 Call trace: dump_backtrace+0xdc/0x130 show_stack+0x1c/0x30 dump_stack_lvl+0x6c/0x84 print_report+0x150/0x448 kasan_report+0x98/0x140 __asan_load4+0x78/0xa0 of_irq_parse_raw+0x2b8/0x8d0 of_irq_parse_one+0x24c/0x270 parse_interrupts+0xc0/0x120 of_fwnode_add_links+0x100/0x2d0 fw_devlink_parse_fwtree+0x64/0xc0 device_add+0xb38/0xc30 of_device_add+0x64/0x90 of_platform_device_create_pdata+0xd0/0x170 of_platform_bus_create+0x244/0x600 of_platform_notify+0x1b0/0x254 blocking_notifier_call_chain+0x9c/0xd0 __of_changeset_entry_notify+0x1b8/0x230 __of_changeset_apply_notify+0x54/0xe4 of_overlay_fdt_apply+0xc04/0xd94 ... The buggy address belongs to the object at ffffff81beca5600 which belongs to the cache kmalloc-128 of size 128 The buggy address is located 8 bytes inside of 128-byte region [ffffff81beca5600, ffffff81beca5680) The buggy address belongs to the physical page: page:00000000230d3d03 refcount:1 mapcount:0 mapping:0000000000000000 index:0x0 pfn:0x1beca4 head:00000000230d3d03 order:1 compound_mapcount:0 compound_pincount:0 flags: 0x8000000000010200(slab|head|zone=2) raw: 8000000000010200 0000000000000000 dead000000000122 ffffff810000c300 raw: 0000000000000000 0000000000200020 00000001ffffffff 0000000000000000 page dumped because: kasan: bad access detected Memory state around the buggy address: ffffff81beca5500: 04 fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc ffffff81beca5580: fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc >ffffff81beca5600: 00 fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc ^ ffffff81beca5680: fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc ffffff81beca5700: 00 00 00 00 00 00 fc fc fc fc fc fc fc fc fc fc ================================================================== OF: -> got it ! Prevent the out-of-bounds read by copying the device address into a buffer of sufficient size. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Squashfs: sanity check symbolic link size Syzkiller reports a "KMSAN: uninit-value in pick_link" bug. This is caused by an uninitialised page, which is ultimately caused by a corrupted symbolic link size read from disk. The reason why the corrupted symlink size causes an uninitialised page is due to the following sequence of events: 1. squashfs_read_inode() is called to read the symbolic link from disk. This assigns the corrupted value 3875536935 to inode->i_size. 2. Later squashfs_symlink_read_folio() is called, which assigns this corrupted value to the length variable, which being a signed int, overflows producing a negative number. 3. The following loop that fills in the page contents checks that the copied bytes is less than length, which being negative means the loop is skipped, producing an uninitialised page. This patch adds a sanity check which checks that the symbolic link size is not larger than expected. -- V2: fix spelling mistake. [NistCWE(cwe='CWE-59')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: HID: amd_sfh: free driver_data after destroying hid device HID driver callbacks aren't called anymore once hid_destroy_device() has been called. Hence, hid driver_data should be freed only after the hid_destroy_device() function returned as driver_data is used in several callbacks. I observed a crash with kernel 6.10.0 on my T14s Gen 3, after enabling KASAN to debug memory allocation, I got this output: [ 13.050438] ================================================================== [ 13.054060] BUG: KASAN: slab-use-after-free in amd_sfh_get_report+0x3ec/0x530 [amd_sfh] [ 13.054809] psmouse serio1: trackpoint: Synaptics TrackPoint firmware: 0x02, buttons: 3/3 [ 13.056432] Read of size 8 at addr ffff88813152f408 by task (udev-worker)/479 [ 13.060970] CPU: 5 PID: 479 Comm: (udev-worker) Not tainted 6.10.0-arch1-2 #1 893bb55d7f0073f25c46adbb49eb3785fefd74b0 [ 13.063978] Hardware name: LENOVO 21CQCTO1WW/21CQCTO1WW, BIOS R22ET70W (1.40 ) 03/21/2024 [ 13.067860] Call Trace: [ 13.069383] input: TPPS/2 Synaptics TrackPoint as /devices/platform/i8042/serio1/input/input8 [ 13.071486] <TASK> [ 13.071492] dump_stack_lvl+0x5d/0x80 [ 13.074870] snd_hda_intel 0000:33:00.6: enabling device (0000 -> 0002) [ 13.078296] ? amd_sfh_get_report+0x3ec/0x530 [amd_sfh 05f43221435b5205f734cd9da29399130f398a38] [ 13.082199] print_report+0x174/0x505 [ 13.085776] ? __pfx__raw_spin_lock_irqsave+0x10/0x10 [ 13.089367] ? srso_alias_return_thunk+0x5/0xfbef5 [ 13.093255] ? amd_sfh_get_report+0x3ec/0x530 [amd_sfh 05f43221435b5205f734cd9da29399130f398a38] [ 13.097464] kasan_report+0xc8/0x150 [ 13.101461] ? amd_sfh_get_report+0x3ec/0x530 [amd_sfh 05f43221435b5205f734cd9da29399130f398a38] [ 13.105802] amd_sfh_get_report+0x3ec/0x530 [amd_sfh 05f43221435b5205f734cd9da29399130f398a38] [ 13.110303] amdtp_hid_request+0xb8/0x110 [amd_sfh 05f43221435b5205f734cd9da29399130f398a38] [ 13.114879] ? srso_alias_return_thunk+0x5/0xfbef5 [ 13.119450] sensor_hub_get_feature+0x1d3/0x540 [hid_sensor_hub 3f13be3016ff415bea03008d45d99da837ee3082] [ 13.124097] hid_sensor_parse_common_attributes+0x4d0/0xad0 [hid_sensor_iio_common c3a5cbe93969c28b122609768bbe23efe52eb8f5] [ 13.127404] ? srso_alias_return_thunk+0x5/0xfbef5 [ 13.131925] ? __pfx_hid_sensor_parse_common_attributes+0x10/0x10 [hid_sensor_iio_common c3a5cbe93969c28b122609768bbe23efe52eb8f5] [ 13.136455] ? _raw_spin_lock_irqsave+0x96/0xf0 [ 13.140197] ? __pfx__raw_spin_lock_irqsave+0x10/0x10 [ 13.143602] ? devm_iio_device_alloc+0x34/0x50 [industrialio 3d261d5e5765625d2b052be40e526d62b1d2123b] [ 13.147234] ? srso_alias_return_thunk+0x5/0xfbef5 [ 13.150446] ? __devm_add_action+0x167/0x1d0 [ 13.155061] hid_gyro_3d_probe+0x120/0x7f0 [hid_sensor_gyro_3d 63da36a143b775846ab2dbb86c343b401b5e3172] [ 13.158581] ? srso_alias_return_thunk+0x5/0xfbef5 [ 13.161814] platform_probe+0xa2/0x150 [ 13.165029] really_probe+0x1e3/0x8a0 [ 13.168243] __driver_probe_device+0x18c/0x370 [ 13.171500] driver_probe_device+0x4a/0x120 [ 13.175000] __driver_attach+0x190/0x4a0 [ 13.178521] ? __pfx___driver_attach+0x10/0x10 [ 13.181771] bus_for_each_dev+0x106/0x180 [ 13.185033] ? __pfx__raw_spin_lock+0x10/0x10 [ 13.188229] ? __pfx_bus_for_each_dev+0x10/0x10 [ 13.191446] ? srso_alias_return_thunk+0x5/0xfbef5 [ 13.194382] bus_add_driver+0x29e/0x4d0 [ 13.197328] driver_register+0x1a5/0x360 [ 13.200283] ? __pfx_hid_gyro_3d_platform_driver_init+0x10/0x10 [hid_sensor_gyro_3d 63da36a143b775846ab2dbb86c343b401b5e3172] [ 13.203362] do_one_initcall+0xa7/0x380 [ 13.206432] ? __pfx_do_one_initcall+0x10/0x10 [ 13.210175] ? srso_alias_return_thunk+0x5/0xfbef5 [ 13.213211] ? kasan_unpoison+0x44/0x70 [ 13.216688] do_init_module+0x238/0x750 [ 13.2196 ---truncated--- [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: HID: cougar: fix slab-out-of-bounds Read in cougar_report_fixup report_fixup for the Cougar 500k Gaming Keyboard was not verifying that the report descriptor size was correct before accessing it [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: hwmon: (adc128d818) Fix underflows seen when writing limit attributes DIV_ROUND_CLOSEST() after kstrtol() results in an underflow if a large negative number such as -9223372036854775808 is provided by the user. Fix it by reordering clamp_val() and DIV_ROUND_CLOSEST() operations. [NistCWE(cwe='CWE-191')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fou: Fix null-ptr-deref in GRO. We observed a null-ptr-deref in fou_gro_receive() while shutting down a host. [0] The NULL pointer is sk->sk_user_data, and the offset 8 is of protocol in struct fou. When fou_release() is called due to netns dismantle or explicit tunnel teardown, udp_tunnel_sock_release() sets NULL to sk->sk_user_data. Then, the tunnel socket is destroyed after a single RCU grace period. So, in-flight udp4_gro_receive() could find the socket and execute the FOU GRO handler, where sk->sk_user_data could be NULL. Let's use rcu_dereference_sk_user_data() in fou_from_sock() and add NULL checks in FOU GRO handlers. [0]: BUG: kernel NULL pointer dereference, address: 0000000000000008 PF: supervisor read access in kernel mode PF: error_code(0x0000) - not-present page PGD 80000001032f4067 P4D 80000001032f4067 PUD 103240067 PMD 0 SMP PTI CPU: 0 PID: 0 Comm: swapper/0 Not tainted 5.10.216-204.855.amzn2.x86_64 #1 Hardware name: Amazon EC2 c5.large/, BIOS 1.0 10/16/2017 RIP: 0010:fou_gro_receive (net/ipv4/fou.c:233) [fou] Code: 41 5f c3 cc cc cc cc e8 e7 2e 69 f4 0f 1f 80 00 00 00 00 0f 1f 44 00 00 49 89 f8 41 54 48 89 f7 48 89 d6 49 8b 80 88 02 00 00 <0f> b6 48 08 0f b7 42 4a 66 25 fd fd 80 cc 02 66 89 42 4a 0f b6 42 RSP: 0018:ffffa330c0003d08 EFLAGS: 00010297 RAX: 0000000000000000 RBX: ffff93d9e3a6b900 RCX: 0000000000000010 RDX: ffff93d9e3a6b900 RSI: ffff93d9e3a6b900 RDI: ffff93dac2e24d08 RBP: ffff93d9e3a6b900 R08: ffff93dacbce6400 R09: 0000000000000002 R10: 0000000000000000 R11: ffffffffb5f369b0 R12: ffff93dacbce6400 R13: ffff93dac2e24d08 R14: 0000000000000000 R15: ffffffffb4edd1c0 FS: 0000000000000000(0000) GS:ffff93daee800000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000000008 CR3: 0000000102140001 CR4: 00000000007706f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 PKRU: 55555554 Call Trace: <IRQ> ? show_trace_log_lvl (arch/x86/kernel/dumpstack.c:259) ? __die_body.cold (arch/x86/kernel/dumpstack.c:478 arch/x86/kernel/dumpstack.c:420) ? no_context (arch/x86/mm/fault.c:752) ? exc_page_fault (arch/x86/include/asm/irqflags.h:49 arch/x86/include/asm/irqflags.h:89 arch/x86/mm/fault.c:1435 arch/x86/mm/fault.c:1483) ? asm_exc_page_fault (arch/x86/include/asm/idtentry.h:571) ? fou_gro_receive (net/ipv4/fou.c:233) [fou] udp_gro_receive (include/linux/netdevice.h:2552 net/ipv4/udp_offload.c:559) udp4_gro_receive (net/ipv4/udp_offload.c:604) inet_gro_receive (net/ipv4/af_inet.c:1549 (discriminator 7)) dev_gro_receive (net/core/dev.c:6035 (discriminator 4)) napi_gro_receive (net/core/dev.c:6170) ena_clean_rx_irq (drivers/amazon/net/ena/ena_netdev.c:1558) [ena] ena_io_poll (drivers/amazon/net/ena/ena_netdev.c:1742) [ena] napi_poll (net/core/dev.c:6847) net_rx_action (net/core/dev.c:6917) __do_softirq (arch/x86/include/asm/jump_label.h:25 include/linux/jump_label.h:200 include/trace/events/irq.h:142 kernel/softirq.c:299) asm_call_irq_on_stack (arch/x86/entry/entry_64.S:809) </IRQ> do_softirq_own_stack (arch/x86/include/asm/irq_stack.h:27 arch/x86/include/asm/irq_stack.h:77 arch/x86/kernel/irq_64.c:77) irq_exit_rcu (kernel/softirq.c:393 kernel/softirq.c:423 kernel/softirq.c:435) common_interrupt (arch/x86/kernel/irq.c:239) asm_common_interrupt (arch/x86/include/asm/idtentry.h:626) RIP: 0010:acpi_idle_do_entry (arch/x86/include/asm/irqflags.h:49 arch/x86/include/asm/irqflags.h:89 drivers/acpi/processor_idle.c:114 drivers/acpi/processor_idle.c:575) Code: 8b 15 d1 3c c4 02 ed c3 cc cc cc cc 65 48 8b 04 25 40 ef 01 00 48 8b 00 a8 08 75 eb 0f 1f 44 00 00 0f 00 2d d5 09 55 00 fb f4 <fa> c3 cc cc cc cc e9 be fc ff ff 66 66 2e 0f 1f 84 00 00 00 00 00 RSP: 0018:ffffffffb5603e58 EFLAGS: 00000246 RAX: 0000000000004000 RBX: ffff93dac0929c00 RCX: ffff93daee833900 RDX: ffff93daee800000 RSI: ffff93d ---truncated--- [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: can: bcm: Remove proc entry when dev is unregistered. syzkaller reported a warning in bcm_connect() below. [0] The repro calls connect() to vxcan1, removes vxcan1, and calls connect() with ifindex == 0. Calling connect() for a BCM socket allocates a proc entry. Then, bcm_sk(sk)->bound is set to 1 to prevent further connect(). However, removing the bound device resets bcm_sk(sk)->bound to 0 in bcm_notify(). The 2nd connect() tries to allocate a proc entry with the same name and sets NULL to bcm_sk(sk)->bcm_proc_read, leaking the original proc entry. Since the proc entry is available only for connect()ed sockets, let's clean up the entry when the bound netdev is unregistered. [0]: proc_dir_entry 'can-bcm/2456' already registered WARNING: CPU: 1 PID: 394 at fs/proc/generic.c:376 proc_register+0x645/0x8f0 fs/proc/generic.c:375 Modules linked in: CPU: 1 PID: 394 Comm: syz-executor403 Not tainted 6.10.0-rc7-g852e42cc2dd4 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.16.3-0-ga6ed6b701f0a-prebuilt.qemu.org 04/01/2014 RIP: 0010:proc_register+0x645/0x8f0 fs/proc/generic.c:375 Code: 00 00 00 00 00 48 85 ed 0f 85 97 02 00 00 4d 85 f6 0f 85 9f 02 00 00 48 c7 c7 9b cb cf 87 48 89 de 4c 89 fa e8 1c 6f eb fe 90 <0f> 0b 90 90 48 c7 c7 98 37 99 89 e8 cb 7e 22 05 bb 00 00 00 10 48 RSP: 0018:ffa0000000cd7c30 EFLAGS: 00010246 RAX: 9e129be1950f0200 RBX: ff1100011b51582c RCX: ff1100011857cd80 RDX: 0000000000000000 RSI: 0000000000000000 RDI: 0000000000000002 RBP: 0000000000000000 R08: ffd400000000000f R09: ff1100013e78cac0 R10: ffac800000cd7980 R11: ff1100013e12b1f0 R12: 0000000000000000 R13: 0000000000000000 R14: 0000000000000000 R15: ff1100011a99a2ec FS: 00007fbd7086f740(0000) GS:ff1100013fd00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00000000200071c0 CR3: 0000000118556004 CR4: 0000000000771ef0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe07f0 DR7: 0000000000000400 PKRU: 55555554 Call Trace: <TASK> proc_create_net_single+0x144/0x210 fs/proc/proc_net.c:220 bcm_connect+0x472/0x840 net/can/bcm.c:1673 __sys_connect_file net/socket.c:2049 [inline] __sys_connect+0x5d2/0x690 net/socket.c:2066 __do_sys_connect net/socket.c:2076 [inline] __se_sys_connect net/socket.c:2073 [inline] __x64_sys_connect+0x8f/0x100 net/socket.c:2073 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xd9/0x1c0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x4b/0x53 RIP: 0033:0x7fbd708b0e5d Code: ff c3 66 2e 0f 1f 84 00 00 00 00 00 90 f3 0f 1e fa 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 8b 0d 73 9f 1b 00 f7 d8 64 89 01 48 RSP: 002b:00007fff8cd33f08 EFLAGS: 00000246 ORIG_RAX: 000000000000002a RAX: ffffffffffffffda RBX: 0000000000000003 RCX: 00007fbd708b0e5d RDX: 0000000000000010 RSI: 0000000020000040 RDI: 0000000000000003 RBP: 0000000000000000 R08: 0000000000000040 R09: 0000000000000040 R10: 0000000000000040 R11: 0000000000000246 R12: 00007fff8cd34098 R13: 0000000000401280 R14: 0000000000406de8 R15: 00007fbd70ab9000 </TASK> remove_proc_entry: removing non-empty directory 'net/can-bcm', leaking at least '2456' [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Check denominator pbn_div before used [WHAT & HOW] A denominator cannot be 0, and is checked before used. This fixes 1 DIVIDE_BY_ZERO issue reported by Coverity. [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nilfs2: protect references to superblock parameters exposed in sysfs The superblock buffers of nilfs2 can not only be overwritten at runtime for modifications/repairs, but they are also regularly swapped, replaced during resizing, and even abandoned when degrading to one side due to backing device issues. So, accessing them requires mutual exclusion using the reader/writer semaphore "nilfs->ns_sem". Some sysfs attribute show methods read this superblock buffer without the necessary mutual exclusion, which can cause problems with pointer dereferencing and memory access, so fix it. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nilfs2: fix missing cleanup on rollforward recovery error In an error injection test of a routine for mount-time recovery, KASAN found a use-after-free bug. It turned out that if data recovery was performed using partial logs created by dsync writes, but an error occurred before starting the log writer to create a recovered checkpoint, the inodes whose data had been recovered were left in the ns_dirty_files list of the nilfs object and were not freed. Fix this issue by cleaning up inodes that have read the recovery data if the recovery routine fails midway before the log writer starts. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tcp_bpf: fix return value of tcp_bpf_sendmsg() When we cork messages in psock->cork, the last message triggers the flushing will result in sending a sk_msg larger than the current message size. In this case, in tcp_bpf_send_verdict(), 'copied' becomes negative at least in the following case: 468 case __SK_DROP: 469 default: 470 sk_msg_free_partial(sk, msg, tosend); 471 sk_msg_apply_bytes(psock, tosend); 472 *copied -= (tosend + delta); // <==== HERE 473 return -EACCES; Therefore, it could lead to the following BUG with a proper value of 'copied' (thanks to syzbot). We should not use negative 'copied' as a return value here. ------------[ cut here ]------------ kernel BUG at net/socket.c:733! Internal error: Oops - BUG: 00000000f2000800 [#1] PREEMPT SMP Modules linked in: CPU: 0 UID: 0 PID: 3265 Comm: syz-executor510 Not tainted 6.11.0-rc3-syzkaller-00060-gd07b43284ab3 #0 Hardware name: linux,dummy-virt (DT) pstate: 61400009 (nZCv daif +PAN -UAO -TCO +DIT -SSBS BTYPE=--) pc : sock_sendmsg_nosec net/socket.c:733 [inline] pc : sock_sendmsg_nosec net/socket.c:728 [inline] pc : __sock_sendmsg+0x5c/0x60 net/socket.c:745 lr : sock_sendmsg_nosec net/socket.c:730 [inline] lr : __sock_sendmsg+0x54/0x60 net/socket.c:745 sp : ffff800088ea3b30 x29: ffff800088ea3b30 x28: fbf00000062bc900 x27: 0000000000000000 x26: ffff800088ea3bc0 x25: ffff800088ea3bc0 x24: 0000000000000000 x23: f9f00000048dc000 x22: 0000000000000000 x21: ffff800088ea3d90 x20: f9f00000048dc000 x19: ffff800088ea3d90 x18: 0000000000000001 x17: 0000000000000000 x16: 0000000000000000 x15: 000000002002ffaf x14: 0000000000000000 x13: 0000000000000000 x12: 0000000000000000 x11: 0000000000000000 x10: ffff8000815849c0 x9 : ffff8000815b49c0 x8 : 0000000000000000 x7 : 000000000000003f x6 : 0000000000000000 x5 : 00000000000007e0 x4 : fff07ffffd239000 x3 : fbf00000062bc900 x2 : 0000000000000000 x1 : 0000000000000000 x0 : 00000000fffffdef Call trace: sock_sendmsg_nosec net/socket.c:733 [inline] __sock_sendmsg+0x5c/0x60 net/socket.c:745 ____sys_sendmsg+0x274/0x2ac net/socket.c:2597 ___sys_sendmsg+0xac/0x100 net/socket.c:2651 __sys_sendmsg+0x84/0xe0 net/socket.c:2680 __do_sys_sendmsg net/socket.c:2689 [inline] __se_sys_sendmsg net/socket.c:2687 [inline] __arm64_sys_sendmsg+0x24/0x30 net/socket.c:2687 __invoke_syscall arch/arm64/kernel/syscall.c:35 [inline] invoke_syscall+0x48/0x110 arch/arm64/kernel/syscall.c:49 el0_svc_common.constprop.0+0x40/0xe0 arch/arm64/kernel/syscall.c:132 do_el0_svc+0x1c/0x28 arch/arm64/kernel/syscall.c:151 el0_svc+0x34/0xec arch/arm64/kernel/entry-common.c:712 el0t_64_sync_handler+0x100/0x12c arch/arm64/kernel/entry-common.c:730 el0t_64_sync+0x19c/0x1a0 arch/arm64/kernel/entry.S:598 Code: f9404463 d63f0060 3108441f 54fffe81 (d4210000) ---[ end trace 0000000000000000 ]--- [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: mana: Fix error handling in mana_create_txq/rxq's NAPI cleanup Currently napi_disable() gets called during rxq and txq cleanup, even before napi is enabled and hrtimer is initialized. It causes kernel panic. ? page_fault_oops+0x136/0x2b0 ? page_counter_cancel+0x2e/0x80 ? do_user_addr_fault+0x2f2/0x640 ? refill_obj_stock+0xc4/0x110 ? exc_page_fault+0x71/0x160 ? asm_exc_page_fault+0x27/0x30 ? __mmdrop+0x10/0x180 ? __mmdrop+0xec/0x180 ? hrtimer_active+0xd/0x50 hrtimer_try_to_cancel+0x2c/0xf0 hrtimer_cancel+0x15/0x30 napi_disable+0x65/0x90 mana_destroy_rxq+0x4c/0x2f0 mana_create_rxq.isra.0+0x56c/0x6d0 ? mana_uncfg_vport+0x50/0x50 mana_alloc_queues+0x21b/0x320 ? skb_dequeue+0x5f/0x80 [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: x86/tdx: Fix data leak in mmio_read() The mmio_read() function makes a TDVMCALL to retrieve MMIO data for an address from the VMM. Sean noticed that mmio_read() unintentionally exposes the value of an initialized variable (val) on the stack to the VMM. This variable is only needed as an output value. It did not need to be passed to the VMM in the first place. Do not send the original value of *val to the VMM. [ dhansen: clarify what 'val' is used for. ] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N', score=3.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ksmbd: unset the binding mark of a reused connection Steve French reported null pointer dereference error from sha256 lib. cifs.ko can send session setup requests on reused connection. If reused connection is used for binding session, conn->binding can still remain true and generate_preauth_hash() will not set sess->Preauth_HashValue and it will be NULL. It is used as a material to create an encryption key in ksmbd_gen_smb311_encryptionkey. ->Preauth_HashValue cause null pointer dereference error from crypto_shash_update(). BUG: kernel NULL pointer dereference, address: 0000000000000000 #PF: supervisor read access in kernel mode #PF: error_code(0x0000) - not-present page PGD 0 P4D 0 Oops: 0000 [#1] PREEMPT SMP PTI CPU: 8 PID: 429254 Comm: kworker/8:39 Hardware name: LENOVO 20MAS08500/20MAS08500, BIOS N2CET69W (1.52 ) Workqueue: ksmbd-io handle_ksmbd_work [ksmbd] RIP: 0010:lib_sha256_base_do_update.isra.0+0x11e/0x1d0 [sha256_ssse3] <TASK> ? show_regs+0x6d/0x80 ? __die+0x24/0x80 ? page_fault_oops+0x99/0x1b0 ? do_user_addr_fault+0x2ee/0x6b0 ? exc_page_fault+0x83/0x1b0 ? asm_exc_page_fault+0x27/0x30 ? __pfx_sha256_transform_rorx+0x10/0x10 [sha256_ssse3] ? lib_sha256_base_do_update.isra.0+0x11e/0x1d0 [sha256_ssse3] ? __pfx_sha256_transform_rorx+0x10/0x10 [sha256_ssse3] ? __pfx_sha256_transform_rorx+0x10/0x10 [sha256_ssse3] _sha256_update+0x77/0xa0 [sha256_ssse3] sha256_avx2_update+0x15/0x30 [sha256_ssse3] crypto_shash_update+0x1e/0x40 hmac_update+0x12/0x20 crypto_shash_update+0x1e/0x40 generate_key+0x234/0x380 [ksmbd] generate_smb3encryptionkey+0x40/0x1c0 [ksmbd] ksmbd_gen_smb311_encryptionkey+0x72/0xa0 [ksmbd] ntlm_authenticate.isra.0+0x423/0x5d0 [ksmbd] smb2_sess_setup+0x952/0xaa0 [ksmbd] __process_request+0xa3/0x1d0 [ksmbd] __handle_ksmbd_work+0x1c4/0x2f0 [ksmbd] handle_ksmbd_work+0x2d/0xa0 [ksmbd] process_one_work+0x16c/0x350 worker_thread+0x306/0x440 ? __pfx_worker_thread+0x10/0x10 kthread+0xef/0x120 ? __pfx_kthread+0x10/0x10 ret_from_fork+0x44/0x70 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1b/0x30 </TASK> [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ASoC: dapm: Fix UAF for snd_soc_pcm_runtime object When using kernel with the following extra config, - CONFIG_KASAN=y - CONFIG_KASAN_GENERIC=y - CONFIG_KASAN_INLINE=y - CONFIG_KASAN_VMALLOC=y - CONFIG_FRAME_WARN=4096 kernel detects that snd_pcm_suspend_all() access a freed 'snd_soc_pcm_runtime' object when the system is suspended, which leads to a use-after-free bug: [ 52.047746] BUG: KASAN: use-after-free in snd_pcm_suspend_all+0x1a8/0x270 [ 52.047765] Read of size 1 at addr ffff0000b9434d50 by task systemd-sleep/2330 [ 52.047785] Call trace: [ 52.047787] dump_backtrace+0x0/0x3c0 [ 52.047794] show_stack+0x34/0x50 [ 52.047797] dump_stack_lvl+0x68/0x8c [ 52.047802] print_address_description.constprop.0+0x74/0x2c0 [ 52.047809] kasan_report+0x210/0x230 [ 52.047815] __asan_report_load1_noabort+0x3c/0x50 [ 52.047820] snd_pcm_suspend_all+0x1a8/0x270 [ 52.047824] snd_soc_suspend+0x19c/0x4e0 The snd_pcm_sync_stop() has a NULL check on 'substream->runtime' before making any access. So we need to always set 'substream->runtime' to NULL everytime we kfree() it. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: sch/netem: fix use after free in netem_dequeue If netem_dequeue() enqueues packet to inner qdisc and that qdisc returns __NET_XMIT_STOLEN. The packet is dropped but qdisc_tree_reduce_backlog() is not called to update the parent's q.qlen, leading to the similar use-after-free as Commit e04991a48dbaf382 ("netem: fix return value if duplicate enqueue fails") Commands to trigger KASAN UaF: ip link add type dummy ip link set lo up ip link set dummy0 up tc qdisc add dev lo parent root handle 1: drr tc filter add dev lo parent 1: basic classid 1:1 tc class add dev lo classid 1:1 drr tc qdisc add dev lo parent 1:1 handle 2: netem tc qdisc add dev lo parent 2: handle 3: drr tc filter add dev lo parent 3: basic classid 3:1 action mirred egress redirect dev dummy0 tc class add dev lo classid 3:1 drr ping -c1 -W0.01 localhost # Trigger bug tc class del dev lo classid 1:1 tc class add dev lo classid 1:1 drr ping -c1 -W0.01 localhost # UaF [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: added NULL check at start of dc_validate_stream [Why] prevent invalid memory access [How] check if dc and stream are NULL [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ELF: fix kernel.randomize_va_space double read ELF loader uses "randomize_va_space" twice. It is sysctl and can change at any moment, so 2 loads could see 2 different values in theory with unpredictable consequences. Issue exactly one load for consistent value across one exec. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: sched: sch_cake: fix bulk flow accounting logic for host fairness In sch_cake, we keep track of the count of active bulk flows per host, when running in dst/src host fairness mode, which is used as the round-robin weight when iterating through flows. The count of active bulk flows is updated whenever a flow changes state. This has a peculiar interaction with the hash collision handling: when a hash collision occurs (after the set-associative hashing), the state of the hash bucket is simply updated to match the new packet that collided, and if host fairness is enabled, that also means assigning new per-host state to the flow. For this reason, the bulk flow counters of the host(s) assigned to the flow are decremented, before new state is assigned (and the counters, which may not belong to the same host anymore, are incremented again). Back when this code was introduced, the host fairness mode was always enabled, so the decrement was unconditional. When the configuration flags were introduced the *increment* was made conditional, but the *decrement* was not. Which of course can lead to a spurious decrement (and associated wrap-around to U16_MAX). AFAICT, when host fairness is disabled, the decrement and wrap-around happens as soon as a hash collision occurs (which is not that common in itself, due to the set-associative hashing). However, in most cases this is harmless, as the value is only used when host fairness mode is enabled. So in order to trigger an array overflow, sch_cake has to first be configured with host fairness disabled, and while running in this mode, a hash collision has to occur to cause the overflow. Then, the qdisc has to be reconfigured to enable host fairness, which leads to the array out-of-bounds because the wrapped-around value is retained and used as an array index. It seems that syzbot managed to trigger this, which is quite impressive in its own right. This patch fixes the issue by introducing the same conditional check on decrement as is used on increment. The original bug predates the upstreaming of cake, but the commit listed in the Fixes tag touched that code, meaning that this patch won't apply before that. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: rtmutex: Drop rt_mutex::wait_lock before scheduling rt_mutex_handle_deadlock() is called with rt_mutex::wait_lock held. In the good case it returns with the lock held and in the deadlock case it emits a warning and goes into an endless scheduling loop with the lock held, which triggers the 'scheduling in atomic' warning. Unlock rt_mutex::wait_lock in the dead lock case before issuing the warning and dropping into the schedule for ever loop. [ tglx: Moved unlock before the WARN(), removed the pointless comment, massaged changelog, added Fixes tag ] [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: KVM: x86: Acquire kvm->srcu when handling KVM_SET_VCPU_EVENTS Grab kvm->srcu when processing KVM_SET_VCPU_EVENTS, as KVM will forcibly leave nested VMX/SVM if SMM mode is being toggled, and leaving nested VMX reads guest memory. Note, kvm_vcpu_ioctl_x86_set_vcpu_events() can also be called from KVM_RUN via sync_regs(), which already holds SRCU. I.e. trying to precisely use kvm_vcpu_srcu_read_lock() around the problematic SMM code would cause problems. Acquiring SRCU isn't all that expensive, so for simplicity, grab it unconditionally for KVM_SET_VCPU_EVENTS. ============================= WARNING: suspicious RCU usage 6.10.0-rc7-332d2c1d713e-next-vm #552 Not tainted ----------------------------- include/linux/kvm_host.h:1027 suspicious rcu_dereference_check() usage! other info that might help us debug this: rcu_scheduler_active = 2, debug_locks = 1 1 lock held by repro/1071: #0: ffff88811e424430 (&vcpu->mutex){+.+.}-{3:3}, at: kvm_vcpu_ioctl+0x7d/0x970 [kvm] stack backtrace: CPU: 15 PID: 1071 Comm: repro Not tainted 6.10.0-rc7-332d2c1d713e-next-vm #552 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 0.0.0 02/06/2015 Call Trace: <TASK> dump_stack_lvl+0x7f/0x90 lockdep_rcu_suspicious+0x13f/0x1a0 kvm_vcpu_gfn_to_memslot+0x168/0x190 [kvm] kvm_vcpu_read_guest+0x3e/0x90 [kvm] nested_vmx_load_msr+0x6b/0x1d0 [kvm_intel] load_vmcs12_host_state+0x432/0xb40 [kvm_intel] vmx_leave_nested+0x30/0x40 [kvm_intel] kvm_vcpu_ioctl_x86_set_vcpu_events+0x15d/0x2b0 [kvm] kvm_arch_vcpu_ioctl+0x1107/0x1750 [kvm] ? mark_held_locks+0x49/0x70 ? kvm_vcpu_ioctl+0x7d/0x970 [kvm] ? kvm_vcpu_ioctl+0x497/0x970 [kvm] kvm_vcpu_ioctl+0x497/0x970 [kvm] ? lock_acquire+0xba/0x2d0 ? find_held_lock+0x2b/0x80 ? do_user_addr_fault+0x40c/0x6f0 ? lock_release+0xb7/0x270 __x64_sys_ioctl+0x82/0xb0 do_syscall_64+0x6c/0x170 entry_SYSCALL_64_after_hwframe+0x4b/0x53 RIP: 0033:0x7ff11eb1b539 </TASK> [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: Fix smatch static checker warning adev->gfx.imu.funcs could be NULL [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: usb: gadget: aspeed_udc: validate endpoint index for ast udc We should verify the bound of the array to assure that host may not manipulate the index to point past endpoint array. Found by static analysis. [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: spi: rockchip: Resolve unbalanced runtime PM / system PM handling Commit e882575efc77 ("spi: rockchip: Suspend and resume the bus during NOIRQ_SYSTEM_SLEEP_PM ops") stopped respecting runtime PM status and simply disabled clocks unconditionally when suspending the system. This causes problems when the device is already runtime suspended when we go to sleep -- in which case we double-disable clocks and produce a WARNing. Switch back to pm_runtime_force_{suspend,resume}(), because that still seems like the right thing to do, and the aforementioned commit makes no explanation why it stopped using it. Also, refactor some of the resume() error handling, because it's not actually a good idea to re-disable clocks on failure. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: perf/x86/intel: Limit the period on Haswell Running the ltp test cve-2015-3290 concurrently reports the following warnings. perfevents: irq loop stuck! WARNING: CPU: 31 PID: 32438 at arch/x86/events/intel/core.c:3174 intel_pmu_handle_irq+0x285/0x370 Call Trace: <NMI> ? __warn+0xa4/0x220 ? intel_pmu_handle_irq+0x285/0x370 ? __report_bug+0x123/0x130 ? intel_pmu_handle_irq+0x285/0x370 ? __report_bug+0x123/0x130 ? intel_pmu_handle_irq+0x285/0x370 ? report_bug+0x3e/0xa0 ? handle_bug+0x3c/0x70 ? exc_invalid_op+0x18/0x50 ? asm_exc_invalid_op+0x1a/0x20 ? irq_work_claim+0x1e/0x40 ? intel_pmu_handle_irq+0x285/0x370 perf_event_nmi_handler+0x3d/0x60 nmi_handle+0x104/0x330 Thanks to Thomas Gleixner's analysis, the issue is caused by the low initial period (1) of the frequency estimation algorithm, which triggers the defects of the HW, specifically erratum HSW11 and HSW143. (For the details, please refer https://lore.kernel.org/lkml/87plq9l5d2.ffs@tglx/) The HSW11 requires a period larger than 100 for the INST_RETIRED.ALL event, but the initial period in the freq mode is 1. The erratum is the same as the BDM11, which has been supported in the kernel. A minimum period of 128 is enforced as well on HSW. HSW143 is regarding that the fixed counter 1 may overcount 32 with the Hyper-Threading is enabled. However, based on the test, the hardware has more issues than it tells. Besides the fixed counter 1, the message 'interrupt took too long' can be observed on any counter which was armed with a period < 32 and two events expired in the same NMI. A minimum period of 32 is enforced for the rest of the events. The recommended workaround code of the HSW143 is not implemented. Because it only addresses the issue for the fixed counter. It brings extra overhead through extra MSR writing. No related overcounting issue has been reported so far. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ASoC: meson: axg-card: fix 'use-after-free' Buffer 'card->dai_link' is reallocated in 'meson_card_reallocate_links()', so move 'pad' pointer initialization after this function when memory is already reallocated. Kasan bug report: ================================================================== BUG: KASAN: slab-use-after-free in axg_card_add_link+0x76c/0x9bc Read of size 8 at addr ffff000000e8b260 by task modprobe/356 CPU: 0 PID: 356 Comm: modprobe Tainted: G O 6.9.12-sdkernel #1 Call trace: dump_backtrace+0x94/0xec show_stack+0x18/0x24 dump_stack_lvl+0x78/0x90 print_report+0xfc/0x5c0 kasan_report+0xb8/0xfc __asan_load8+0x9c/0xb8 axg_card_add_link+0x76c/0x9bc [snd_soc_meson_axg_sound_card] meson_card_probe+0x344/0x3b8 [snd_soc_meson_card_utils] platform_probe+0x8c/0xf4 really_probe+0x110/0x39c __driver_probe_device+0xb8/0x18c driver_probe_device+0x108/0x1d8 __driver_attach+0xd0/0x25c bus_for_each_dev+0xe0/0x154 driver_attach+0x34/0x44 bus_add_driver+0x134/0x294 driver_register+0xa8/0x1e8 __platform_driver_register+0x44/0x54 axg_card_pdrv_init+0x20/0x1000 [snd_soc_meson_axg_sound_card] do_one_initcall+0xdc/0x25c do_init_module+0x10c/0x334 load_module+0x24c4/0x26cc init_module_from_file+0xd4/0x128 __arm64_sys_finit_module+0x1f4/0x41c invoke_syscall+0x60/0x188 el0_svc_common.constprop.0+0x78/0x13c do_el0_svc+0x30/0x40 el0_svc+0x38/0x78 el0t_64_sync_handler+0x100/0x12c el0t_64_sync+0x190/0x194 [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: dma-buf: heaps: Fix off-by-one in CMA heap fault handler Until VM_DONTEXPAND was added in commit 1c1914d6e8c6 ("dma-buf: heaps: Don't track CMA dma-buf pages under RssFile") it was possible to obtain a mapping larger than the buffer size via mremap and bypass the overflow check in dma_buf_mmap_internal. When using such a mapping to attempt to fault past the end of the buffer, the CMA heap fault handler also checks the fault offset against the buffer size, but gets the boundary wrong by 1. Fix the boundary check so that we don't read off the end of the pages array and insert an arbitrary page in the mapping. [NistCWE(cwe='CWE-193')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: spi: nxp-fspi: fix the KASAN report out-of-bounds bug Change the memcpy length to fix the out-of-bounds issue when writing the data that is not 4 byte aligned to TX FIFO. To reproduce the issue, write 3 bytes data to NOR chip. dd if=3b of=/dev/mtd0 [ 36.926103] ================================================================== [ 36.933409] BUG: KASAN: slab-out-of-bounds in nxp_fspi_exec_op+0x26ec/0x2838 [ 36.940514] Read of size 4 at addr ffff00081037c2a0 by task dd/455 [ 36.946721] [ 36.948235] CPU: 3 UID: 0 PID: 455 Comm: dd Not tainted 6.11.0-rc5-gc7b0e37c8434 #1070 [ 36.956185] Hardware name: Freescale i.MX8QM MEK (DT) [ 36.961260] Call trace: [ 36.963723] dump_backtrace+0x90/0xe8 [ 36.967414] show_stack+0x18/0x24 [ 36.970749] dump_stack_lvl+0x78/0x90 [ 36.974451] print_report+0x114/0x5cc [ 36.978151] kasan_report+0xa4/0xf0 [ 36.981670] __asan_report_load_n_noabort+0x1c/0x28 [ 36.986587] nxp_fspi_exec_op+0x26ec/0x2838 [ 36.990800] spi_mem_exec_op+0x8ec/0xd30 [ 36.994762] spi_mem_no_dirmap_read+0x190/0x1e0 [ 36.999323] spi_mem_dirmap_write+0x238/0x32c [ 37.003710] spi_nor_write_data+0x220/0x374 [ 37.007932] spi_nor_write+0x110/0x2e8 [ 37.011711] mtd_write_oob_std+0x154/0x1f0 [ 37.015838] mtd_write_oob+0x104/0x1d0 [ 37.019617] mtd_write+0xb8/0x12c [ 37.022953] mtdchar_write+0x224/0x47c [ 37.026732] vfs_write+0x1e4/0x8c8 [ 37.030163] ksys_write+0xec/0x1d0 [ 37.033586] __arm64_sys_write+0x6c/0x9c [ 37.037539] invoke_syscall+0x6c/0x258 [ 37.041327] el0_svc_common.constprop.0+0x160/0x22c [ 37.046244] do_el0_svc+0x44/0x5c [ 37.049589] el0_svc+0x38/0x78 [ 37.052681] el0t_64_sync_handler+0x13c/0x158 [ 37.057077] el0t_64_sync+0x190/0x194 [ 37.060775] [ 37.062274] Allocated by task 455: [ 37.065701] kasan_save_stack+0x2c/0x54 [ 37.069570] kasan_save_track+0x20/0x3c [ 37.073438] kasan_save_alloc_info+0x40/0x54 [ 37.077736] __kasan_kmalloc+0xa0/0xb8 [ 37.081515] __kmalloc_noprof+0x158/0x2f8 [ 37.085563] mtd_kmalloc_up_to+0x120/0x154 [ 37.089690] mtdchar_write+0x130/0x47c [ 37.093469] vfs_write+0x1e4/0x8c8 [ 37.096901] ksys_write+0xec/0x1d0 [ 37.100332] __arm64_sys_write+0x6c/0x9c [ 37.104287] invoke_syscall+0x6c/0x258 [ 37.108064] el0_svc_common.constprop.0+0x160/0x22c [ 37.112972] do_el0_svc+0x44/0x5c [ 37.116319] el0_svc+0x38/0x78 [ 37.119401] el0t_64_sync_handler+0x13c/0x158 [ 37.123788] el0t_64_sync+0x190/0x194 [ 37.127474] [ 37.128977] The buggy address belongs to the object at ffff00081037c2a0 [ 37.128977] which belongs to the cache kmalloc-8 of size 8 [ 37.141177] The buggy address is located 0 bytes inside of [ 37.141177] allocated 3-byte region [ffff00081037c2a0, ffff00081037c2a3) [ 37.153465] [ 37.154971] The buggy address belongs to the physical page: [ 37.160559] page: refcount:1 mapcount:0 mapping:0000000000000000 index:0x0 pfn:0x89037c [ 37.168596] flags: 0xbfffe0000000000(node=0|zone=2|lastcpupid=0x1ffff) [ 37.175149] page_type: 0xfdffffff(slab) [ 37.179021] raw: 0bfffe0000000000 ffff000800002500 dead000000000122 0000000000000000 [ 37.186788] raw: 0000000000000000 0000000080800080 00000001fdffffff 0000000000000000 [ 37.194553] page dumped because: kasan: bad access detected [ 37.200144] [ 37.201647] Memory state around the buggy address: [ 37.206460] ffff00081037c180: fa fc fc fc fa fc fc fc fa fc fc fc fa fc fc fc [ 37.213701] ffff00081037c200: fa fc fc fc 05 fc fc fc 03 fc fc fc 02 fc fc fc [ 37.220946] >ffff00081037c280: 06 fc fc fc 03 fc fc fc fc fc fc fc fc fc fc fc [ 37.228186] ^ [ 37.232473] ffff00081037c300: fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc [ 37.239718] ffff00081037c380: fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc [ 37.246962] ============================================================== ---truncated--- [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: dpaa: Pad packets to ETH_ZLEN When sending packets under 60 bytes, up to three bytes of the buffer following the data may be leaked. Avoid this by extending all packets to ETH_ZLEN, ensuring nothing is leaked in the padding. This bug can be reproduced by running $ ping -s 11 destination [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: nft_socket: fix sk refcount leaks We must put 'sk' reference before returning. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mptcp: pm: Fix uaf in __timer_delete_sync There are two paths to access mptcp_pm_del_add_timer, result in a race condition: CPU1 CPU2 ==== ==== net_rx_action napi_poll netlink_sendmsg __napi_poll netlink_unicast process_backlog netlink_unicast_kernel __netif_receive_skb genl_rcv __netif_receive_skb_one_core netlink_rcv_skb NF_HOOK genl_rcv_msg ip_local_deliver_finish genl_family_rcv_msg ip_protocol_deliver_rcu genl_family_rcv_msg_doit tcp_v4_rcv mptcp_pm_nl_flush_addrs_doit tcp_v4_do_rcv mptcp_nl_remove_addrs_list tcp_rcv_established mptcp_pm_remove_addrs_and_subflows tcp_data_queue remove_anno_list_by_saddr mptcp_incoming_options mptcp_pm_del_add_timer mptcp_pm_del_add_timer kfree(entry) In remove_anno_list_by_saddr(running on CPU2), after leaving the critical zone protected by "pm.lock", the entry will be released, which leads to the occurrence of uaf in the mptcp_pm_del_add_timer(running on CPU1). Keeping a reference to add_timer inside the lock, and calling sk_stop_timer_sync() with this reference, instead of "entry->add_timer". Move list_del(&entry->list) to mptcp_pm_del_add_timer and inside the pm lock, do not directly access any members of the entry outside the pm lock, which can avoid similar "entry->x" uaf. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: platform/x86: panasonic-laptop: Fix SINF array out of bounds accesses The panasonic laptop code in various places uses the SINF array with index values of 0 - SINF_CUR_BRIGHT(0x0d) without checking that the SINF array is big enough. Not all panasonic laptops have this many SINF array entries, for example the Toughbook CF-18 model only has 10 SINF array entries. So it only supports the AC+DC brightness entries and mute. Check that the SINF array has a minimum size which covers all AC+DC brightness entries and refuse to load if the SINF array is smaller. For higher SINF indexes hide the sysfs attributes when the SINF array does not contain an entry for that attribute, avoiding show()/store() accessing the array out of bounds and add bounds checking to the probe() and resume() code accessing these. [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fou: fix initialization of grc The grc must be initialize first. There can be a condition where if fou is NULL, goto out will be executed and grc would be used uninitialized. [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/smc: check smcd_v2_ext_offset when receiving proposal msg When receiving proposal msg in server, the field smcd_v2_ext_offset in proposal msg is from the remote client and can not be fully trusted. Once the value of smcd_v2_ext_offset exceed the max value, there has the chance to access wrong address, and crash may happen. This patch checks the value of smcd_v2_ext_offset before using it. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 gst-plugins-base1.0 GStreamer is a library for constructing graphs of media-handling components. A stack-buffer overflow has been detected in the `vorbis_handle_identification_packet` function within `gstvorbisdec.c`. The position array is a stack-allocated buffer of size 64. If vd->vi.channels exceeds 64, the for loop will write beyond the boundaries of the position array. The value written will always be `GST_AUDIO_CHANNEL_POSITION_NONE`. This vulnerability allows someone to overwrite the EIP address allocated in the stack. Additionally, this bug can overwrite the `GstAudioInfo` info structure. This vulnerability is fixed in 1.24.10. [NistCWE(cwe='CWE-121'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Отказаться от использования ПО gstreamer в пользу ПО ffmpeg - При использовании ПО gstreamer выполнять обработку файлов, полученных только из доверенных источников - Запускайте gstreamer с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Включить межсетевой экран ufw - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 gst-plugins-base1.0 GStreamer is a library for constructing graphs of media-handling components. An OOB-write vulnerability has been identified in the gst_ssa_parse_remove_override_codes function of the gstssaparse.c file. This function is responsible for parsing and removing SSA (SubStation Alpha) style override codes, which are enclosed in curly brackets ({}). The issue arises when a closing curly bracket "}" appears before an opening curly bracket "{" in the input string. In this case, memmove() incorrectly duplicates a substring. With each successive loop iteration, the size passed to memmove() becomes progressively larger (strlen(end+1)), leading to a write beyond the allocated memory bounds. This vulnerability is fixed in 1.24.10. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Отказаться от использования ПО gstreamer в пользу ПО ffmpeg - При использовании ПО gstreamer выполнять обработку файлов, полученных только из доверенных источников - Запускайте gstreamer с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Включить межсетевой экран ufw - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 gst-plugins-base1.0 GStreamer is a library for constructing graphs of media-handling components. A null pointer dereference has been discovered in the id3v2_read_synch_uint function, located in id3v2.c. If id3v2_read_synch_uint is called with a null work->hdr.frame_data, the pointer guint8 *data is accessed without validation, resulting in a null pointer dereference. This vulnerability can result in a Denial of Service (DoS) by triggering a segmentation fault (SEGV). This vulnerability is fixed in 1.24.10. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Отказаться от использования ПО gstreamer в пользу ПО ffmpeg - При использовании ПО gstreamer выполнять обработку файлов, полученных только из доверенных источников - Запускайте gstreamer с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Включить межсетевой экран ufw - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 gst-plugins-base1.0 GStreamer is a library for constructing graphs of media-handling components. An OOB-read vulnerability has been detected in the format_channel_mask function in gst-discoverer.c. The vulnerability affects the local array position, which is defined with a fixed size of 64 elements. However, the function gst_discoverer_audio_info_get_channels may return a guint channels value greater than 64. This causes the for loop to attempt access beyond the bounds of the position array, resulting in an OOB-read when an index greater than 63 is used. This vulnerability can result in reading unintended bytes from the stack. Additionally, the dereference of value->value_nick after the OOB-read can lead to further memory corruption or undefined behavior. This vulnerability is fixed in 1.24.10. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) - Отказаться от использования ПО gstreamer в пользу ПО ffmpeg - При использовании ПО gstreamer выполнять обработку файлов, полученных только из доверенных источников - Запускайте gstreamer с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Включить межсетевой экран ufw - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 gstreamer1.0, gst-plugins-good1.0 GStreamer is a library for constructing graphs of media-handling components. An integer underflow has been detected in the function qtdemux_parse_theora_extension within qtdemux.c. The vulnerability occurs due to an underflow of the gint size variable, which causes size to hold a large unintended value when cast to an unsigned integer. This 32-bit negative value is then cast to a 64-bit unsigned integer (0xfffffffffffffffa) in a subsequent call to gst_buffer_new_and_alloc. The function gst_buffer_new_allocate then attempts to allocate memory, eventually calling _sysmem_new_block. The function _sysmem_new_block adds alignment and header size to the (unsigned) size, causing the overflow of the 'slice_size' variable. As a result, only 0x89 bytes are allocated, despite the large input size. When the following memcpy call occurs in gst_buffer_fill, the data from the input file will overwrite the content of the GstMapInfo info structure. Finally, during the call to gst_memory_unmap, the overwritten memory may cause a function pointer hijack, as the mem->allocator->mem_unmap_full function is called with a corrupted pointer. This function pointer overwrite could allow an attacker to alter the execution flow of the program, leading to arbitrary code execution. This vulnerability is fixed in 1.24.10. [NistCWE(cwe='CWE-190'), NistCWE(cwe='CWE-191')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.8 gst-plugins-base1.0 GStreamer is a library for constructing graphs of media-handling components. stack-buffer overflow has been detected in the gst_opus_dec_parse_header function within `gstopusdec.c'. The pos array is a stack-allocated buffer of size 64. If n_channels exceeds 64, the for loop will write beyond the boundaries of the pos array. The value written will always be GST_AUDIO_CHANNEL_POSITION_NONE. This bug allows to overwrite the EIP address allocated in the stack. This vulnerability is fixed in 1.24.10. [NistCWE(cwe='CWE-121'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Отказаться от использования ПО gstreamer в пользу ПО ffmpeg - При использовании ПО gstreamer выполнять обработку файлов, полученных только из доверенных источников - Запускайте gstreamer с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Включить межсетевой экран ufw - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 gst-plugins-base1.0 GStreamer is a library for constructing graphs of media-handling components. An OOB-Write has been detected in the function gst_parse_vorbis_setup_packet within vorbis_parse.c. The integer size is read from the input file without proper validation. As a result, size can exceed the fixed size of the pad->vorbis_mode_sizes array (which size is 256). When this happens, the for loop overwrites the entire pad structure with 0s and 1s, affecting adjacent memory as well. This OOB-write can overwrite up to 380 bytes of memory beyond the boundaries of the pad->vorbis_mode_sizes array. This vulnerability is fixed in 1.24.10. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Отказаться от использования ПО gstreamer в пользу ПО ffmpeg - При использовании ПО gstreamer выполнять обработку файлов, полученных только из доверенных источников - Запускайте gstreamer с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Включить межсетевой экран ufw - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: staging: iio: frequency: ad9834: Validate frequency parameter value In ad9834_write_frequency() clk_get_rate() can return 0. In such case ad9834_calc_freqreg() call will lead to division by zero. Checking 'if (fout > (clk_freq / 2))' doesn't protect in case of 'fout' is 0. ad9834_write_frequency() is called from ad9834_write(), where fout is taken from text buffer, which can contain any value. Modify parameters checking. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nilfs2: fix state management in error path of log writing function After commit a694291a6211 ("nilfs2: separate wait function from nilfs_segctor_write") was applied, the log writing function nilfs_segctor_do_construct() was able to issue I/O requests continuously even if user data blocks were split into multiple logs across segments, but two potential flaws were introduced in its error handling. First, if nilfs_segctor_begin_construction() fails while creating the second or subsequent logs, the log writing function returns without calling nilfs_segctor_abort_construction(), so the writeback flag set on pages/folios will remain uncleared. This causes page cache operations to hang waiting for the writeback flag. For example, truncate_inode_pages_final(), which is called via nilfs_evict_inode() when an inode is evicted from memory, will hang. Second, the NILFS_I_COLLECTED flag set on normal inodes remain uncleared. As a result, if the next log write involves checkpoint creation, that's fine, but if a partial log write is performed that does not, inodes with NILFS_I_COLLECTED set are erroneously removed from the "sc_dirty_files" list, and their data and b-tree blocks may not be written to the device, corrupting the block mapping. Fix these issues by uniformly calling nilfs_segctor_abort_construction() on failure of each step in the loop in nilfs_segctor_do_construct(), having it clean up logs and segment usages according to progress, and correcting the conditions for calling nilfs_redirty_inodes() to ensure that the NILFS_I_COLLECTED flag is cleared. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: USB: usbtmc: prevent kernel-usb-infoleak The syzbot reported a kernel-usb-infoleak in usbtmc_write, we need to clear the structure before filling fields. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: icmp: change the order of rate limits ICMP messages are ratelimited : After the blamed commits, the two rate limiters are applied in this order: 1) host wide ratelimit (icmp_global_allow()) 2) Per destination ratelimit (inetpeer based) In order to avoid side-channels attacks, we need to apply the per destination check first. This patch makes the following change : 1) icmp_global_allow() checks if the host wide limit is reached. But credits are not yet consumed. This is deferred to 3) 2) The per destination limit is checked/updated. This might add a new node in inetpeer tree. 3) icmp_global_consume() consumes tokens if prior operations succeeded. This means that host wide ratelimit is still effective in keeping inetpeer tree small even under DDOS. As a bonus, I removed icmp_global.lock as the fast path can use a lock-free operation. [NistCWE(cwe='CWE-203')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: vfs: fix race between evice_inodes() and find_inode()&iput() Hi, all Recently I noticed a bug[1] in btrfs, after digged it into and I believe it'a race in vfs. Let's assume there's a inode (ie ino 261) with i_count 1 is called by iput(), and there's a concurrent thread calling generic_shutdown_super(). cpu0: cpu1: iput() // i_count is 1 ->spin_lock(inode) ->dec i_count to 0 ->iput_final() generic_shutdown_super() ->__inode_add_lru() ->evict_inodes() // cause some reason[2] ->if (atomic_read(inode->i_count)) continue; // return before // inode 261 passed the above check // list_lru_add_obj() // and then schedule out ->spin_unlock() // note here: the inode 261 // was still at sb list and hash list, // and I_FREEING|I_WILL_FREE was not been set btrfs_iget() // after some function calls ->find_inode() // found the above inode 261 ->spin_lock(inode) // check I_FREEING|I_WILL_FREE // and passed ->__iget() ->spin_unlock(inode) // schedule back ->spin_lock(inode) // check (I_NEW|I_FREEING|I_WILL_FREE) flags, // passed and set I_FREEING iput() ->spin_unlock(inode) ->spin_lock(inode) ->evict() // dec i_count to 0 ->iput_final() ->spin_unlock() ->evict() Now, we have two threads simultaneously evicting the same inode, which may trigger the BUG(inode->i_state & I_CLEAR) statement both within clear_inode() and iput(). To fix the bug, recheck the inode->i_count after holding i_lock. Because in the most scenarios, the first check is valid, and the overhead of spin_lock() can be reduced. If there is any misunderstanding, please let me know, thanks. [1]: https://lore.kernel.org/linux-btrfs/000000000000eabe1d0619c48986@google.com/ [2]: The reason might be 1. SB_ACTIVE was removed or 2. mapping_shrinkable() return false when I reproduced the bug. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: sd: Fix off-by-one error in sd_read_block_characteristics() Ff the device returns page 0xb1 with length 8 (happens with qemu v2.x, for example), sd_read_block_characteristics() may attempt an out-of-bounds memory access when accessing the zoned field at offset 8. [NistCWE(cwe='CWE-193')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tcp: check skb is non-NULL in tcp_rto_delta_us() We have some machines running stock Ubuntu 20.04.6 which is their 5.4.0-174-generic kernel that are running ceph and recently hit a null ptr dereference in tcp_rearm_rto(). Initially hitting it from the TLP path, but then later we also saw it getting hit from the RACK case as well. Here are examples of the oops messages we saw in each of those cases: Jul 26 15:05:02 rx [11061395.780353] BUG: kernel NULL pointer dereference, address: 0000000000000020 Jul 26 15:05:02 rx [11061395.787572] #PF: supervisor read access in kernel mode Jul 26 15:05:02 rx [11061395.792971] #PF: error_code(0x0000) - not-present page Jul 26 15:05:02 rx [11061395.798362] PGD 0 P4D 0 Jul 26 15:05:02 rx [11061395.801164] Oops: 0000 [#1] SMP NOPTI Jul 26 15:05:02 rx [11061395.805091] CPU: 0 PID: 9180 Comm: msgr-worker-1 Tainted: G W 5.4.0-174-generic #193-Ubuntu Jul 26 15:05:02 rx [11061395.814996] Hardware name: Supermicro SMC 2x26 os-gen8 64C NVME-Y 256G/H12SSW-NTR, BIOS 2.5.V1.2U.NVMe.UEFI 05/09/2023 Jul 26 15:05:02 rx [11061395.825952] RIP: 0010:tcp_rearm_rto+0xe4/0x160 Jul 26 15:05:02 rx [11061395.830656] Code: 87 ca 04 00 00 00 5b 41 5c 41 5d 5d c3 c3 49 8b bc 24 40 06 00 00 eb 8d 48 bb cf f7 53 e3 a5 9b c4 20 4c 89 ef e8 0c fe 0e 00 <48> 8b 78 20 48 c1 ef 03 48 89 f8 41 8b bc 24 80 04 00 00 48 f7 e3 Jul 26 15:05:02 rx [11061395.849665] RSP: 0018:ffffb75d40003e08 EFLAGS: 00010246 Jul 26 15:05:02 rx [11061395.855149] RAX: 0000000000000000 RBX: 20c49ba5e353f7cf RCX: 0000000000000000 Jul 26 15:05:02 rx [11061395.862542] RDX: 0000000062177c30 RSI: 000000000000231c RDI: ffff9874ad283a60 Jul 26 15:05:02 rx [11061395.869933] RBP: ffffb75d40003e20 R08: 0000000000000000 R09: ffff987605e20aa8 Jul 26 15:05:02 rx [11061395.877318] R10: ffffb75d40003f00 R11: ffffb75d4460f740 R12: ffff9874ad283900 Jul 26 15:05:02 rx [11061395.884710] R13: ffff9874ad283a60 R14: ffff9874ad283980 R15: ffff9874ad283d30 Jul 26 15:05:02 rx [11061395.892095] FS: 00007f1ef4a2e700(0000) GS:ffff987605e00000(0000) knlGS:0000000000000000 Jul 26 15:05:02 rx [11061395.900438] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 Jul 26 15:05:02 rx [11061395.906435] CR2: 0000000000000020 CR3: 0000003e450ba003 CR4: 0000000000760ef0 Jul 26 15:05:02 rx [11061395.913822] PKRU: 55555554 Jul 26 15:05:02 rx [11061395.916786] Call Trace: Jul 26 15:05:02 rx [11061395.919488] Jul 26 15:05:02 rx [11061395.921765] ? show_regs.cold+0x1a/0x1f Jul 26 15:05:02 rx [11061395.925859] ? __die+0x90/0xd9 Jul 26 15:05:02 rx [11061395.929169] ? no_context+0x196/0x380 Jul 26 15:05:02 rx [11061395.933088] ? ip6_protocol_deliver_rcu+0x4e0/0x4e0 Jul 26 15:05:02 rx [11061395.938216] ? ip6_sublist_rcv_finish+0x3d/0x50 Jul 26 15:05:02 rx [11061395.943000] ? __bad_area_nosemaphore+0x50/0x1a0 Jul 26 15:05:02 rx [11061395.947873] ? bad_area_nosemaphore+0x16/0x20 Jul 26 15:05:02 rx [11061395.952486] ? do_user_addr_fault+0x267/0x450 Jul 26 15:05:02 rx [11061395.957104] ? ipv6_list_rcv+0x112/0x140 Jul 26 15:05:02 rx [11061395.961279] ? __do_page_fault+0x58/0x90 Jul 26 15:05:02 rx [11061395.965458] ? do_page_fault+0x2c/0xe0 Jul 26 15:05:02 rx [11061395.969465] ? page_fault+0x34/0x40 Jul 26 15:05:02 rx [11061395.973217] ? tcp_rearm_rto+0xe4/0x160 Jul 26 15:05:02 rx [11061395.977313] ? tcp_rearm_rto+0xe4/0x160 Jul 26 15:05:02 rx [11061395.981408] tcp_send_loss_probe+0x10b/0x220 Jul 26 15:05:02 rx [11061395.985937] tcp_write_timer_handler+0x1b4/0x240 Jul 26 15:05:02 rx [11061395.990809] tcp_write_timer+0x9e/0xe0 Jul 26 15:05:02 rx [11061395.994814] ? tcp_write_timer_handler+0x240/0x240 Jul 26 15:05:02 rx [11061395.999866] call_timer_fn+0x32/0x130 Jul 26 15:05:02 rx [11061396.003782] __run_timers.part.0+0x180/0x280 Jul 26 15:05:02 rx [11061396.008309] ? recalibrate_cpu_khz+0x10/0x10 Jul 26 15:05:02 rx [11061396.012841] ? native_x2apic_icr_write+0x30/0x30 Jul 26 15:05:02 rx [11061396.017718] ? lapic_next_even ---truncated--- [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: nf_reject_ipv6: fix nf_reject_ip6_tcphdr_put() syzbot reported that nf_reject_ip6_tcphdr_put() was possibly sending garbage on the four reserved tcp bits (th->res1) Use skb_put_zero() to clear the whole TCP header, as done in nf_reject_ip_tcphdr_put() BUG: KMSAN: uninit-value in nf_reject_ip6_tcphdr_put+0x688/0x6c0 net/ipv6/netfilter/nf_reject_ipv6.c:255 nf_reject_ip6_tcphdr_put+0x688/0x6c0 net/ipv6/netfilter/nf_reject_ipv6.c:255 nf_send_reset6+0xd84/0x15b0 net/ipv6/netfilter/nf_reject_ipv6.c:344 nft_reject_inet_eval+0x3c1/0x880 net/netfilter/nft_reject_inet.c:48 expr_call_ops_eval net/netfilter/nf_tables_core.c:240 [inline] nft_do_chain+0x438/0x22a0 net/netfilter/nf_tables_core.c:288 nft_do_chain_inet+0x41a/0x4f0 net/netfilter/nft_chain_filter.c:161 nf_hook_entry_hookfn include/linux/netfilter.h:154 [inline] nf_hook_slow+0xf4/0x400 net/netfilter/core.c:626 nf_hook include/linux/netfilter.h:269 [inline] NF_HOOK include/linux/netfilter.h:312 [inline] ipv6_rcv+0x29b/0x390 net/ipv6/ip6_input.c:310 __netif_receive_skb_one_core net/core/dev.c:5661 [inline] __netif_receive_skb+0x1da/0xa00 net/core/dev.c:5775 process_backlog+0x4ad/0xa50 net/core/dev.c:6108 __napi_poll+0xe7/0x980 net/core/dev.c:6772 napi_poll net/core/dev.c:6841 [inline] net_rx_action+0xa5a/0x19b0 net/core/dev.c:6963 handle_softirqs+0x1ce/0x800 kernel/softirq.c:554 __do_softirq+0x14/0x1a kernel/softirq.c:588 do_softirq+0x9a/0x100 kernel/softirq.c:455 __local_bh_enable_ip+0x9f/0xb0 kernel/softirq.c:382 local_bh_enable include/linux/bottom_half.h:33 [inline] rcu_read_unlock_bh include/linux/rcupdate.h:908 [inline] __dev_queue_xmit+0x2692/0x5610 net/core/dev.c:4450 dev_queue_xmit include/linux/netdevice.h:3105 [inline] neigh_resolve_output+0x9ca/0xae0 net/core/neighbour.c:1565 neigh_output include/net/neighbour.h:542 [inline] ip6_finish_output2+0x2347/0x2ba0 net/ipv6/ip6_output.c:141 __ip6_finish_output net/ipv6/ip6_output.c:215 [inline] ip6_finish_output+0xbb8/0x14b0 net/ipv6/ip6_output.c:226 NF_HOOK_COND include/linux/netfilter.h:303 [inline] ip6_output+0x356/0x620 net/ipv6/ip6_output.c:247 dst_output include/net/dst.h:450 [inline] NF_HOOK include/linux/netfilter.h:314 [inline] ip6_xmit+0x1ba6/0x25d0 net/ipv6/ip6_output.c:366 inet6_csk_xmit+0x442/0x530 net/ipv6/inet6_connection_sock.c:135 __tcp_transmit_skb+0x3b07/0x4880 net/ipv4/tcp_output.c:1466 tcp_transmit_skb net/ipv4/tcp_output.c:1484 [inline] tcp_connect+0x35b6/0x7130 net/ipv4/tcp_output.c:4143 tcp_v6_connect+0x1bcc/0x1e40 net/ipv6/tcp_ipv6.c:333 __inet_stream_connect+0x2ef/0x1730 net/ipv4/af_inet.c:679 inet_stream_connect+0x6a/0xd0 net/ipv4/af_inet.c:750 __sys_connect_file net/socket.c:2061 [inline] __sys_connect+0x606/0x690 net/socket.c:2078 __do_sys_connect net/socket.c:2088 [inline] __se_sys_connect net/socket.c:2085 [inline] __x64_sys_connect+0x91/0xe0 net/socket.c:2085 x64_sys_call+0x27a5/0x3ba0 arch/x86/include/generated/asm/syscalls_64.h:43 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcd/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Uninit was stored to memory at: nf_reject_ip6_tcphdr_put+0x60c/0x6c0 net/ipv6/netfilter/nf_reject_ipv6.c:249 nf_send_reset6+0xd84/0x15b0 net/ipv6/netfilter/nf_reject_ipv6.c:344 nft_reject_inet_eval+0x3c1/0x880 net/netfilter/nft_reject_inet.c:48 expr_call_ops_eval net/netfilter/nf_tables_core.c:240 [inline] nft_do_chain+0x438/0x22a0 net/netfilter/nf_tables_core.c:288 nft_do_chain_inet+0x41a/0x4f0 net/netfilter/nft_chain_filter.c:161 nf_hook_entry_hookfn include/linux/netfilter.h:154 [inline] nf_hook_slow+0xf4/0x400 net/netfilter/core.c:626 nf_hook include/linux/netfilter.h:269 [inline] NF_HOOK include/linux/netfilter.h:312 [inline] ipv6_rcv+0x29b/0x390 net/ipv6/ip6_input.c:310 __netif_receive_skb_one_core ---truncated--- [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ep93xx: clock: Fix off by one in ep93xx_div_recalc_rate() The psc->div[] array has psc->num_div elements. These values come from when we call clk_hw_register_div(). It's adc_divisors and ARRAY_SIZE(adc_divisors)) and so on. So this condition needs to be >= instead of > to prevent an out of bounds read. [NistCWE(cwe='CWE-193')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: f2fs: get rid of online repaire on corrupted directory syzbot reports a f2fs bug as below: kernel BUG at fs/f2fs/inode.c:896! RIP: 0010:f2fs_evict_inode+0x1598/0x15c0 fs/f2fs/inode.c:896 Call Trace: evict+0x532/0x950 fs/inode.c:704 dispose_list fs/inode.c:747 [inline] evict_inodes+0x5f9/0x690 fs/inode.c:797 generic_shutdown_super+0x9d/0x2d0 fs/super.c:627 kill_block_super+0x44/0x90 fs/super.c:1696 kill_f2fs_super+0x344/0x690 fs/f2fs/super.c:4898 deactivate_locked_super+0xc4/0x130 fs/super.c:473 cleanup_mnt+0x41f/0x4b0 fs/namespace.c:1373 task_work_run+0x24f/0x310 kernel/task_work.c:228 ptrace_notify+0x2d2/0x380 kernel/signal.c:2402 ptrace_report_syscall include/linux/ptrace.h:415 [inline] ptrace_report_syscall_exit include/linux/ptrace.h:477 [inline] syscall_exit_work+0xc6/0x190 kernel/entry/common.c:173 syscall_exit_to_user_mode_prepare kernel/entry/common.c:200 [inline] __syscall_exit_to_user_mode_work kernel/entry/common.c:205 [inline] syscall_exit_to_user_mode+0x279/0x370 kernel/entry/common.c:218 do_syscall_64+0x100/0x230 arch/x86/entry/common.c:89 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0010:f2fs_evict_inode+0x1598/0x15c0 fs/f2fs/inode.c:896 Online repaire on corrupted directory in f2fs_lookup() can generate dirty data/meta while racing w/ readonly remount, it may leave dirty inode after filesystem becomes readonly, however, checkpoint() will skips flushing dirty inode in a state of readonly mode, result in above panic. Let's get rid of online repaire in f2fs_lookup(), and leave the work to fsck.f2fs. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nfsd: return -EINVAL when namelen is 0 When we have a corrupted main.sqlite in /var/lib/nfs/nfsdcld/, it may result in namelen being 0, which will cause memdup_user() to return ZERO_SIZE_PTR. When we access the name.data that has been assigned the value of ZERO_SIZE_PTR in nfs4_client_to_reclaim(), null pointer dereference is triggered. [ T1205] ================================================================== [ T1205] BUG: KASAN: null-ptr-deref in nfs4_client_to_reclaim+0xe9/0x260 [ T1205] Read of size 1 at addr 0000000000000010 by task nfsdcld/1205 [ T1205] [ T1205] CPU: 11 PID: 1205 Comm: nfsdcld Not tainted 5.10.0-00003-g2c1423731b8d #406 [ T1205] Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS ?-20190727_073836-buildvm-ppc64le-16.ppc.fedoraproject.org-3.fc31 04/01/2014 [ T1205] Call Trace: [ T1205] dump_stack+0x9a/0xd0 [ T1205] ? nfs4_client_to_reclaim+0xe9/0x260 [ T1205] __kasan_report.cold+0x34/0x84 [ T1205] ? nfs4_client_to_reclaim+0xe9/0x260 [ T1205] kasan_report+0x3a/0x50 [ T1205] nfs4_client_to_reclaim+0xe9/0x260 [ T1205] ? nfsd4_release_lockowner+0x410/0x410 [ T1205] cld_pipe_downcall+0x5ca/0x760 [ T1205] ? nfsd4_cld_tracking_exit+0x1d0/0x1d0 [ T1205] ? down_write_killable_nested+0x170/0x170 [ T1205] ? avc_policy_seqno+0x28/0x40 [ T1205] ? selinux_file_permission+0x1b4/0x1e0 [ T1205] rpc_pipe_write+0x84/0xb0 [ T1205] vfs_write+0x143/0x520 [ T1205] ksys_write+0xc9/0x170 [ T1205] ? __ia32_sys_read+0x50/0x50 [ T1205] ? ktime_get_coarse_real_ts64+0xfe/0x110 [ T1205] ? ktime_get_coarse_real_ts64+0xa2/0x110 [ T1205] do_syscall_64+0x33/0x40 [ T1205] entry_SYSCALL_64_after_hwframe+0x67/0xd1 [ T1205] RIP: 0033:0x7fdbdb761bc7 [ T1205] Code: 0f 00 f7 d8 64 89 02 48 c7 c0 ff ff ff ff eb b7 0f 1f 00 f3 0f 1e fa 64 8b 04 25 18 00 00 00 85 c0 75 10 b8 01 00 00 00 0f 05 <48> 3d 00 f0 ff ff 77 514 [ T1205] RSP: 002b:00007fff8c4b7248 EFLAGS: 00000246 ORIG_RAX: 0000000000000001 [ T1205] RAX: ffffffffffffffda RBX: 000000000000042b RCX: 00007fdbdb761bc7 [ T1205] RDX: 000000000000042b RSI: 00007fff8c4b75f0 RDI: 0000000000000008 [ T1205] RBP: 00007fdbdb761bb0 R08: 0000000000000000 R09: 0000000000000001 [ T1205] R10: 0000000000000000 R11: 0000000000000246 R12: 000000000000042b [ T1205] R13: 0000000000000008 R14: 00007fff8c4b75f0 R15: 0000000000000000 [ T1205] ================================================================== Fix it by checking namelen. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: IB/core: Fix ib_cache_setup_one error flow cleanup When ib_cache_update return an error, we exit ib_cache_setup_one instantly with no proper cleanup, even though before this we had already successfully done gid_table_setup_one, that results in the kernel WARN below. Do proper cleanup using gid_table_cleanup_one before returning the err in order to fix the issue. WARNING: CPU: 4 PID: 922 at drivers/infiniband/core/cache.c:806 gid_table_release_one+0x181/0x1a0 Modules linked in: CPU: 4 UID: 0 PID: 922 Comm: c_repro Not tainted 6.11.0-rc1+ #3 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.13.0-0-gf21b5a4aeb02-prebuilt.qemu.org 04/01/2014 RIP: 0010:gid_table_release_one+0x181/0x1a0 Code: 44 8b 38 75 0c e8 2f cb 34 ff 4d 8b b5 28 05 00 00 e8 23 cb 34 ff 44 89 f9 89 da 4c 89 f6 48 c7 c7 d0 58 14 83 e8 4f de 21 ff <0f> 0b 4c 8b 75 30 e9 54 ff ff ff 48 8 3 c4 10 5b 5d 41 5c 41 5d 41 RSP: 0018:ffffc90002b835b0 EFLAGS: 00010286 RAX: 0000000000000000 RBX: 0000000000000000 RCX: ffffffff811c8527 RDX: 0000000000000000 RSI: ffffffff811c8534 RDI: 0000000000000001 RBP: ffff8881011b3d00 R08: ffff88810b3abe00 R09: 205d303839303631 R10: 666572207972746e R11: 72746e6520444947 R12: 0000000000000001 R13: ffff888106390000 R14: ffff8881011f2110 R15: 0000000000000001 FS: 00007fecc3b70800(0000) GS:ffff88813bd00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000020000340 CR3: 000000010435a001 CR4: 00000000003706b0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> ? show_regs+0x94/0xa0 ? __warn+0x9e/0x1c0 ? gid_table_release_one+0x181/0x1a0 ? report_bug+0x1f9/0x340 ? gid_table_release_one+0x181/0x1a0 ? handle_bug+0xa2/0x110 ? exc_invalid_op+0x31/0xa0 ? asm_exc_invalid_op+0x16/0x20 ? __warn_printk+0xc7/0x180 ? __warn_printk+0xd4/0x180 ? gid_table_release_one+0x181/0x1a0 ib_device_release+0x71/0xe0 ? __pfx_ib_device_release+0x10/0x10 device_release+0x44/0xd0 kobject_put+0x135/0x3d0 put_device+0x20/0x30 rxe_net_add+0x7d/0xa0 rxe_newlink+0xd7/0x190 nldev_newlink+0x1b0/0x2a0 ? __pfx_nldev_newlink+0x10/0x10 rdma_nl_rcv_msg+0x1ad/0x2e0 rdma_nl_rcv_skb.constprop.0+0x176/0x210 netlink_unicast+0x2de/0x400 netlink_sendmsg+0x306/0x660 __sock_sendmsg+0x110/0x120 ____sys_sendmsg+0x30e/0x390 ___sys_sendmsg+0x9b/0xf0 ? kstrtouint+0x6e/0xa0 ? kstrtouint_from_user+0x7c/0xb0 ? get_pid_task+0xb0/0xd0 ? proc_fail_nth_write+0x5b/0x140 ? __fget_light+0x9a/0x200 ? preempt_count_add+0x47/0xa0 __sys_sendmsg+0x61/0xd0 do_syscall_64+0x50/0x110 entry_SYSCALL_64_after_hwframe+0x76/0x7e [NistCWE(cwe='CWE-459')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/rtrs-clt: Reset cid to con_num - 1 to stay in bounds In the function init_conns(), after the create_con() and create_cm() for loop if something fails. In the cleanup for loop after the destroy tag, we access out of bound memory because cid is set to clt_path->s.con_num. This commits resets the cid to clt_path->s.con_num - 1, to stay in bounds in the cleanup loop later. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drivers: media: dvb-frontends/rtl2830: fix an out-of-bounds write error Ensure index in rtl2830_pid_filter does not exceed 31 to prevent out-of-bounds access. dev->filters is a 32-bit value, so set_bit and clear_bit functions should only operate on indices from 0 to 31. If index is 32, it will attempt to access a non-existent 33rd bit, leading to out-of-bounds access. Change the boundary check from index > 32 to index >= 32 to resolve this issue. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drivers: media: dvb-frontends/rtl2832: fix an out-of-bounds write error Ensure index in rtl2832_pid_filter does not exceed 31 to prevent out-of-bounds access. dev->filters is a 32-bit value, so set_bit and clear_bit functions should only operate on indices from 0 to 31. If index is 32, it will attempt to access a non-existent 33rd bit, leading to out-of-bounds access. Change the boundary check from index > 32 to index >= 32 to resolve this issue. [hverkuil: added fixes tag, rtl2830_pid_filter -> rtl2832_pid_filter in logmsg] [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nilfs2: fix potential null-ptr-deref in nilfs_btree_insert() Patch series "nilfs2: fix potential issues with empty b-tree nodes". This series addresses three potential issues with empty b-tree nodes that can occur with corrupted filesystem images, including one recently discovered by syzbot. This patch (of 3): If a b-tree is broken on the device, and the b-tree height is greater than 2 (the level of the root node is greater than 1) even if the number of child nodes of the b-tree root is 0, a NULL pointer dereference occurs in nilfs_btree_prepare_insert(), which is called from nilfs_btree_insert(). This is because, when the number of child nodes of the b-tree root is 0, nilfs_btree_do_lookup() does not set the block buffer head in any of path[x].bp_bh, leaving it as the initial value of NULL, but if the level of the b-tree root node is greater than 1, nilfs_btree_get_nonroot_node(), which accesses the buffer memory of path[x].bp_bh, is called. Fix this issue by adding a check to nilfs_btree_root_broken(), which performs sanity checks when reading the root node from the device, to detect this inconsistency. Thanks to Lizhi Xu for trying to solve the bug and clarifying the cause early on. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ext4: avoid OOB when system.data xattr changes underneath the filesystem When looking up for an entry in an inlined directory, if e_value_offs is changed underneath the filesystem by some change in the block device, it will lead to an out-of-bounds access that KASAN detects as an UAF. EXT4-fs (loop0): mounted filesystem 00000000-0000-0000-0000-000000000000 r/w without journal. Quota mode: none. loop0: detected capacity change from 2048 to 2047 ================================================================== BUG: KASAN: use-after-free in ext4_search_dir+0xf2/0x1c0 fs/ext4/namei.c:1500 Read of size 1 at addr ffff88803e91130f by task syz-executor269/5103 CPU: 0 UID: 0 PID: 5103 Comm: syz-executor269 Not tainted 6.11.0-rc4-syzkaller #0 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014 Call Trace: <TASK> __dump_stack lib/dump_stack.c:93 [inline] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:119 print_address_description mm/kasan/report.c:377 [inline] print_report+0x169/0x550 mm/kasan/report.c:488 kasan_report+0x143/0x180 mm/kasan/report.c:601 ext4_search_dir+0xf2/0x1c0 fs/ext4/namei.c:1500 ext4_find_inline_entry+0x4be/0x5e0 fs/ext4/inline.c:1697 __ext4_find_entry+0x2b4/0x1b30 fs/ext4/namei.c:1573 ext4_lookup_entry fs/ext4/namei.c:1727 [inline] ext4_lookup+0x15f/0x750 fs/ext4/namei.c:1795 lookup_one_qstr_excl+0x11f/0x260 fs/namei.c:1633 filename_create+0x297/0x540 fs/namei.c:3980 do_symlinkat+0xf9/0x3a0 fs/namei.c:4587 __do_sys_symlinkat fs/namei.c:4610 [inline] __se_sys_symlinkat fs/namei.c:4607 [inline] __x64_sys_symlinkat+0x95/0xb0 fs/namei.c:4607 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f3e73ced469 Code: 28 00 00 00 75 05 48 83 c4 28 c3 e8 21 18 00 00 90 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 c7 c1 b8 ff ff ff f7 d8 64 89 01 48 RSP: 002b:00007fff4d40c258 EFLAGS: 00000246 ORIG_RAX: 000000000000010a RAX: ffffffffffffffda RBX: 0032656c69662f2e RCX: 00007f3e73ced469 RDX: 0000000020000200 RSI: 00000000ffffff9c RDI: 00000000200001c0 RBP: 0000000000000000 R08: 00007fff4d40c290 R09: 00007fff4d40c290 R10: 0023706f6f6c2f76 R11: 0000000000000246 R12: 00007fff4d40c27c R13: 0000000000000003 R14: 431bde82d7b634db R15: 00007fff4d40c2b0 </TASK> Calling ext4_xattr_ibody_find right after reading the inode with ext4_get_inode_loc will lead to a check of the validity of the xattrs, avoiding this problem. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: block: fix potential invalid pointer dereference in blk_add_partition The blk_add_partition() function initially used a single if-condition (IS_ERR(part)) to check for errors when adding a partition. This was modified to handle the specific case of -ENXIO separately, allowing the function to proceed without logging the error in this case. However, this change unintentionally left a path where md_autodetect_dev() could be called without confirming that part is a valid pointer. This commit separates the error handling logic by splitting the initial if-condition, improving code readability and handling specific error scenarios explicitly. The function now distinguishes the general error case from -ENXIO without altering the existing behavior of md_autodetect_dev() calls. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: block, bfq: fix possible UAF for bfqq->bic with merge chain 1) initial state, three tasks: Process 1 Process 2 Process 3 (BIC1) (BIC2) (BIC3) | Λ | Λ | Λ | | | | | | V | V | V | bfqq1 bfqq2 bfqq3 process ref: 1 1 1 2) bfqq1 merged to bfqq2: Process 1 Process 2 Process 3 (BIC1) (BIC2) (BIC3) | | | Λ \--------------\| | | V V | bfqq1--------->bfqq2 bfqq3 process ref: 0 2 1 3) bfqq2 merged to bfqq3: Process 1 Process 2 Process 3 (BIC1) (BIC2) (BIC3) here -> Λ | | \--------------\ \-------------\| V V bfqq1--------->bfqq2---------->bfqq3 process ref: 0 1 3 In this case, IO from Process 1 will get bfqq2 from BIC1 first, and then get bfqq3 through merge chain, and finially handle IO by bfqq3. Howerver, current code will think bfqq2 is owned by BIC1, like initial state, and set bfqq2->bic to BIC1. bfq_insert_request -> by Process 1 bfqq = bfq_init_rq(rq) bfqq = bfq_get_bfqq_handle_split bfqq = bic_to_bfqq -> get bfqq2 from BIC1 bfqq->ref++ rq->elv.priv[0] = bic rq->elv.priv[1] = bfqq if (bfqq_process_refs(bfqq) == 1) bfqq->bic = bic -> record BIC1 to bfqq2 __bfq_insert_request new_bfqq = bfq_setup_cooperator -> get bfqq3 from bfqq2->new_bfqq bfqq_request_freed(bfqq) new_bfqq->ref++ rq->elv.priv[1] = new_bfqq -> handle IO by bfqq3 Fix the problem by checking bfqq is from merge chain fist. And this might fix a following problem reported by our syzkaller(unreproducible): ================================================================== BUG: KASAN: slab-use-after-free in bfq_do_early_stable_merge block/bfq-iosched.c:5692 [inline] BUG: KASAN: slab-use-after-free in bfq_do_or_sched_stable_merge block/bfq-iosched.c:5805 [inline] BUG: KASAN: slab-use-after-free in bfq_get_queue+0x25b0/0x2610 block/bfq-iosched.c:5889 Write of size 1 at addr ffff888123839eb8 by task kworker/0:1H/18595 CPU: 0 PID: 18595 Comm: kworker/0:1H Tainted: G L 6.6.0-07439-gba2303cacfda #6 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.14.0-0-g155821a1990b-prebuilt.qemu.org 04/01/2014 Workqueue: kblockd blk_mq_requeue_work Call Trace: <TASK> __dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0x91/0xf0 lib/dump_stack.c:106 print_address_description mm/kasan/report.c:364 [inline] print_report+0x10d/0x610 mm/kasan/report.c:475 kasan_report+0x8e/0xc0 mm/kasan/report.c:588 bfq_do_early_stable_merge block/bfq-iosched.c:5692 [inline] bfq_do_or_sched_stable_merge block/bfq-iosched.c:5805 [inline] bfq_get_queue+0x25b0/0x2610 block/bfq-iosched.c:5889 bfq_get_bfqq_handle_split+0x169/0x5d0 block/bfq-iosched.c:6757 bfq_init_rq block/bfq-iosched.c:6876 [inline] bfq_insert_request block/bfq-iosched.c:6254 [inline] bfq_insert_requests+0x1112/0x5cf0 block/bfq-iosched.c:6304 blk_mq_insert_request+0x290/0x8d0 block/blk-mq.c:2593 blk_mq_requeue_work+0x6bc/0xa70 block/blk-mq.c:1502 process_one_work kernel/workqueue.c:2627 [inline] process_scheduled_works+0x432/0x13f0 kernel/workqueue.c:2700 worker_thread+0x6f2/0x1160 kernel/workqueue.c:2781 kthread+0x33c/0x440 kernel/kthread.c:388 ret_from_fork+0x4d/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1b/0x30 arch/x86/entry/entry_64.S:305 </TASK> Allocated by task 20776: kasan_save_stack+0x20/0x40 mm/kasan/common.c:45 kasan_set_track+0x25/0x30 mm/kasan/common.c:52 __kasan_slab_alloc+0x87/0x90 mm/kasan/common.c:328 kasan_slab_alloc include/linux/kasan.h:188 [inline] slab_post_alloc_hook mm/slab.h:763 [inline] slab_alloc_node mm/slub.c:3458 [inline] kmem_cache_alloc_node+0x1a4/0x6f0 mm/slub.c:3503 ioc_create_icq block/blk-ioc.c:370 [inline] ---truncated--- [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: can: bcm: Clear bo->bcm_proc_read after remove_proc_entry(). syzbot reported a warning in bcm_release(). [0] The blamed change fixed another warning that is triggered when connect() is issued again for a socket whose connect()ed device has been unregistered. However, if the socket is just close()d without the 2nd connect(), the remaining bo->bcm_proc_read triggers unnecessary remove_proc_entry() in bcm_release(). Let's clear bo->bcm_proc_read after remove_proc_entry() in bcm_notify(). [0] name '4986' WARNING: CPU: 0 PID: 5234 at fs/proc/generic.c:711 remove_proc_entry+0x2e7/0x5d0 fs/proc/generic.c:711 Modules linked in: CPU: 0 UID: 0 PID: 5234 Comm: syz-executor606 Not tainted 6.11.0-rc5-syzkaller-00178-g5517ae241919 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 08/06/2024 RIP: 0010:remove_proc_entry+0x2e7/0x5d0 fs/proc/generic.c:711 Code: ff eb 05 e8 cb 1e 5e ff 48 8b 5c 24 10 48 c7 c7 e0 f7 aa 8e e8 2a 38 8e 09 90 48 c7 c7 60 3a 1b 8c 48 89 de e8 da 42 20 ff 90 <0f> 0b 90 90 48 8b 44 24 18 48 c7 44 24 40 0e 36 e0 45 49 c7 04 07 RSP: 0018:ffffc9000345fa20 EFLAGS: 00010246 RAX: 2a2d0aee2eb64600 RBX: ffff888032f1f548 RCX: ffff888029431e00 RDX: 0000000000000000 RSI: 0000000000000000 RDI: 0000000000000000 RBP: ffffc9000345fb08 R08: ffffffff8155b2f2 R09: 1ffff1101710519a R10: dffffc0000000000 R11: ffffed101710519b R12: ffff888011d38640 R13: 0000000000000004 R14: 0000000000000000 R15: dffffc0000000000 FS: 0000000000000000(0000) GS:ffff8880b8800000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fcfb52722f0 CR3: 000000000e734000 CR4: 00000000003506f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> bcm_release+0x250/0x880 net/can/bcm.c:1578 __sock_release net/socket.c:659 [inline] sock_close+0xbc/0x240 net/socket.c:1421 __fput+0x24a/0x8a0 fs/file_table.c:422 task_work_run+0x24f/0x310 kernel/task_work.c:228 exit_task_work include/linux/task_work.h:40 [inline] do_exit+0xa2f/0x27f0 kernel/exit.c:882 do_group_exit+0x207/0x2c0 kernel/exit.c:1031 __do_sys_exit_group kernel/exit.c:1042 [inline] __se_sys_exit_group kernel/exit.c:1040 [inline] __x64_sys_exit_group+0x3f/0x40 kernel/exit.c:1040 x64_sys_call+0x2634/0x2640 arch/x86/include/generated/asm/syscalls_64.h:232 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7fcfb51ee969 Code: Unable to access opcode bytes at 0x7fcfb51ee93f. RSP: 002b:00007ffce0109ca8 EFLAGS: 00000246 ORIG_RAX: 00000000000000e7 RAX: ffffffffffffffda RBX: 0000000000000001 RCX: 00007fcfb51ee969 RDX: 000000000000003c RSI: 00000000000000e7 RDI: 0000000000000001 RBP: 00007fcfb526f3b0 R08: ffffffffffffffb8 R09: 0000555500000000 R10: 0000555500000000 R11: 0000000000000246 R12: 00007fcfb526f3b0 R13: 0000000000000000 R14: 00007fcfb5271ee0 R15: 00007fcfb51bf160 </TASK> [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: sock_map: Add a cond_resched() in sock_hash_free() Several syzbot soft lockup reports all have in common sock_hash_free() If a map with a large number of buckets is destroyed, we need to yield the cpu when needed. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: wilc1000: fix potential RCU dereference issue in wilc_parse_join_bss_param In the `wilc_parse_join_bss_param` function, the TSF field of the `ies` structure is accessed after the RCU read-side critical section is unlocked. According to RCU usage rules, this is illegal. Reusing this pointer can lead to unpredictable behavior, including accessing memory that has been updated or causing use-after-free issues. This possible bug was identified using a static analysis tool developed by myself, specifically designed to detect RCU-related issues. To address this, the TSF value is now stored in a local variable `ies_tsf` before the RCU lock is released. The `param->tsf_lo` field is then assigned using this local variable, ensuring that the TSF value is safely accessed. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: mac80211: use two-phase skb reclamation in ieee80211_do_stop() Since '__dev_queue_xmit()' should be called with interrupts enabled, the following backtrace: ieee80211_do_stop() ... spin_lock_irqsave(&local->queue_stop_reason_lock, flags) ... ieee80211_free_txskb() ieee80211_report_used_skb() ieee80211_report_ack_skb() cfg80211_mgmt_tx_status_ext() nl80211_frame_tx_status() genlmsg_multicast_netns() genlmsg_multicast_netns_filtered() nlmsg_multicast_filtered() netlink_broadcast_filtered() do_one_broadcast() netlink_broadcast_deliver() __netlink_sendskb() netlink_deliver_tap() __netlink_deliver_tap_skb() dev_queue_xmit() __dev_queue_xmit() ; with IRQS disabled ... spin_unlock_irqrestore(&local->queue_stop_reason_lock, flags) issues the warning (as reported by syzbot reproducer): WARNING: CPU: 2 PID: 5128 at kernel/softirq.c:362 __local_bh_enable_ip+0xc3/0x120 Fix this by implementing a two-phase skb reclamation in 'ieee80211_do_stop()', where actual work is performed outside of a section with interrupts disabled. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: rtw88: always wait for both firmware loading attempts In 'rtw_wait_firmware_completion()', always wait for both (regular and wowlan) firmware loading attempts. Otherwise if 'rtw_usb_intf_init()' has failed in 'rtw_usb_probe()', 'rtw_usb_disconnect()' may issue 'ieee80211_free_hw()' when one of 'rtw_load_firmware_cb()' (usually the wowlan one) is still in progress, causing UAF detected by KASAN. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Add null check for set_output_gamma in dcn30_set_output_transfer_func This commit adds a null check for the set_output_gamma function pointer in the dcn30_set_output_transfer_func function. Previously, set_output_gamma was being checked for nullity at line 386, but then it was being dereferenced without any nullity check at line 401. This could potentially lead to a null pointer dereference error if set_output_gamma is indeed null. To fix this, we now ensure that set_output_gamma is not null before dereferencing it. We do this by adding a nullity check for set_output_gamma before the call to set_output_gamma at line 401. If set_output_gamma is null, we log an error message and do not call the function. This fix prevents a potential null pointer dereference error. drivers/gpu/drm/amd/amdgpu/../display/dc/hwss/dcn30/dcn30_hwseq.c:401 dcn30_set_output_transfer_func() error: we previously assumed 'mpc->funcs->set_output_gamma' could be null (see line 386) drivers/gpu/drm/amd/amdgpu/../display/dc/hwss/dcn30/dcn30_hwseq.c 373 bool dcn30_set_output_transfer_func(struct dc *dc, 374 struct pipe_ctx *pipe_ctx, 375 const struct dc_stream_state *stream) 376 { 377 int mpcc_id = pipe_ctx->plane_res.hubp->inst; 378 struct mpc *mpc = pipe_ctx->stream_res.opp->ctx->dc->res_pool->mpc; 379 const struct pwl_params *params = NULL; 380 bool ret = false; 381 382 /* program OGAM or 3DLUT only for the top pipe*/ 383 if (pipe_ctx->top_pipe == NULL) { 384 /*program rmu shaper and 3dlut in MPC*/ 385 ret = dcn30_set_mpc_shaper_3dlut(pipe_ctx, stream); 386 if (ret == false && mpc->funcs->set_output_gamma) { ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ If this is NULL 387 if (stream->out_transfer_func.type == TF_TYPE_HWPWL) 388 params = &stream->out_transfer_func.pwl; 389 else if (pipe_ctx->stream->out_transfer_func.type == 390 TF_TYPE_DISTRIBUTED_POINTS && 391 cm3_helper_translate_curve_to_hw_format( 392 &stream->out_transfer_func, 393 &mpc->blender_params, false)) 394 params = &mpc->blender_params; 395 /* there are no ROM LUTs in OUTGAM */ 396 if (stream->out_transfer_func.type == TF_TYPE_PREDEFINED) 397 BREAK_TO_DEBUGGER(); 398 } 399 } 400 --> 401 mpc->funcs->set_output_gamma(mpc, mpcc_id, params); ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Then it will crash 402 return ret; 403 } [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: jfs: fix out-of-bounds in dbNextAG() and diAlloc() In dbNextAG() , there is no check for the case where bmp->db_numag is greater or same than MAXAG due to a polluted image, which causes an out-of-bounds. Therefore, a bounds check should be added in dbMount(). And in dbNextAG(), a check for the case where agpref is greater than bmp->db_numag should be added, so an out-of-bounds exception should be prevented. Additionally, a check for the case where agno is greater or same than MAXAG should be added in diAlloc() to prevent out-of-bounds. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: x86/tdx: Fix "in-kernel MMIO" check TDX only supports kernel-initiated MMIO operations. The handle_mmio() function checks if the #VE exception occurred in the kernel and rejects the operation if it did not. However, userspace can deceive the kernel into performing MMIO on its behalf. For example, if userspace can point a syscall to an MMIO address, syscall does get_user() or put_user() on it, triggering MMIO #VE. The kernel will treat the #VE as in-kernel MMIO. Ensure that the target MMIO address is within the kernel before decoding instruction. [NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Zero former ARG_PTR_TO_{LONG,INT} args in case of error For all non-tracing helpers which formerly had ARG_PTR_TO_{LONG,INT} as input arguments, zero the value for the case of an error as otherwise it could leak memory. For tracing, it is not needed given CAP_PERFMON can already read all kernel memory anyway hence bpf_get_func_arg() and bpf_get_func_ret() is skipped in here. Also, the MTU helpers mtu_len pointer value is being written but also read. Technically, the MEM_UNINIT should not be there in order to always force init. Removing MEM_UNINIT needs more verifier rework though: MEM_UNINIT right now implies two things actually: i) write into memory, ii) memory does not have to be initialized. If we lift MEM_UNINIT, it then becomes: i) read into memory, ii) memory must be initialized. This means that for bpf_*_check_mtu() we're readding the issue we're trying to fix, that is, it would then be able to write back into things like .rodata BPF maps. Follow-up work will rework the MEM_UNINIT semantics such that the intent can be better expressed. For now just clear the *mtu_len on error path which can be lifted later again. [NistCWE(cwe='CWE-459')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: crypto: hisilicon/qm - inject error before stopping queue The master ooo cannot be completely closed when the accelerator core reports memory error. Therefore, the driver needs to inject the qm error to close the master ooo. Currently, the qm error is injected after stopping queue, memory may be released immediately after stopping queue, causing the device to access the released memory. Therefore, error is injected to close master ooo before stopping queue to ensure that the device does not access the released memory. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drivers/perf: Fix ali_drw_pmu driver interrupt status clearing The alibaba_uncore_pmu driver forgot to clear all interrupt status in the interrupt processing function. After the PMU counter overflow interrupt occurred, an interrupt storm occurred, causing the system to hang. Therefore, clear the correct interrupt status in the interrupt handling function to fix it. [NistCWE(cwe='CWE-459')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bonding: Fix unnecessary warnings and logs from bond_xdp_get_xmit_slave() syzbot reported a WARNING in bond_xdp_get_xmit_slave. To reproduce this[1], one bond device (bond1) has xdpdrv, which increases bpf_master_redirect_enabled_key. Another bond device (bond0) which is unsupported by XDP but its slave (veth3) has xdpgeneric that returns XDP_TX. This triggers WARN_ON_ONCE() from the xdp_master_redirect(). To reduce unnecessary warnings and improve log management, we need to delete the WARN_ON_ONCE() and add ratelimit to the netdev_err(). [1] Steps to reproduce: # Needs tx_xdp with return XDP_TX; ip l add veth0 type veth peer veth1 ip l add veth3 type veth peer veth4 ip l add bond0 type bond mode 6 # BOND_MODE_ALB, unsupported by XDP ip l add bond1 type bond # BOND_MODE_ROUNDROBIN by default ip l set veth0 master bond1 ip l set bond1 up # Increases bpf_master_redirect_enabled_key ip l set dev bond1 xdpdrv object tx_xdp.o section xdp_tx ip l set veth3 master bond0 ip l set bond0 up ip l set veth4 up # Triggers WARN_ON_ONCE() from the xdp_master_redirect() ip l set veth3 xdpgeneric object tx_xdp.o section xdp_tx [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/hns: Fix spin_unlock_irqrestore() called with IRQs enabled Fix missuse of spin_lock_irq()/spin_unlock_irq() when spin_lock_irqsave()/spin_lock_irqrestore() was hold. This was discovered through the lock debugging, and the corresponding log is as follows: raw_local_irq_restore() called with IRQs enabled WARNING: CPU: 96 PID: 2074 at kernel/locking/irqflag-debug.c:10 warn_bogus_irq_restore+0x30/0x40 ... Call trace: warn_bogus_irq_restore+0x30/0x40 _raw_spin_unlock_irqrestore+0x84/0xc8 add_qp_to_list+0x11c/0x148 [hns_roce_hw_v2] hns_roce_create_qp_common.constprop.0+0x240/0x780 [hns_roce_hw_v2] hns_roce_create_qp+0x98/0x160 [hns_roce_hw_v2] create_qp+0x138/0x258 ib_create_qp_kernel+0x50/0xe8 create_mad_qp+0xa8/0x128 ib_mad_port_open+0x218/0x448 ib_mad_init_device+0x70/0x1f8 add_client_context+0xfc/0x220 enable_device_and_get+0xd0/0x140 ib_register_device.part.0+0xf4/0x1c8 ib_register_device+0x34/0x50 hns_roce_register_device+0x174/0x3d0 [hns_roce_hw_v2] hns_roce_init+0xfc/0x2c0 [hns_roce_hw_v2] __hns_roce_hw_v2_init_instance+0x7c/0x1d0 [hns_roce_hw_v2] hns_roce_hw_v2_init_instance+0x9c/0x180 [hns_roce_hw_v2] [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nfsd: call cache_put if xdr_reserve_space returns NULL If not enough buffer space available, but idmap_lookup has triggered lookup_fn which calls cache_get and returns successfully. Then we missed to call cache_put here which pairs with cache_get. Reviwed-by: Jeff Layton <jlayton@kernel.org> [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: padata: use integer wrap around to prevent deadlock on seq_nr overflow When submitting more than 2^32 padata objects to padata_do_serial, the current sorting implementation incorrectly sorts padata objects with overflowed seq_nr, causing them to be placed before existing objects in the reorder list. This leads to a deadlock in the serialization process as padata_find_next cannot match padata->seq_nr and pd->processed because the padata instance with overflowed seq_nr will be selected next. To fix this, we use an unsigned integer wrap around to correctly sort padata objects in scenarios with integer overflow. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: f2fs: Require FMODE_WRITE for atomic write ioctls The F2FS ioctls for starting and committing atomic writes check for inode_owner_or_capable(), but this does not give LSMs like SELinux or Landlock an opportunity to deny the write access - if the caller's FSUID matches the inode's UID, inode_owner_or_capable() immediately returns true. There are scenarios where LSMs want to deny a process the ability to write particular files, even files that the FSUID of the process owns; but this can currently partially be bypassed using atomic write ioctls in two ways: - F2FS_IOC_START_ATOMIC_REPLACE + F2FS_IOC_COMMIT_ATOMIC_WRITE can truncate an inode to size 0 - F2FS_IOC_START_ATOMIC_WRITE + F2FS_IOC_ABORT_ATOMIC_WRITE can revert changes another process concurrently made to a file Fix it by requiring FMODE_WRITE for these operations, just like for F2FS_IOC_MOVE_RANGE. Since any legitimate caller should only be using these ioctls when intending to write into the file, that seems unlikely to break anything. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: KEYS: prevent NULL pointer dereference in find_asymmetric_key() In find_asymmetric_key(), if all NULLs are passed in the id_{0,1,2} arguments, the kernel will first emit WARN but then have an oops because id_2 gets dereferenced anyway. Add the missing id_2 check and move WARN_ON() to the final else branch to avoid duplicate NULL checks. Found by Linux Verification Center (linuxtesting.org) with Svace static analysis tool. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: seeq: Fix use after free vulnerability in ether3 Driver Due to Race Condition In the ether3_probe function, a timer is initialized with a callback function ether3_ledoff, bound to &prev(dev)->timer. Once the timer is started, there is a risk of a race condition if the module or device is removed, triggering the ether3_remove function to perform cleanup. The sequence of operations that may lead to a UAF bug is as follows: CPU0 CPU1 | ether3_ledoff ether3_remove | free_netdev(dev); | put_devic | kfree(dev); | | ether3_outw(priv(dev)->regs.config2 |= CFG2_CTRLO, REG_CONFIG2); | // use dev Fix it by ensuring that the timer is canceled before proceeding with the cleanup in ether3_remove. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: vhost_vdpa: assign irq bypass producer token correctly We used to call irq_bypass_unregister_producer() in vhost_vdpa_setup_vq_irq() which is problematic as we don't know if the token pointer is still valid or not. Actually, we use the eventfd_ctx as the token so the life cycle of the token should be bound to the VHOST_SET_VRING_CALL instead of vhost_vdpa_setup_vq_irq() which could be called by set_status(). Fixing this by setting up irq bypass producer's token when handling VHOST_SET_VRING_CALL and un-registering the producer before calling vhost_vring_ioctl() to prevent a possible use after free as eventfd could have been released in vhost_vring_ioctl(). And such registering and unregistering will only be done if DRIVER_OK is set. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/cxgb4: Added NULL check for lookup_atid The lookup_atid() function can return NULL if the ATID is invalid or does not exist in the identifier table, which could lead to dereferencing a null pointer without a check in the `act_establish()` and `act_open_rpl()` functions. Add a NULL check to prevent null pointer dereferencing. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: RDMA/hns: Fix Use-After-Free of rsv_qp on HIP08 Currently rsv_qp is freed before ib_unregister_device() is called on HIP08. During the time interval, users can still dereg MR and rsv_qp will be used in this process, leading to a UAF. Move the release of rsv_qp after calling ib_unregister_device() to fix it. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: PCI: kirin: Fix buffer overflow in kirin_pcie_parse_port() Within kirin_pcie_parse_port(), the pcie->num_slots is compared to pcie->gpio_id_reset size (MAX_PCI_SLOTS) which is correct and would lead to an overflow. Thus, fix condition to pcie->num_slots + 1 >= MAX_PCI_SLOTS and move pcie->num_slots increment below the if-statement to avoid out-of-bounds array access. Found by Linux Verification Center (linuxtesting.org) with SVACE. [kwilczynski: commit log] [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: PCI: keystone: Fix if-statement expression in ks_pcie_quirk() This code accidentally uses && where || was intended. It potentially results in a NULL dereference. Thus, fix the if-statement expression to use the correct condition. [kwilczynski: commit log] [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nilfs2: fix potential oob read in nilfs_btree_check_delete() The function nilfs_btree_check_delete(), which checks whether degeneration to direct mapping occurs before deleting a b-tree entry, causes memory access outside the block buffer when retrieving the maximum key if the root node has no entries. This does not usually happen because b-tree mappings with 0 child nodes are never created by mkfs.nilfs2 or nilfs2 itself. However, it can happen if the b-tree root node read from a device is configured that way, so fix this potential issue by adding a check for that case. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 dcmtk An improper array index validation vulnerability exists in the nowindow functionality of OFFIS DCMTK 3.6.8. A specially crafted DICOM file can lead to an out-of-bounds write. An attacker can provide a malicious file to trigger this vulnerability. [NistCWE(cwe='CWE-119')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.4) - При использовании ПО dcmtk выполнять обработку файлов, полученных только из доверенных источников - Отказаться от использования ПО dcmtk в пользу ПО gdcm - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 gst-plugins-base1.0 GStreamer is a library for constructing graphs of media-handling components. A null pointer dereference vulnerability has been detected in the parse_lrc function within gstsubparse.c. The parse_lrc function calls strchr() to find the character ']' in the string line. The pointer returned by this call is then passed to g_strdup(). However, if the string line does not contain the character ']', strchr() returns NULL, and a call to g_strdup(start + 1) leads to a null pointer dereference. This vulnerability is fixed in 1.24.10. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Отказаться от использования ПО gstreamer в пользу ПО ffmpeg - При использовании ПО gstreamer выполнять обработку файлов, полученных только из доверенных источников - Запускайте gstreamer с минимально необходимыми привилегиями. Избегайте запуска от имени суперпользователя, если это не требуется. - Включить межсетевой экран ufw - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bcache: revert replacing IS_ERR_OR_NULL with IS_ERR again Commit 028ddcac477b ("bcache: Remove unnecessary NULL point check in node allocations") leads a NULL pointer deference in cache_set_flush(). 1721 if (!IS_ERR_OR_NULL(c->root)) 1722 list_add(&c->root->list, &c->btree_cache); >From the above code in cache_set_flush(), if previous registration code fails before allocating c->root, it is possible c->root is NULL as what it is initialized. __bch_btree_node_alloc() never returns NULL but c->root is possible to be NULL at above line 1721. This patch replaces IS_ERR() by IS_ERR_OR_NULL() to fix this. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/smc: check iparea_offset and ipv6_prefixes_cnt when receiving proposal msg When receiving proposal msg in server, the field iparea_offset and the field ipv6_prefixes_cnt in proposal msg are from the remote client and can not be fully trusted. Especially the field iparea_offset, once exceed the max value, there has the chance to access wrong address, and crash may happen. This patch checks iparea_offset and ipv6_prefixes_cnt before using them. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 ruby3.1 REXML is an XML toolkit for Ruby. The REXML gem before 3.3.9 has a ReDoS vulnerability when it parses an XML that has many digits between &# and x...; in a hex numeric character reference (&#x...;). This does not happen with Ruby 3.2 or later. Ruby 3.1 is the only affected maintained Ruby. The REXML gem 3.3.9 or later include the patch to fix the vulnerability. [NistCWE(cwe='CWE-1333')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - При использовании ПО Ruby выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Ruby-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 python-werkzeug Werkzeug is a Web Server Gateway Interface web application library. Applications using `werkzeug.formparser.MultiPartParser` corresponding to a version of Werkzeug prior to 3.0.6 to parse `multipart/form-data` requests (e.g. all flask applications) are vulnerable to a relatively simple but effective resource exhaustion (denial of service) attack. A specifically crafted form submission request can cause the parser to allocate and block 3 to 8 times the upload size in main memory. There is no upper limit; a single upload at 1 Gbit/s can exhaust 32 GB of RAM in less than 60 seconds. Werkzeug version 3.0.6 fixes this issue. [NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Использовать ПО python-werkzeug только на низком или отдельно выделенном уровне целостности - При использовании ПО python-werkzeug выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска python-werkzeug только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.8 waitress Waitress is a Web Server Gateway Interface server for Python 2 and 3. A remote client may send a request that is exactly recv_bytes (defaults to 8192) long, followed by a secondary request using HTTP pipelining. When request lookahead is disabled (default) we won't read any more requests, and when the first request fails due to a parsing error, we simply close the connection. However when request lookahead is enabled, it is possible to process and receive the first request, start sending the error message back to the client while we read the next request and queue it. This will allow the secondary request to be serviced by the worker thread while the connection should be closed. Waitress 3.0.1 fixes the race condition. As a workaround, disable channel_request_lookahead, this is set to 0 by default disabling this feature. [NistCWE(cwe='CWE-367')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N', score=9.1) Astra Linux 1.8 waitress Waitress is a Web Server Gateway Interface server for Python 2 and 3. When a remote client closes the connection before waitress has had the opportunity to call getpeername() waitress won't correctly clean up the connection leading to the main thread attempting to write to a socket that no longer exists, but not removing it from the list of sockets to attempt to process. This leads to a busy-loop calling the write function. A remote attacker could run waitress out of available sockets with very little resources required. Waitress 3.0.1 contains fixes that remove the race condition. [NistCWE(cwe='CWE-772')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: correctly handle malformed BPF_CORE_TYPE_ID_LOCAL relos In case of malformed relocation record of kind BPF_CORE_TYPE_ID_LOCAL referencing a non-existing BTF type, function bpf_core_calc_relo_insn would cause a null pointer deference. Fix this by adding a proper check upper in call stack, as malformed relocation records could be passed from user space. Simplest reproducer is a program: r0 = 0 exit With a single relocation record: .insn_off = 0, /* patch first instruction */ .type_id = 100500, /* this type id does not exist */ .access_str_off = 6, /* offset of string "0" */ .kind = BPF_CORE_TYPE_ID_LOCAL, See the link for original reproducer or next commit for a test case. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: elx: libefc: Fix potential use after free in efc_nport_vport_del() The kref_put() function will call nport->release if the refcount drops to zero. The nport->release release function is _efc_nport_free() which frees "nport". But then we dereference "nport" on the next line which is a use after free. Re-order these lines to avoid the use after free. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: firmware: arm_scmi: Fix double free in OPTEE transport Channels can be shared between protocols, avoid freeing the same channel descriptors twice when unloading the stack. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: x86/sgx: Fix deadlock in SGX NUMA node search When the current node doesn't have an EPC section configured by firmware and all other EPC sections are used up, CPU can get stuck inside the while loop that looks for an available EPC page from remote nodes indefinitely, leading to a soft lockup. Note how nid_of_current will never be equal to nid in that while loop because nid_of_current is not set in sgx_numa_mask. Also worth mentioning is that it's perfectly fine for the firmware not to setup an EPC section on a node. While setting up an EPC section on each node can enhance performance, it is not a requirement for functionality. Rework the loop to start and end on *a* node that has SGX memory. This avoids the deadlock looking for the current SGX-lacking node to show up in the loop when it never will. [NistCWE(cwe='CWE-835')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: f2fs: fix to check atomic_file in f2fs ioctl interfaces Some f2fs ioctl interfaces like f2fs_ioc_set_pin_file(), f2fs_move_file_range(), and f2fs_defragment_range() missed to check atomic_write status, which may cause potential race issue, fix it. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ACPI: sysfs: validate return type of _STR method Only buffer objects are valid return values of _STR. If something else is returned description_show() will access invalid memory. [NistCWE(cwe='CWE-843')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tracing/timerlat: Fix a race during cpuhp processing There is another found exception that the "timerlat/1" thread was scheduled on CPU0, and lead to timer corruption finally: ``` ODEBUG: init active (active state 0) object: ffff888237c2e108 object type: hrtimer hint: timerlat_irq+0x0/0x220 WARNING: CPU: 0 PID: 426 at lib/debugobjects.c:518 debug_print_object+0x7d/0xb0 Modules linked in: CPU: 0 UID: 0 PID: 426 Comm: timerlat/1 Not tainted 6.11.0-rc7+ #45 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.13.0-1ubuntu1.1 04/01/2014 RIP: 0010:debug_print_object+0x7d/0xb0 ... Call Trace: <TASK> ? __warn+0x7c/0x110 ? debug_print_object+0x7d/0xb0 ? report_bug+0xf1/0x1d0 ? prb_read_valid+0x17/0x20 ? handle_bug+0x3f/0x70 ? exc_invalid_op+0x13/0x60 ? asm_exc_invalid_op+0x16/0x20 ? debug_print_object+0x7d/0xb0 ? debug_print_object+0x7d/0xb0 ? __pfx_timerlat_irq+0x10/0x10 __debug_object_init+0x110/0x150 hrtimer_init+0x1d/0x60 timerlat_main+0xab/0x2d0 ? __pfx_timerlat_main+0x10/0x10 kthread+0xb7/0xe0 ? __pfx_kthread+0x10/0x10 ret_from_fork+0x2d/0x40 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1a/0x30 </TASK> ``` After tracing the scheduling event, it was discovered that the migration of the "timerlat/1" thread was performed during thread creation. Further analysis confirmed that it is because the CPU online processing for osnoise is implemented through workers, which is asynchronous with the offline processing. When the worker was scheduled to create a thread, the CPU may has already been removed from the cpu_online_mask during the offline process, resulting in the inability to select the right CPU: T1 | T2 [CPUHP_ONLINE] | cpu_device_down() osnoise_hotplug_workfn() | | cpus_write_lock() | takedown_cpu(1) | cpus_write_unlock() [CPUHP_OFFLINE] | cpus_read_lock() | start_kthread(1) | cpus_read_unlock() | To fix this, skip online processing if the CPU is already offline. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cachefiles: fix dentry leak in cachefiles_open_file() A dentry leak may be caused when a lookup cookie and a cull are concurrent: P1 | P2 ----------------------------------------------------------- cachefiles_lookup_cookie cachefiles_look_up_object lookup_one_positive_unlocked // get dentry cachefiles_cull inode->i_flags |= S_KERNEL_FILE; cachefiles_open_file cachefiles_mark_inode_in_use __cachefiles_mark_inode_in_use can_use = false if (!(inode->i_flags & S_KERNEL_FILE)) can_use = true return false return false // Returns an error but doesn't put dentry After that the following WARNING will be triggered when the backend folder is umounted: ================================================================== BUG: Dentry 000000008ad87947{i=7a,n=Dx_1_1.img} still in use (1) [unmount of ext4 sda] WARNING: CPU: 4 PID: 359261 at fs/dcache.c:1767 umount_check+0x5d/0x70 CPU: 4 PID: 359261 Comm: umount Not tainted 6.6.0-dirty #25 RIP: 0010:umount_check+0x5d/0x70 Call Trace: <TASK> d_walk+0xda/0x2b0 do_one_tree+0x20/0x40 shrink_dcache_for_umount+0x2c/0x90 generic_shutdown_super+0x20/0x160 kill_block_super+0x1a/0x40 ext4_kill_sb+0x22/0x40 deactivate_locked_super+0x35/0x80 cleanup_mnt+0x104/0x160 ================================================================== Whether cachefiles_open_file() returns true or false, the reference count obtained by lookup_positive_unlocked() in cachefiles_look_up_object() should be released. Therefore release that reference count in cachefiles_look_up_object() to fix the above issue and simplify the code. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Input: adp5589-keys - fix NULL pointer dereference We register a devm action to call adp5589_clear_config() and then pass the i2c client as argument so that we can call i2c_get_clientdata() in order to get our device object. However, i2c_set_clientdata() is only being set at the end of the probe function which means that we'll get a NULL pointer dereference in case the probe function fails early. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ocfs2: fix possible null-ptr-deref in ocfs2_set_buffer_uptodate When doing cleanup, if flags without OCFS2_BH_READAHEAD, it may trigger NULL pointer dereference in the following ocfs2_set_buffer_uptodate() if bh is NULL. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: resource: fix region_intersects() vs add_memory_driver_managed() On a system with CXL memory, the resource tree (/proc/iomem) related to CXL memory may look like something as follows. 490000000-50fffffff : CXL Window 0 490000000-50fffffff : region0 490000000-50fffffff : dax0.0 490000000-50fffffff : System RAM (kmem) Because drivers/dax/kmem.c calls add_memory_driver_managed() during onlining CXL memory, which makes "System RAM (kmem)" a descendant of "CXL Window X". This confuses region_intersects(), which expects all "System RAM" resources to be at the top level of iomem_resource. This can lead to bugs. For example, when the following command line is executed to write some memory in CXL memory range via /dev/mem, $ dd if=data of=/dev/mem bs=$((1 << 10)) seek=$((0x490000000 >> 10)) count=1 dd: error writing '/dev/mem': Bad address 1+0 records in 0+0 records out 0 bytes copied, 0.0283507 s, 0.0 kB/s the command fails as expected. However, the error code is wrong. It should be "Operation not permitted" instead of "Bad address". More seriously, the /dev/mem permission checking in devmem_is_allowed() passes incorrectly. Although the accessing is prevented later because ioremap() isn't allowed to map system RAM, it is a potential security issue. During command executing, the following warning is reported in the kernel log for calling ioremap() on system RAM. ioremap on RAM at 0x0000000490000000 - 0x0000000490000fff WARNING: CPU: 2 PID: 416 at arch/x86/mm/ioremap.c:216 __ioremap_caller.constprop.0+0x131/0x35d Call Trace: memremap+0xcb/0x184 xlate_dev_mem_ptr+0x25/0x2f write_mem+0x94/0xfb vfs_write+0x128/0x26d ksys_write+0xac/0xfe do_syscall_64+0x9a/0xfd entry_SYSCALL_64_after_hwframe+0x4b/0x53 The details of command execution process are as follows. In the above resource tree, "System RAM" is a descendant of "CXL Window 0" instead of a top level resource. So, region_intersects() will report no System RAM resources in the CXL memory region incorrectly, because it only checks the top level resources. Consequently, devmem_is_allowed() will return 1 (allow access via /dev/mem) for CXL memory region incorrectly. Fortunately, ioremap() doesn't allow to map System RAM and reject the access. So, region_intersects() needs to be fixed to work correctly with the resource tree with "System RAM" not at top level as above. To fix it, if we found a unmatched resource in the top level, we will continue to search matched resources in its descendant resources. So, we will not miss any matched resources in resource tree anymore. In the new implementation, an example resource tree |------------- "CXL Window 0" ------------| |-- "System RAM" --| will behave similar as the following fake resource tree for region_intersects(, IORESOURCE_SYSTEM_RAM, ), |-- "System RAM" --||-- "CXL Window 0a" --| Where "CXL Window 0a" is part of the original "CXL Window 0" that isn't covered by "System RAM". [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm: omapdrm: Add missing check for alloc_ordered_workqueue As it may return NULL pointer and cause NULL pointer dereference. Add check for the return value of alloc_ordered_workqueue. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ext4: update orig_path in ext4_find_extent() In ext4_find_extent(), if the path is not big enough, we free it and set *orig_path to NULL. But after reallocating and successfully initializing the path, we don't update *orig_path, in which case the caller gets a valid path but a NULL ppath, and this may cause a NULL pointer dereference or a path memory leak. For example: ext4_split_extent path = *ppath = 2000 ext4_find_extent if (depth > path[0].p_maxdepth) kfree(path = 2000); *orig_path = path = NULL; path = kcalloc() = 3000 ext4_split_extent_at(*ppath = NULL) path = *ppath; ex = path[depth].p_ext; // NULL pointer dereference! ================================================================== BUG: kernel NULL pointer dereference, address: 0000000000000010 CPU: 6 UID: 0 PID: 576 Comm: fsstress Not tainted 6.11.0-rc2-dirty #847 RIP: 0010:ext4_split_extent_at+0x6d/0x560 Call Trace: <TASK> ext4_split_extent.isra.0+0xcb/0x1b0 ext4_ext_convert_to_initialized+0x168/0x6c0 ext4_ext_handle_unwritten_extents+0x325/0x4d0 ext4_ext_map_blocks+0x520/0xdb0 ext4_map_blocks+0x2b0/0x690 ext4_iomap_begin+0x20e/0x2c0 [...] ================================================================== Therefore, *orig_path is updated when the extent lookup succeeds, so that the caller can safely use path or *ppath. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ext4: fix double brelse() the buffer of the extents path In ext4_ext_try_to_merge_up(), set path[1].p_bh to NULL after it has been released, otherwise it may be released twice. An example of what triggers this is as follows: split2 map split1 |--------|-------|--------| ext4_ext_map_blocks ext4_ext_handle_unwritten_extents ext4_split_convert_extents // path->p_depth == 0 ext4_split_extent // 1. do split1 ext4_split_extent_at |ext4_ext_insert_extent | ext4_ext_create_new_leaf | ext4_ext_grow_indepth | le16_add_cpu(&neh->eh_depth, 1) | ext4_find_extent | // return -ENOMEM |// get error and try zeroout |path = ext4_find_extent | path->p_depth = 1 |ext4_ext_try_to_merge | ext4_ext_try_to_merge_up | path->p_depth = 0 | brelse(path[1].p_bh) ---> not set to NULL here |// zeroout success // 2. update path ext4_find_extent // 3. do split2 ext4_split_extent_at ext4_ext_insert_extent ext4_ext_create_new_leaf ext4_ext_grow_indepth le16_add_cpu(&neh->eh_depth, 1) ext4_find_extent path[0].p_bh = NULL; path->p_depth = 1 read_extent_tree_block ---> return err // path[1].p_bh is still the old value ext4_free_ext_path ext4_ext_drop_refs // path->p_depth == 1 brelse(path[1].p_bh) ---> brelse a buffer twice Finally got the following WARRNING when removing the buffer from lru: ============================================ VFS: brelse: Trying to free free buffer WARNING: CPU: 2 PID: 72 at fs/buffer.c:1241 __brelse+0x58/0x90 CPU: 2 PID: 72 Comm: kworker/u19:1 Not tainted 6.9.0-dirty #716 RIP: 0010:__brelse+0x58/0x90 Call Trace: <TASK> __find_get_block+0x6e7/0x810 bdev_getblk+0x2b/0x480 __ext4_get_inode_loc+0x48a/0x1240 ext4_get_inode_loc+0xb2/0x150 ext4_reserve_inode_write+0xb7/0x230 __ext4_mark_inode_dirty+0x144/0x6a0 ext4_ext_insert_extent+0x9c8/0x3230 ext4_ext_map_blocks+0xf45/0x2dc0 ext4_map_blocks+0x724/0x1700 ext4_do_writepages+0x12d6/0x2a70 [...] ============================================ [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ext4: aovid use-after-free in ext4_ext_insert_extent() As Ojaswin mentioned in Link, in ext4_ext_insert_extent(), if the path is reallocated in ext4_ext_create_new_leaf(), we'll use the stale path and cause UAF. Below is a sample trace with dummy values: ext4_ext_insert_extent path = *ppath = 2000 ext4_ext_create_new_leaf(ppath) ext4_find_extent(ppath) path = *ppath = 2000 if (depth > path[0].p_maxdepth) kfree(path = 2000); *ppath = path = NULL; path = kcalloc() = 3000 *ppath = 3000; return path; /* here path is still 2000, UAF! */ eh = path[depth].p_hdr ================================================================== BUG: KASAN: slab-use-after-free in ext4_ext_insert_extent+0x26d4/0x3330 Read of size 8 at addr ffff8881027bf7d0 by task kworker/u36:1/179 CPU: 3 UID: 0 PID: 179 Comm: kworker/u6:1 Not tainted 6.11.0-rc2-dirty #866 Call Trace: <TASK> ext4_ext_insert_extent+0x26d4/0x3330 ext4_ext_map_blocks+0xe22/0x2d40 ext4_map_blocks+0x71e/0x1700 ext4_do_writepages+0x1290/0x2800 [...] Allocated by task 179: ext4_find_extent+0x81c/0x1f70 ext4_ext_map_blocks+0x146/0x2d40 ext4_map_blocks+0x71e/0x1700 ext4_do_writepages+0x1290/0x2800 ext4_writepages+0x26d/0x4e0 do_writepages+0x175/0x700 [...] Freed by task 179: kfree+0xcb/0x240 ext4_find_extent+0x7c0/0x1f70 ext4_ext_insert_extent+0xa26/0x3330 ext4_ext_map_blocks+0xe22/0x2d40 ext4_map_blocks+0x71e/0x1700 ext4_do_writepages+0x1290/0x2800 ext4_writepages+0x26d/0x4e0 do_writepages+0x175/0x700 [...] ================================================================== So use *ppath to update the path to avoid the above problem. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ext4: fix slab-use-after-free in ext4_split_extent_at() We hit the following use-after-free: ================================================================== BUG: KASAN: slab-use-after-free in ext4_split_extent_at+0xba8/0xcc0 Read of size 2 at addr ffff88810548ed08 by task kworker/u20:0/40 CPU: 0 PID: 40 Comm: kworker/u20:0 Not tainted 6.9.0-dirty #724 Call Trace: <TASK> kasan_report+0x93/0xc0 ext4_split_extent_at+0xba8/0xcc0 ext4_split_extent.isra.0+0x18f/0x500 ext4_split_convert_extents+0x275/0x750 ext4_ext_handle_unwritten_extents+0x73e/0x1580 ext4_ext_map_blocks+0xe20/0x2dc0 ext4_map_blocks+0x724/0x1700 ext4_do_writepages+0x12d6/0x2a70 [...] Allocated by task 40: __kmalloc_noprof+0x1ac/0x480 ext4_find_extent+0xf3b/0x1e70 ext4_ext_map_blocks+0x188/0x2dc0 ext4_map_blocks+0x724/0x1700 ext4_do_writepages+0x12d6/0x2a70 [...] Freed by task 40: kfree+0xf1/0x2b0 ext4_find_extent+0xa71/0x1e70 ext4_ext_insert_extent+0xa22/0x3260 ext4_split_extent_at+0x3ef/0xcc0 ext4_split_extent.isra.0+0x18f/0x500 ext4_split_convert_extents+0x275/0x750 ext4_ext_handle_unwritten_extents+0x73e/0x1580 ext4_ext_map_blocks+0xe20/0x2dc0 ext4_map_blocks+0x724/0x1700 ext4_do_writepages+0x12d6/0x2a70 [...] ================================================================== The flow of issue triggering is as follows: ext4_split_extent_at path = *ppath ext4_ext_insert_extent(ppath) ext4_ext_create_new_leaf(ppath) ext4_find_extent(orig_path) path = *orig_path read_extent_tree_block // return -ENOMEM or -EIO ext4_free_ext_path(path) kfree(path) *orig_path = NULL a. If err is -ENOMEM: ext4_ext_dirty(path + path->p_depth) // path use-after-free !!! b. If err is -EIO and we have EXT_DEBUG defined: ext4_ext_show_leaf(path) eh = path[depth].p_hdr // path also use-after-free !!! So when trying to zeroout or fix the extent length, call ext4_find_extent() to update the path. In addition we use *ppath directly as an ext4_ext_show_leaf() input to avoid possible use-after-free when EXT_DEBUG is defined, and to avoid unnecessary path updates. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: platform/x86: ISST: Fix the KASAN report slab-out-of-bounds bug Attaching SST PCI device to VM causes "BUG: KASAN: slab-out-of-bounds". kasan report: [ 19.411889] ================================================================== [ 19.413702] BUG: KASAN: slab-out-of-bounds in _isst_if_get_pci_dev+0x3d5/0x400 [isst_if_common] [ 19.415634] Read of size 8 at addr ffff888829e65200 by task cpuhp/16/113 [ 19.417368] [ 19.418627] CPU: 16 PID: 113 Comm: cpuhp/16 Tainted: G E 6.9.0 #10 [ 19.420435] Hardware name: VMware, Inc. VMware20,1/440BX Desktop Reference Platform, BIOS VMW201.00V.20192059.B64.2207280713 07/28/2022 [ 19.422687] Call Trace: [ 19.424091] <TASK> [ 19.425448] dump_stack_lvl+0x5d/0x80 [ 19.426963] ? _isst_if_get_pci_dev+0x3d5/0x400 [isst_if_common] [ 19.428694] print_report+0x19d/0x52e [ 19.430206] ? __pfx__raw_spin_lock_irqsave+0x10/0x10 [ 19.431837] ? _isst_if_get_pci_dev+0x3d5/0x400 [isst_if_common] [ 19.433539] kasan_report+0xf0/0x170 [ 19.435019] ? _isst_if_get_pci_dev+0x3d5/0x400 [isst_if_common] [ 19.436709] _isst_if_get_pci_dev+0x3d5/0x400 [isst_if_common] [ 19.438379] ? __pfx_sched_clock_cpu+0x10/0x10 [ 19.439910] isst_if_cpu_online+0x406/0x58f [isst_if_common] [ 19.441573] ? __pfx_isst_if_cpu_online+0x10/0x10 [isst_if_common] [ 19.443263] ? ttwu_queue_wakelist+0x2c1/0x360 [ 19.444797] cpuhp_invoke_callback+0x221/0xec0 [ 19.446337] cpuhp_thread_fun+0x21b/0x610 [ 19.447814] ? __pfx_cpuhp_thread_fun+0x10/0x10 [ 19.449354] smpboot_thread_fn+0x2e7/0x6e0 [ 19.450859] ? __pfx_smpboot_thread_fn+0x10/0x10 [ 19.452405] kthread+0x29c/0x350 [ 19.453817] ? __pfx_kthread+0x10/0x10 [ 19.455253] ret_from_fork+0x31/0x70 [ 19.456685] ? __pfx_kthread+0x10/0x10 [ 19.458114] ret_from_fork_asm+0x1a/0x30 [ 19.459573] </TASK> [ 19.460853] [ 19.462055] Allocated by task 1198: [ 19.463410] kasan_save_stack+0x30/0x50 [ 19.464788] kasan_save_track+0x14/0x30 [ 19.466139] __kasan_kmalloc+0xaa/0xb0 [ 19.467465] __kmalloc+0x1cd/0x470 [ 19.468748] isst_if_cdev_register+0x1da/0x350 [isst_if_common] [ 19.470233] isst_if_mbox_init+0x108/0xff0 [isst_if_mbox_msr] [ 19.471670] do_one_initcall+0xa4/0x380 [ 19.472903] do_init_module+0x238/0x760 [ 19.474105] load_module+0x5239/0x6f00 [ 19.475285] init_module_from_file+0xd1/0x130 [ 19.476506] idempotent_init_module+0x23b/0x650 [ 19.477725] __x64_sys_finit_module+0xbe/0x130 [ 19.476506] idempotent_init_module+0x23b/0x650 [ 19.477725] __x64_sys_finit_module+0xbe/0x130 [ 19.478920] do_syscall_64+0x82/0x160 [ 19.480036] entry_SYSCALL_64_after_hwframe+0x76/0x7e [ 19.481292] [ 19.482205] The buggy address belongs to the object at ffff888829e65000 which belongs to the cache kmalloc-512 of size 512 [ 19.484818] The buggy address is located 0 bytes to the right of allocated 512-byte region [ffff888829e65000, ffff888829e65200) [ 19.487447] [ 19.488328] The buggy address belongs to the physical page: [ 19.489569] page: refcount:1 mapcount:0 mapping:0000000000000000 index:0xffff888829e60c00 pfn:0x829e60 [ 19.491140] head: order:3 entire_mapcount:0 nr_pages_mapped:0 pincount:0 [ 19.492466] anon flags: 0x57ffffc0000840(slab|head|node=1|zone=2|lastcpupid=0x1fffff) [ 19.493914] page_type: 0xffffffff() [ 19.494988] raw: 0057ffffc0000840 ffff88810004cc80 0000000000000000 0000000000000001 [ 19.496451] raw: ffff888829e60c00 0000000080200018 00000001ffffffff 0000000000000000 [ 19.497906] head: 0057ffffc0000840 ffff88810004cc80 0000000000000000 0000000000000001 [ 19.499379] head: ffff888829e60c00 0000000080200018 00000001ffffffff 0000000000000000 [ 19.500844] head: 0057ffffc0000003 ffffea0020a79801 ffffea0020a79848 00000000ffffffff [ 19.502316] head: 0000000800000000 0000000000000000 00000000ffffffff 0000000000000000 [ 19.503784] page dumped because: k ---truncated--- [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: lpfc: Validate hdwq pointers before dereferencing in reset/errata paths When the HBA is undergoing a reset or is handling an errata event, NULL ptr dereference crashes may occur in routines such as lpfc_sli_flush_io_rings(), lpfc_dev_loss_tmo_callbk(), or lpfc_abort_handler(). Add NULL ptr checks before dereferencing hdwq pointers that may have been freed due to operations colliding with a reset or errata event handler. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Check null-initialized variables [WHAT & HOW] drr_timing and subvp_pipe are initialized to null and they are not always assigned new values. It is necessary to check for null before dereferencing. This fixes 2 FORWARD_NULL issues reported by Coverity. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Initialize denominators' default to 1 [WHAT & HOW] Variables used as denominators and maybe not assigned to other values, should not be 0. Change their default to 1 so they are never 0. This fixes 10 DIVIDE_BY_ZERO issues reported by Coverity. [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: jfs: check if leafidx greater than num leaves per dmap tree syzbot report a out of bounds in dbSplit, it because dmt_leafidx greater than num leaves per dmap tree, add a checking for dmt_leafidx in dbFindLeaf. Shaggy: Modified sanity check to apply to control pages as well as leaf pages. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: jfs: Fix uaf in dbFreeBits [syzbot reported] ================================================================== BUG: KASAN: slab-use-after-free in __mutex_lock_common kernel/locking/mutex.c:587 [inline] BUG: KASAN: slab-use-after-free in __mutex_lock+0xfe/0xd70 kernel/locking/mutex.c:752 Read of size 8 at addr ffff8880229254b0 by task syz-executor357/5216 CPU: 0 UID: 0 PID: 5216 Comm: syz-executor357 Not tainted 6.11.0-rc3-syzkaller-00156-gd7a5aa4b3c00 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 06/27/2024 Call Trace: <TASK> __dump_stack lib/dump_stack.c:93 [inline] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:119 print_address_description mm/kasan/report.c:377 [inline] print_report+0x169/0x550 mm/kasan/report.c:488 kasan_report+0x143/0x180 mm/kasan/report.c:601 __mutex_lock_common kernel/locking/mutex.c:587 [inline] __mutex_lock+0xfe/0xd70 kernel/locking/mutex.c:752 dbFreeBits+0x7ea/0xd90 fs/jfs/jfs_dmap.c:2390 dbFreeDmap fs/jfs/jfs_dmap.c:2089 [inline] dbFree+0x35b/0x680 fs/jfs/jfs_dmap.c:409 dbDiscardAG+0x8a9/0xa20 fs/jfs/jfs_dmap.c:1650 jfs_ioc_trim+0x433/0x670 fs/jfs/jfs_discard.c:100 jfs_ioctl+0x2d0/0x3e0 fs/jfs/ioctl.c:131 vfs_ioctl fs/ioctl.c:51 [inline] __do_sys_ioctl fs/ioctl.c:907 [inline] __se_sys_ioctl+0xfc/0x170 fs/ioctl.c:893 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 Freed by task 5218: kasan_save_stack mm/kasan/common.c:47 [inline] kasan_save_track+0x3f/0x80 mm/kasan/common.c:68 kasan_save_free_info+0x40/0x50 mm/kasan/generic.c:579 poison_slab_object+0xe0/0x150 mm/kasan/common.c:240 __kasan_slab_free+0x37/0x60 mm/kasan/common.c:256 kasan_slab_free include/linux/kasan.h:184 [inline] slab_free_hook mm/slub.c:2252 [inline] slab_free mm/slub.c:4473 [inline] kfree+0x149/0x360 mm/slub.c:4594 dbUnmount+0x11d/0x190 fs/jfs/jfs_dmap.c:278 jfs_mount_rw+0x4ac/0x6a0 fs/jfs/jfs_mount.c:247 jfs_remount+0x3d1/0x6b0 fs/jfs/super.c:454 reconfigure_super+0x445/0x880 fs/super.c:1083 vfs_cmd_reconfigure fs/fsopen.c:263 [inline] vfs_fsconfig_locked fs/fsopen.c:292 [inline] __do_sys_fsconfig fs/fsopen.c:473 [inline] __se_sys_fsconfig+0xb6e/0xf80 fs/fsopen.c:345 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f [Analysis] There are two paths (dbUnmount and jfs_ioc_trim) that generate race condition when accessing bmap, which leads to the occurrence of uaf. Use the lock s_umount to synchronize them, in order to avoid uaf caused by race condition. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Add null check for 'afb' in amdgpu_dm_plane_handle_cursor_update (v2) This commit adds a null check for the 'afb' variable in the amdgpu_dm_plane_handle_cursor_update function. Previously, 'afb' was assumed to be null, but was used later in the code without a null check. This could potentially lead to a null pointer dereference. Changes since v1: - Moved the null check for 'afb' to the line where 'afb' is used. (Alex) Fixes the below: drivers/gpu/drm/amd/amdgpu/../display/amdgpu_dm/amdgpu_dm_plane.c:1298 amdgpu_dm_plane_handle_cursor_update() error: we previously assumed 'afb' could be null (see line 1252) [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Add NULL check for function pointer in dcn32_set_output_transfer_func This commit adds a null check for the set_output_gamma function pointer in the dcn32_set_output_transfer_func function. Previously, set_output_gamma was being checked for null, but then it was being dereferenced without any null check. This could lead to a null pointer dereference if set_output_gamma is null. To fix this, we now ensure that set_output_gamma is not null before dereferencing it. We do this by adding a null check for set_output_gamma before the call to set_output_gamma. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: x86/ioapic: Handle allocation failures gracefully Breno observed panics when using failslab under certain conditions during runtime: can not alloc irq_pin_list (-1,0,20) Kernel panic - not syncing: IO-APIC: failed to add irq-pin. Can not proceed panic+0x4e9/0x590 mp_irqdomain_alloc+0x9ab/0xa80 irq_domain_alloc_irqs_locked+0x25d/0x8d0 __irq_domain_alloc_irqs+0x80/0x110 mp_map_pin_to_irq+0x645/0x890 acpi_register_gsi_ioapic+0xe6/0x150 hpet_open+0x313/0x480 That's a pointless panic which is a leftover of the historic IO/APIC code which panic'ed during early boot when the interrupt allocation failed. The only place which might justify panic is the PIT/HPET timer_check() code which tries to figure out whether the timer interrupt is delivered through the IO/APIC. But that code does not require to handle interrupt allocation failures. If the interrupt cannot be allocated then timer delivery fails and it either panics due to that or falls back to legacy mode. Cure this by removing the panic wrapper around __add_pin_to_irq_node() and making mp_irqdomain_alloc() aware of the failure condition and handle it as any other failure in this function gracefully. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: iwlwifi: mvm: avoid NULL pointer dereference iwl_mvm_tx_skb_sta() and iwl_mvm_tx_mpdu() verify that the mvmvsta pointer is not NULL. It retrieves this pointer using iwl_mvm_sta_from_mac80211, which is dereferencing the ieee80211_sta pointer. If sta is NULL, iwl_mvm_sta_from_mac80211 will dereference a NULL pointer. Fix this by checking the sta pointer before retrieving the mvmsta from it. If sta is not NULL, then mvmsta isn't either. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: blk_iocost: fix more out of bound shifts Recently running UBSAN caught few out of bound shifts in the ioc_forgive_debts() function: UBSAN: shift-out-of-bounds in block/blk-iocost.c:2142:38 shift exponent 80 is too large for 64-bit type 'u64' (aka 'unsigned long long') ... UBSAN: shift-out-of-bounds in block/blk-iocost.c:2144:30 shift exponent 80 is too large for 64-bit type 'u64' (aka 'unsigned long long') ... Call Trace: <IRQ> dump_stack_lvl+0xca/0x130 __ubsan_handle_shift_out_of_bounds+0x22c/0x280 ? __lock_acquire+0x6441/0x7c10 ioc_timer_fn+0x6cec/0x7750 ? blk_iocost_init+0x720/0x720 ? call_timer_fn+0x5d/0x470 call_timer_fn+0xfa/0x470 ? blk_iocost_init+0x720/0x720 __run_timer_base+0x519/0x700 ... Actual impact of this issue was not identified but I propose to fix the undefined behaviour. The proposed fix to prevent those out of bound shifts consist of precalculating exponent before using it the shift operations by taking min value from the actual exponent and maximum possible number of bits. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fs/inode: Prevent dump_mapping() accessing invalid dentry.d_name.name It's observed that a crash occurs during hot-remove a memory device, in which user is accessing the hugetlb. See calltrace as following: ------------[ cut here ]------------ WARNING: CPU: 1 PID: 14045 at arch/x86/mm/fault.c:1278 do_user_addr_fault+0x2a0/0x790 Modules linked in: kmem device_dax cxl_mem cxl_pmem cxl_port cxl_pci dax_hmem dax_pmem nd_pmem cxl_acpi nd_btt cxl_core crc32c_intel nvme virtiofs fuse nvme_core nfit libnvdimm dm_multipath scsi_dh_rdac scsi_dh_emc s mirror dm_region_hash dm_log dm_mod CPU: 1 PID: 14045 Comm: daxctl Not tainted 6.10.0-rc2-lizhijian+ #492 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS rel-1.16.3-0-ga6ed6b701f0a-prebuilt.qemu.org 04/01/2014 RIP: 0010:do_user_addr_fault+0x2a0/0x790 Code: 48 8b 00 a8 04 0f 84 b5 fe ff ff e9 1c ff ff ff 4c 89 e9 4c 89 e2 be 01 00 00 00 bf 02 00 00 00 e8 b5 ef 24 00 e9 42 fe ff ff <0f> 0b 48 83 c4 08 4c 89 ea 48 89 ee 4c 89 e7 5b 5d 41 5c 41 5d 41 RSP: 0000:ffffc90000a575f0 EFLAGS: 00010046 RAX: ffff88800c303600 RBX: 0000000000000000 RCX: 0000000000000000 RDX: 0000000000001000 RSI: ffffffff82504162 RDI: ffffffff824b2c36 RBP: 0000000000000000 R08: 0000000000000000 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000000 R12: ffffc90000a57658 R13: 0000000000001000 R14: ffff88800bc2e040 R15: 0000000000000000 FS: 00007f51cb57d880(0000) GS:ffff88807fd00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000001000 CR3: 00000000072e2004 CR4: 00000000001706f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <TASK> ? __warn+0x8d/0x190 ? do_user_addr_fault+0x2a0/0x790 ? report_bug+0x1c3/0x1d0 ? handle_bug+0x3c/0x70 ? exc_invalid_op+0x14/0x70 ? asm_exc_invalid_op+0x16/0x20 ? do_user_addr_fault+0x2a0/0x790 ? exc_page_fault+0x31/0x200 exc_page_fault+0x68/0x200 <...snip...> BUG: unable to handle page fault for address: 0000000000001000 #PF: supervisor read access in kernel mode #PF: error_code(0x0000) - not-present page PGD 800000000ad92067 P4D 800000000ad92067 PUD 7677067 PMD 0 Oops: Oops: 0000 [#1] PREEMPT SMP PTI ---[ end trace 0000000000000000 ]--- BUG: unable to handle page fault for address: 0000000000001000 #PF: supervisor read access in kernel mode #PF: error_code(0x0000) - not-present page PGD 800000000ad92067 P4D 800000000ad92067 PUD 7677067 PMD 0 Oops: Oops: 0000 [#1] PREEMPT SMP PTI CPU: 1 PID: 14045 Comm: daxctl Kdump: loaded Tainted: G W 6.10.0-rc2-lizhijian+ #492 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS rel-1.16.3-0-ga6ed6b701f0a-prebuilt.qemu.org 04/01/2014 RIP: 0010:dentry_name+0x1f4/0x440 <...snip...> ? dentry_name+0x2fa/0x440 vsnprintf+0x1f3/0x4f0 vprintk_store+0x23a/0x540 vprintk_emit+0x6d/0x330 _printk+0x58/0x80 dump_mapping+0x10b/0x1a0 ? __pfx_free_object_rcu+0x10/0x10 __dump_page+0x26b/0x3e0 ? vprintk_emit+0xe0/0x330 ? _printk+0x58/0x80 ? dump_page+0x17/0x50 dump_page+0x17/0x50 do_migrate_range+0x2f7/0x7f0 ? do_migrate_range+0x42/0x7f0 ? offline_pages+0x2f4/0x8c0 offline_pages+0x60a/0x8c0 memory_subsys_offline+0x9f/0x1c0 ? lockdep_hardirqs_on+0x77/0x100 ? _raw_spin_unlock_irqrestore+0x38/0x60 device_offline+0xe3/0x110 state_store+0x6e/0xc0 kernfs_fop_write_iter+0x143/0x200 vfs_write+0x39f/0x560 ksys_write+0x65/0xf0 do_syscall_64+0x62/0x130 Previously, some sanity check have been done in dump_mapping() before the print facility parsing '%pd' though, it's still possible to run into an invalid dentry.d_name.name. Since dump_mapping() only needs to dump the filename only, retrieve it by itself in a safer way to prevent an unnecessary crash. Note that either retrieving the filename with '%pd' or strncpy_from_kernel_nofault(), the filename could be unreliable. [] None NistCVSS3(cvss='AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=4.6) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ACPI: PAD: fix crash in exit_round_robin() The kernel occasionally crashes in cpumask_clear_cpu(), which is called within exit_round_robin(), because when executing clear_bit(nr, addr) with nr set to 0xffffffff, the address calculation may cause misalignment within the memory, leading to access to an invalid memory address. ---------- BUG: unable to handle kernel paging request at ffffffffe0740618 ... CPU: 3 PID: 2919323 Comm: acpi_pad/14 Kdump: loaded Tainted: G OE X --------- - - 4.18.0-425.19.2.el8_7.x86_64 #1 ... RIP: 0010:power_saving_thread+0x313/0x411 [acpi_pad] Code: 89 cd 48 89 d3 eb d1 48 c7 c7 55 70 72 c0 e8 64 86 b0 e4 c6 05 0d a1 02 00 01 e9 bc fd ff ff 45 89 e4 42 8b 04 a5 20 82 72 c0 <f0> 48 0f b3 05 f4 9c 01 00 42 c7 04 a5 20 82 72 c0 ff ff ff ff 31 RSP: 0018:ff72a5d51fa77ec8 EFLAGS: 00010202 RAX: 00000000ffffffff RBX: ff462981e5d8cb80 RCX: 0000000000000000 RDX: 0000000000000000 RSI: 0000000000000246 RDI: 0000000000000246 RBP: ff46297556959d80 R08: 0000000000000382 R09: ff46297c8d0f38d8 R10: 0000000000000000 R11: 0000000000000001 R12: 000000000000000e R13: 0000000000000000 R14: ffffffffffffffff R15: 000000000000000e FS: 0000000000000000(0000) GS:ff46297a800c0000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: ffffffffe0740618 CR3: 0000007e20410004 CR4: 0000000000771ee0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 PKRU: 55555554 Call Trace: ? acpi_pad_add+0x120/0x120 [acpi_pad] kthread+0x10b/0x130 ? set_kthread_struct+0x50/0x50 ret_from_fork+0x1f/0x40 ... CR2: ffffffffe0740618 crash> dis -lr ffffffffc0726923 ... /usr/src/debug/kernel-4.18.0-425.19.2.el8_7/linux-4.18.0-425.19.2.el8_7.x86_64/./include/linux/cpumask.h: 114 0xffffffffc0726918 <power_saving_thread+776>: mov %r12d,%r12d /usr/src/debug/kernel-4.18.0-425.19.2.el8_7/linux-4.18.0-425.19.2.el8_7.x86_64/./include/linux/cpumask.h: 325 0xffffffffc072691b <power_saving_thread+779>: mov -0x3f8d7de0(,%r12,4),%eax /usr/src/debug/kernel-4.18.0-425.19.2.el8_7/linux-4.18.0-425.19.2.el8_7.x86_64/./arch/x86/include/asm/bitops.h: 80 0xffffffffc0726923 <power_saving_thread+787>: lock btr %rax,0x19cf4(%rip) # 0xffffffffc0740620 <pad_busy_cpus_bits> crash> px tsk_in_cpu[14] $66 = 0xffffffff crash> px 0xffffffffc072692c+0x19cf4 $99 = 0xffffffffc0740620 crash> sym 0xffffffffc0740620 ffffffffc0740620 (b) pad_busy_cpus_bits [acpi_pad] crash> px pad_busy_cpus_bits[0] $42 = 0xfffc0 ---------- To fix this, ensure that tsk_in_cpu[tsk_index] != -1 before calling cpumask_clear_cpu() in exit_round_robin(), just as it is done in round_robin_cpu(). [ rjw: Subject edit, avoid updates to the same value ] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: wifi: cfg80211: Set correct chandef when starting CAC When starting CAC in a mode other than AP mode, it return a "WARNING: CPU: 0 PID: 63 at cfg80211_chandef_dfs_usable+0x20/0xaf [cfg80211]" caused by the chandef.chan being null at the end of CAC. Solution: Ensure the channel definition is set for the different modes when starting CAC to avoid getting a NULL 'chan' at the end of CAC. Call Trace: ? show_regs.part.0+0x14/0x16 ? __warn+0x67/0xc0 ? cfg80211_chandef_dfs_usable+0x20/0xaf [cfg80211] ? report_bug+0xa7/0x130 ? exc_overflow+0x30/0x30 ? handle_bug+0x27/0x50 ? exc_invalid_op+0x18/0x60 ? handle_exception+0xf6/0xf6 ? exc_overflow+0x30/0x30 ? cfg80211_chandef_dfs_usable+0x20/0xaf [cfg80211] ? exc_overflow+0x30/0x30 ? cfg80211_chandef_dfs_usable+0x20/0xaf [cfg80211] ? regulatory_propagate_dfs_state.cold+0x1b/0x4c [cfg80211] ? cfg80211_propagate_cac_done_wk+0x1a/0x30 [cfg80211] ? process_one_work+0x165/0x280 ? worker_thread+0x120/0x3f0 ? kthread+0xc2/0xf0 ? process_one_work+0x280/0x280 ? kthread_complete_and_exit+0x20/0x20 ? ret_from_fork+0x19/0x24 [shorten subject, remove OCB, reorder cases to match previous list] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: sctp: set sk_state back to CLOSED if autobind fails in sctp_listen_start In sctp_listen_start() invoked by sctp_inet_listen(), it should set the sk_state back to CLOSED if sctp_autobind() fails due to whatever reason. Otherwise, next time when calling sctp_inet_listen(), if sctp_sk(sk)->reuse is already set via setsockopt(SCTP_REUSE_PORT), sctp_sk(sk)->bind_hash will be dereferenced as sk_state is LISTENING, which causes a crash as bind_hash is NULL. KASAN: null-ptr-deref in range [0x0000000000000000-0x0000000000000007] RIP: 0010:sctp_inet_listen+0x7f0/0xa20 net/sctp/socket.c:8617 Call Trace: <TASK> __sys_listen_socket net/socket.c:1883 [inline] __sys_listen+0x1b7/0x230 net/socket.c:1894 __do_sys_listen net/socket.c:1902 [inline] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ppp: do not assume bh is held in ppp_channel_bridge_input() Networking receive path is usually handled from BH handler. However, some protocols need to acquire the socket lock, and packets might be stored in the socket backlog is the socket was owned by a user process. In this case, release_sock(), __release_sock(), and sk_backlog_rcv() might call the sk->sk_backlog_rcv() handler in process context. sybot caught ppp was not considering this case in ppp_channel_bridge_input() : WARNING: inconsistent lock state 6.11.0-rc7-syzkaller-g5f5673607153 #0 Not tainted -------------------------------- inconsistent {SOFTIRQ-ON-W} -> {IN-SOFTIRQ-W} usage. ksoftirqd/1/24 [HC0[0]:SC1[1]:HE1:SE0] takes: ffff0000db7f11e0 (&pch->downl){+.?.}-{2:2}, at: spin_lock include/linux/spinlock.h:351 [inline] ffff0000db7f11e0 (&pch->downl){+.?.}-{2:2}, at: ppp_channel_bridge_input drivers/net/ppp/ppp_generic.c:2272 [inline] ffff0000db7f11e0 (&pch->downl){+.?.}-{2:2}, at: ppp_input+0x16c/0x854 drivers/net/ppp/ppp_generic.c:2304 {SOFTIRQ-ON-W} state was registered at: lock_acquire+0x240/0x728 kernel/locking/lockdep.c:5759 __raw_spin_lock include/linux/spinlock_api_smp.h:133 [inline] _raw_spin_lock+0x48/0x60 kernel/locking/spinlock.c:154 spin_lock include/linux/spinlock.h:351 [inline] ppp_channel_bridge_input drivers/net/ppp/ppp_generic.c:2272 [inline] ppp_input+0x16c/0x854 drivers/net/ppp/ppp_generic.c:2304 pppoe_rcv_core+0xfc/0x314 drivers/net/ppp/pppoe.c:379 sk_backlog_rcv include/net/sock.h:1111 [inline] __release_sock+0x1a8/0x3d8 net/core/sock.c:3004 release_sock+0x68/0x1b8 net/core/sock.c:3558 pppoe_sendmsg+0xc8/0x5d8 drivers/net/ppp/pppoe.c:903 sock_sendmsg_nosec net/socket.c:730 [inline] __sock_sendmsg net/socket.c:745 [inline] __sys_sendto+0x374/0x4f4 net/socket.c:2204 __do_sys_sendto net/socket.c:2216 [inline] __se_sys_sendto net/socket.c:2212 [inline] __arm64_sys_sendto+0xd8/0xf8 net/socket.c:2212 __invoke_syscall arch/arm64/kernel/syscall.c:35 [inline] invoke_syscall+0x98/0x2b8 arch/arm64/kernel/syscall.c:49 el0_svc_common+0x130/0x23c arch/arm64/kernel/syscall.c:132 do_el0_svc+0x48/0x58 arch/arm64/kernel/syscall.c:151 el0_svc+0x54/0x168 arch/arm64/kernel/entry-common.c:712 el0t_64_sync_handler+0x84/0xfc arch/arm64/kernel/entry-common.c:730 el0t_64_sync+0x190/0x194 arch/arm64/kernel/entry.S:598 irq event stamp: 282914 hardirqs last enabled at (282914): [<ffff80008b42e30c>] __raw_spin_unlock_irqrestore include/linux/spinlock_api_smp.h:151 [inline] hardirqs last enabled at (282914): [<ffff80008b42e30c>] _raw_spin_unlock_irqrestore+0x38/0x98 kernel/locking/spinlock.c:194 hardirqs last disabled at (282913): [<ffff80008b42e13c>] __raw_spin_lock_irqsave include/linux/spinlock_api_smp.h:108 [inline] hardirqs last disabled at (282913): [<ffff80008b42e13c>] _raw_spin_lock_irqsave+0x2c/0x7c kernel/locking/spinlock.c:162 softirqs last enabled at (282904): [<ffff8000801f8e88>] softirq_handle_end kernel/softirq.c:400 [inline] softirqs last enabled at (282904): [<ffff8000801f8e88>] handle_softirqs+0xa3c/0xbfc kernel/softirq.c:582 softirqs last disabled at (282909): [<ffff8000801fbdf8>] run_ksoftirqd+0x70/0x158 kernel/softirq.c:928 other info that might help us debug this: Possible unsafe locking scenario: CPU0 ---- lock(&pch->downl); <Interrupt> lock(&pch->downl); *** DEADLOCK *** 1 lock held by ksoftirqd/1/24: #0: ffff80008f74dfa0 (rcu_read_lock){....}-{1:2}, at: rcu_lock_acquire+0x10/0x4c include/linux/rcupdate.h:325 stack backtrace: CPU: 1 UID: 0 PID: 24 Comm: ksoftirqd/1 Not tainted 6.11.0-rc7-syzkaller-g5f5673607153 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 08/06/2024 Call trace: dump_backtrace+0x1b8/0x1e4 arch/arm64/kernel/stacktrace.c:319 show_stack+0x2c/0x3c arch/arm64/kernel/stacktrace.c:326 __dump_sta ---truncated--- [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: add more sanity checks to qdisc_pkt_len_init() One path takes care of SKB_GSO_DODGY, assuming skb->len is bigger than hdr_len. virtio_net_hdr_to_skb() does not fully dissect TCP headers, it only make sure it is at least 20 bytes. It is possible for an user to provide a malicious 'GSO' packet, total length of 80 bytes. - 20 bytes of IPv4 header - 60 bytes TCP header - a small gso_size like 8 virtio_net_hdr_to_skb() would declare this packet as a normal GSO packet, because it would see 40 bytes of payload, bigger than gso_size. We need to make detect this case to not underflow qdisc_skb_cb(skb)->pkt_len. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: avoid potential underflow in qdisc_pkt_len_init() with UFO After commit 7c6d2ecbda83 ("net: be more gentle about silly gso requests coming from user") virtio_net_hdr_to_skb() had sanity check to detect malicious attempts from user space to cook a bad GSO packet. Then commit cf9acc90c80ec ("net: virtio_net_hdr_to_skb: count transport header in UFO") while fixing one issue, allowed user space to cook a GSO packet with the following characteristic : IPv4 SKB_GSO_UDP, gso_size=3, skb->len = 28. When this packet arrives in qdisc_pkt_len_init(), we end up with hdr_len = 28 (IPv4 header + UDP header), matching skb->len Then the following sets gso_segs to 0 : gso_segs = DIV_ROUND_UP(skb->len - hdr_len, shinfo->gso_size); Then later we set qdisc_skb_cb(skb)->pkt_len to back to zero :/ qdisc_skb_cb(skb)->pkt_len += (gso_segs - 1) * hdr_len; This leads to the following crash in fq_codel [1] qdisc_pkt_len_init() is best effort, we only want an estimation of the bytes sent on the wire, not crashing the kernel. This patch is fixing this particular issue, a following one adds more sanity checks for another potential bug. [1] [ 70.724101] BUG: kernel NULL pointer dereference, address: 0000000000000000 [ 70.724561] #PF: supervisor read access in kernel mode [ 70.724561] #PF: error_code(0x0000) - not-present page [ 70.724561] PGD 10ac61067 P4D 10ac61067 PUD 107ee2067 PMD 0 [ 70.724561] Oops: Oops: 0000 [#1] SMP NOPTI [ 70.724561] CPU: 11 UID: 0 PID: 2163 Comm: b358537762 Not tainted 6.11.0-virtme #991 [ 70.724561] Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.3-debian-1.16.3-2 04/01/2014 [ 70.724561] RIP: 0010:fq_codel_enqueue (net/sched/sch_fq_codel.c:120 net/sched/sch_fq_codel.c:168 net/sched/sch_fq_codel.c:230) sch_fq_codel [ 70.724561] Code: 24 08 49 c1 e1 06 44 89 7c 24 18 45 31 ed 45 31 c0 31 ff 89 44 24 14 4c 03 8b 90 01 00 00 eb 04 39 ca 73 37 4d 8b 39 83 c7 01 <49> 8b 17 49 89 11 41 8b 57 28 45 8b 5f 34 49 c7 07 00 00 00 00 49 All code ======== 0: 24 08 and $0x8,%al 2: 49 c1 e1 06 shl $0x6,%r9 6: 44 89 7c 24 18 mov %r15d,0x18(%rsp) b: 45 31 ed xor %r13d,%r13d e: 45 31 c0 xor %r8d,%r8d 11: 31 ff xor %edi,%edi 13: 89 44 24 14 mov %eax,0x14(%rsp) 17: 4c 03 8b 90 01 00 00 add 0x190(%rbx),%r9 1e: eb 04 jmp 0x24 20: 39 ca cmp %ecx,%edx 22: 73 37 jae 0x5b 24: 4d 8b 39 mov (%r9),%r15 27: 83 c7 01 add $0x1,%edi 2a:* 49 8b 17 mov (%r15),%rdx <-- trapping instruction 2d: 49 89 11 mov %rdx,(%r9) 30: 41 8b 57 28 mov 0x28(%r15),%edx 34: 45 8b 5f 34 mov 0x34(%r15),%r11d 38: 49 c7 07 00 00 00 00 movq $0x0,(%r15) 3f: 49 rex.WB Code starting with the faulting instruction =========================================== 0: 49 8b 17 mov (%r15),%rdx 3: 49 89 11 mov %rdx,(%r9) 6: 41 8b 57 28 mov 0x28(%r15),%edx a: 45 8b 5f 34 mov 0x34(%r15),%r11d e: 49 c7 07 00 00 00 00 movq $0x0,(%r15) 15: 49 rex.WB [ 70.724561] RSP: 0018:ffff95ae85e6fb90 EFLAGS: 00000202 [ 70.724561] RAX: 0000000002000000 RBX: ffff95ae841de000 RCX: 0000000000000000 [ 70.724561] RDX: 0000000000000000 RSI: 0000000000000001 RDI: 0000000000000001 [ 70.724561] RBP: ffff95ae85e6fbf8 R08: 0000000000000000 R09: ffff95b710a30000 [ 70.724561] R10: 0000000000000000 R11: bdf289445ce31881 R12: ffff95ae85e6fc58 [ 70.724561] R13: 0000000000000000 R14: 0000000000000040 R15: 0000000000000000 [ 70.724561] FS: 000000002c5c1380(0000) GS:ffff95bd7fcc0000(0000) knlGS:0000000000000000 [ 70.724561] CS: 0010 DS: 0000 ES: 0000 C ---truncated--- [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: L2CAP: Fix uaf in l2cap_connect [Syzbot reported] BUG: KASAN: slab-use-after-free in l2cap_connect.constprop.0+0x10d8/0x1270 net/bluetooth/l2cap_core.c:3949 Read of size 8 at addr ffff8880241e9800 by task kworker/u9:0/54 CPU: 0 UID: 0 PID: 54 Comm: kworker/u9:0 Not tainted 6.11.0-rc6-syzkaller-00268-g788220eee30d #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 08/06/2024 Workqueue: hci2 hci_rx_work Call Trace: <TASK> __dump_stack lib/dump_stack.c:93 [inline] dump_stack_lvl+0x116/0x1f0 lib/dump_stack.c:119 print_address_description mm/kasan/report.c:377 [inline] print_report+0xc3/0x620 mm/kasan/report.c:488 kasan_report+0xd9/0x110 mm/kasan/report.c:601 l2cap_connect.constprop.0+0x10d8/0x1270 net/bluetooth/l2cap_core.c:3949 l2cap_connect_req net/bluetooth/l2cap_core.c:4080 [inline] l2cap_bredr_sig_cmd net/bluetooth/l2cap_core.c:4772 [inline] l2cap_sig_channel net/bluetooth/l2cap_core.c:5543 [inline] l2cap_recv_frame+0xf0b/0x8eb0 net/bluetooth/l2cap_core.c:6825 l2cap_recv_acldata+0x9b4/0xb70 net/bluetooth/l2cap_core.c:7514 hci_acldata_packet net/bluetooth/hci_core.c:3791 [inline] hci_rx_work+0xaab/0x1610 net/bluetooth/hci_core.c:4028 process_one_work+0x9c5/0x1b40 kernel/workqueue.c:3231 process_scheduled_works kernel/workqueue.c:3312 [inline] worker_thread+0x6c8/0xed0 kernel/workqueue.c:3389 kthread+0x2c1/0x3a0 kernel/kthread.c:389 ret_from_fork+0x45/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:244 ... Freed by task 5245: kasan_save_stack+0x33/0x60 mm/kasan/common.c:47 kasan_save_track+0x14/0x30 mm/kasan/common.c:68 kasan_save_free_info+0x3b/0x60 mm/kasan/generic.c:579 poison_slab_object+0xf7/0x160 mm/kasan/common.c:240 __kasan_slab_free+0x32/0x50 mm/kasan/common.c:256 kasan_slab_free include/linux/kasan.h:184 [inline] slab_free_hook mm/slub.c:2256 [inline] slab_free mm/slub.c:4477 [inline] kfree+0x12a/0x3b0 mm/slub.c:4598 l2cap_conn_free net/bluetooth/l2cap_core.c:1810 [inline] kref_put include/linux/kref.h:65 [inline] l2cap_conn_put net/bluetooth/l2cap_core.c:1822 [inline] l2cap_conn_del+0x59d/0x730 net/bluetooth/l2cap_core.c:1802 l2cap_connect_cfm+0x9e6/0xf80 net/bluetooth/l2cap_core.c:7241 hci_connect_cfm include/net/bluetooth/hci_core.h:1960 [inline] hci_conn_failed+0x1c3/0x370 net/bluetooth/hci_conn.c:1265 hci_abort_conn_sync+0x75a/0xb50 net/bluetooth/hci_sync.c:5583 abort_conn_sync+0x197/0x360 net/bluetooth/hci_conn.c:2917 hci_cmd_sync_work+0x1a4/0x410 net/bluetooth/hci_sync.c:328 process_one_work+0x9c5/0x1b40 kernel/workqueue.c:3231 process_scheduled_works kernel/workqueue.c:3312 [inline] worker_thread+0x6c8/0xed0 kernel/workqueue.c:3389 kthread+0x2c1/0x3a0 kernel/kthread.c:389 ret_from_fork+0x45/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:244 [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: MGMT: Fix possible crash on mgmt_index_removed If mgmt_index_removed is called while there are commands queued on cmd_sync it could lead to crashes like the bellow trace: 0x0000053D: __list_del_entry_valid_or_report+0x98/0xdc 0x0000053D: mgmt_pending_remove+0x18/0x58 [bluetooth] 0x0000053E: mgmt_remove_adv_monitor_complete+0x80/0x108 [bluetooth] 0x0000053E: hci_cmd_sync_work+0xbc/0x164 [bluetooth] So while handling mgmt_index_removed this attempts to dequeue commands passed as user_data to cmd_sync. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: static_call: Replace pointless WARN_ON() in static_call_module_notify() static_call_module_notify() triggers a WARN_ON(), when memory allocation fails in __static_call_add_module(). That's not really justified, because the failure case must be correctly handled by the well known call chain and the error code is passed through to the initiating userspace application. A memory allocation fail is not a fatal problem, but the WARN_ON() takes the machine out when panic_on_warn is set. Replace it with a pr_warn(). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ACPI: battery: Fix possible crash when unregistering a battery hook When a battery hook returns an error when adding a new battery, then the battery hook is automatically unregistered. However the battery hook provider cannot know that, so it will later call battery_hook_unregister() on the already unregistered battery hook, resulting in a crash. Fix this by using the list head to mark already unregistered battery hooks as already being unregistered so that they can be ignored by battery_hook_unregister(). [NistCWE(cwe='CWE-672')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ocfs2: fix null-ptr-deref when journal load failed. During the mounting process, if journal_reset() fails because of too short journal, then lead to jbd2_journal_load() fails with NULL j_sb_buffer. Subsequently, ocfs2_journal_shutdown() calls jbd2_journal_flush()->jbd2_cleanup_journal_tail()-> __jbd2_update_log_tail()->jbd2_journal_update_sb_log_tail() ->lock_buffer(journal->j_sb_buffer), resulting in a null-pointer dereference error. To resolve this issue, we should check the JBD2_LOADED flag to ensure the journal was properly loaded. Additionally, use journal instead of osb->journal directly to simplify the code. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ocfs2: reserve space for inline xattr before attaching reflink tree One of our customers reported a crash and a corrupted ocfs2 filesystem. The crash was due to the detection of corruption. Upon troubleshooting, the fsck -fn output showed the below corruption [EXTENT_LIST_FREE] Extent list in owner 33080590 claims 230 as the next free chain record, but fsck believes the largest valid value is 227. Clamp the next record value? n The stat output from the debugfs.ocfs2 showed the following corruption where the "Next Free Rec:" had overshot the "Count:" in the root metadata block. Inode: 33080590 Mode: 0640 Generation: 2619713622 (0x9c25a856) FS Generation: 904309833 (0x35e6ac49) CRC32: 00000000 ECC: 0000 Type: Regular Attr: 0x0 Flags: Valid Dynamic Features: (0x16) HasXattr InlineXattr Refcounted Extended Attributes Block: 0 Extended Attributes Inline Size: 256 User: 0 (root) Group: 0 (root) Size: 281320357888 Links: 1 Clusters: 141738 ctime: 0x66911b56 0x316edcb8 -- Fri Jul 12 06:02:30.829349048 2024 atime: 0x66911d6b 0x7f7a28d -- Fri Jul 12 06:11:23.133669517 2024 mtime: 0x66911b56 0x12ed75d7 -- Fri Jul 12 06:02:30.317552087 2024 dtime: 0x0 -- Wed Dec 31 17:00:00 1969 Refcount Block: 2777346 Last Extblk: 2886943 Orphan Slot: 0 Sub Alloc Slot: 0 Sub Alloc Bit: 14 Tree Depth: 1 Count: 227 Next Free Rec: 230 ## Offset Clusters Block# 0 0 2310 2776351 1 2310 2139 2777375 2 4449 1221 2778399 3 5670 731 2779423 4 6401 566 2780447 ....... .... ....... ....... .... ....... The issue was in the reflink workfow while reserving space for inline xattr. The problematic function is ocfs2_reflink_xattr_inline(). By the time this function is called the reflink tree is already recreated at the destination inode from the source inode. At this point, this function reserves space for inline xattrs at the destination inode without even checking if there is space at the root metadata block. It simply reduces the l_count from 243 to 227 thereby making space of 256 bytes for inline xattr whereas the inode already has extents beyond this index (in this case up to 230), thereby causing corruption. The fix for this is to reserve space for inline metadata at the destination inode before the reflink tree gets recreated. The customer has verified the fix. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: jbd2: stop waiting for space when jbd2_cleanup_journal_tail() returns error In __jbd2_log_wait_for_space(), we might call jbd2_cleanup_journal_tail() to recover some journal space. But if an error occurs while executing jbd2_cleanup_journal_tail() (e.g., an EIO), we don't stop waiting for free space right away, we try other branches, and if j_committing_transaction is NULL (i.e., the tid is 0), we will get the following complain: ============================================ JBD2: I/O error when updating journal superblock for sdd-8. __jbd2_log_wait_for_space: needed 256 blocks and only had 217 space available __jbd2_log_wait_for_space: no way to get more journal space in sdd-8 ------------[ cut here ]------------ WARNING: CPU: 2 PID: 139804 at fs/jbd2/checkpoint.c:109 __jbd2_log_wait_for_space+0x251/0x2e0 Modules linked in: CPU: 2 PID: 139804 Comm: kworker/u8:3 Not tainted 6.6.0+ #1 RIP: 0010:__jbd2_log_wait_for_space+0x251/0x2e0 Call Trace: <TASK> add_transaction_credits+0x5d1/0x5e0 start_this_handle+0x1ef/0x6a0 jbd2__journal_start+0x18b/0x340 ext4_dirty_inode+0x5d/0xb0 __mark_inode_dirty+0xe4/0x5d0 generic_update_time+0x60/0x70 [...] ============================================ So only if jbd2_cleanup_journal_tail() returns 1, i.e., there is nothing to clean up at the moment, continue to try to reclaim free space in other ways. Note that this fix relies on commit 6f6a6fda2945 ("jbd2: fix ocfs2 corrupt when updating journal superblock fails") to make jbd2_cleanup_journal_tail return the correct error code. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: media: i2c: ar0521: Use cansleep version of gpiod_set_value() If we use GPIO reset from I2C port expander, we must use *_cansleep() variant of GPIO functions. This was not done in ar0521_power_on()/ar0521_power_off() functions. Let's fix that. ------------[ cut here ]------------ WARNING: CPU: 0 PID: 11 at drivers/gpio/gpiolib.c:3496 gpiod_set_value+0x74/0x7c Modules linked in: CPU: 0 PID: 11 Comm: kworker/u16:0 Not tainted 6.10.0 #53 Hardware name: Diasom DS-RK3568-SOM-EVB (DT) Workqueue: events_unbound deferred_probe_work_func pstate: 80400009 (Nzcv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : gpiod_set_value+0x74/0x7c lr : ar0521_power_on+0xcc/0x290 sp : ffffff8001d7ab70 x29: ffffff8001d7ab70 x28: ffffff80027dcc90 x27: ffffff8003c82000 x26: ffffff8003ca9250 x25: ffffffc080a39c60 x24: ffffff8003ca9088 x23: ffffff8002402720 x22: ffffff8003ca9080 x21: ffffff8003ca9088 x20: 0000000000000000 x19: ffffff8001eb2a00 x18: ffffff80efeeac80 x17: 756d2d6332692f30 x16: 0000000000000000 x15: 0000000000000000 x14: ffffff8001d91d40 x13: 0000000000000016 x12: ffffffc080e98930 x11: ffffff8001eb2880 x10: 0000000000000890 x9 : ffffff8001d7a9f0 x8 : ffffff8001d92570 x7 : ffffff80efeeac80 x6 : 000000003fc6e780 x5 : ffffff8001d91c80 x4 : 0000000000000002 x3 : 0000000000000000 x2 : 0000000000000000 x1 : 0000000000000000 x0 : 0000000000000001 Call trace: gpiod_set_value+0x74/0x7c ar0521_power_on+0xcc/0x290 ... [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mailbox: bcm2835: Fix timeout during suspend mode During noirq suspend phase the Raspberry Pi power driver suffer of firmware property timeouts. The reason is that the IRQ of the underlying BCM2835 mailbox is disabled and rpi_firmware_property_list() will always run into a timeout [1]. Since the VideoCore side isn't consider as a wakeup source, set the IRQF_NO_SUSPEND flag for the mailbox IRQ in order to keep it enabled during suspend-resume cycle. [1] PM: late suspend of devices complete after 1.754 msecs WARNING: CPU: 0 PID: 438 at drivers/firmware/raspberrypi.c:128 rpi_firmware_property_list+0x204/0x22c Firmware transaction 0x00028001 timeout Modules linked in: CPU: 0 PID: 438 Comm: bash Tainted: G C 6.9.3-dirty #17 Hardware name: BCM2835 Call trace: unwind_backtrace from show_stack+0x18/0x1c show_stack from dump_stack_lvl+0x34/0x44 dump_stack_lvl from __warn+0x88/0xec __warn from warn_slowpath_fmt+0x7c/0xb0 warn_slowpath_fmt from rpi_firmware_property_list+0x204/0x22c rpi_firmware_property_list from rpi_firmware_property+0x68/0x8c rpi_firmware_property from rpi_firmware_set_power+0x54/0xc0 rpi_firmware_set_power from _genpd_power_off+0xe4/0x148 _genpd_power_off from genpd_sync_power_off+0x7c/0x11c genpd_sync_power_off from genpd_finish_suspend+0xcc/0xe0 genpd_finish_suspend from dpm_run_callback+0x78/0xd0 dpm_run_callback from device_suspend_noirq+0xc0/0x238 device_suspend_noirq from dpm_suspend_noirq+0xb0/0x168 dpm_suspend_noirq from suspend_devices_and_enter+0x1b8/0x5ac suspend_devices_and_enter from pm_suspend+0x254/0x2e4 pm_suspend from state_store+0xa8/0xd4 state_store from kernfs_fop_write_iter+0x154/0x1a0 kernfs_fop_write_iter from vfs_write+0x12c/0x184 vfs_write from ksys_write+0x78/0xc0 ksys_write from ret_fast_syscall+0x0/0x54 Exception stack(0xcc93dfa8 to 0xcc93dff0) [...] PM: noirq suspend of devices complete after 3095.584 msecs [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ocfs2: cancel dqi_sync_work before freeing oinfo ocfs2_global_read_info() will initialize and schedule dqi_sync_work at the end, if error occurs after successfully reading global quota, it will trigger the following warning with CONFIG_DEBUG_OBJECTS_* enabled: ODEBUG: free active (active state 0) object: 00000000d8b0ce28 object type: timer_list hint: qsync_work_fn+0x0/0x16c This reports that there is an active delayed work when freeing oinfo in error handling, so cancel dqi_sync_work first. BTW, return status instead of -1 when .read_file_info fails. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: NFSD: Limit the number of concurrent async COPY operations Nothing appears to limit the number of concurrent async COPY operations that clients can start. In addition, AFAICT each async COPY can copy an unlimited number of 4MB chunks, so can run for a long time. Thus IMO async COPY can become a DoS vector. Add a restriction mechanism that bounds the number of concurrent background COPY operations. Start simple and try to be fair -- this patch implements a per-namespace limit. An async COPY request that occurs while this limit is exceeded gets NFS4ERR_DELAY. The requesting client can choose to send the request again after a delay or fall back to a traditional read/write style copy. If there is need to make the mechanism more sophisticated, we can visit that in future patches. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: uprobes: fix kernel info leak via "[uprobes]" vma xol_add_vma() maps the uninitialized page allocated by __create_xol_area() into userspace. On some architectures (x86) this memory is readable even without VM_READ, VM_EXEC results in the same pgprot_t as VM_EXEC|VM_READ, although this doesn't really matter, debugger can read this memory anyway. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: stmmac: Fix zero-division error when disabling tc cbs The commit b8c43360f6e4 ("net: stmmac: No need to calculate speed divider when offload is disabled") allows the "port_transmit_rate_kbps" to be set to a value of 0, which is then passed to the "div_s64" function when tc-cbs is disabled. This leads to a zero-division error. When tc-cbs is disabled, the idleslope, sendslope, and credit values the credit values are not required to be configured. Therefore, adding a return statement after setting the txQ mode to DCB when tc-cbs is disabled would prevent a zero-division error. [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: gso: fix udp gso fraglist segmentation after pull from frag_list Detect gso fraglist skbs with corrupted geometry (see below) and pass these to skb_segment instead of skb_segment_list, as the first can segment them correctly. Valid SKB_GSO_FRAGLIST skbs - consist of two or more segments - the head_skb holds the protocol headers plus first gso_size - one or more frag_list skbs hold exactly one segment - all but the last must be gso_size Optional datapath hooks such as NAT and BPF (bpf_skb_pull_data) can modify these skbs, breaking these invariants. In extreme cases they pull all data into skb linear. For UDP, this causes a NULL ptr deref in __udpv4_gso_segment_list_csum at udp_hdr(seg->next)->dest. Detect invalid geometry due to pull, by checking head_skb size. Don't just drop, as this may blackhole a destination. Convert to be able to pass to regular skb_segment. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: media: venus: fix use after free bug in venus_remove due to race condition in venus_probe, core->work is bound with venus_sys_error_handler, which is used to handle error. The code use core->sys_err_done to make sync work. The core->work is started in venus_event_notify. If we call venus_remove, there might be an unfished work. The possible sequence is as follows: CPU0 CPU1 |venus_sys_error_handler venus_remove | hfi_destroy | venus_hfi_destroy | kfree(hdev); | |hfi_reinit |venus_hfi_queues_reinit |//use hdev Fix it by canceling the work in venus_remove. [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: aoe: fix the potential use-after-free problem in more places For fixing CVE-2023-6270, f98364e92662 ("aoe: fix the potential use-after-free problem in aoecmd_cfg_pkts") makes tx() calling dev_put() instead of doing in aoecmd_cfg_pkts(). It avoids that the tx() runs into use-after-free. Then Nicolai Stange found more places in aoe have potential use-after-free problem with tx(). e.g. revalidate(), aoecmd_ata_rw(), resend(), probe() and aoecmd_cfg_rsp(). Those functions also use aoenet_xmit() to push packet to tx queue. So they should also use dev_hold() to increase the refcnt of skb->dev. On the other hand, moving dev_put() to tx() causes that the refcnt of skb->dev be reduced to a negative value, because corresponding dev_hold() are not called in revalidate(), aoecmd_ata_rw(), resend(), probe(), and aoecmd_cfg_rsp(). This patch fixed this issue. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ext4: drop ppath from ext4_ext_replay_update_ex() to avoid double-free When calling ext4_force_split_extent_at() in ext4_ext_replay_update_ex(), the 'ppath' is updated but it is the 'path' that is freed, thus potentially triggering a double-free in the following process: ext4_ext_replay_update_ex ppath = path ext4_force_split_extent_at(&ppath) ext4_split_extent_at ext4_ext_insert_extent ext4_ext_create_new_leaf ext4_ext_grow_indepth ext4_find_extent if (depth > path[0].p_maxdepth) kfree(path) ---> path First freed *orig_path = path = NULL ---> null ppath kfree(path) ---> path double-free !!! So drop the unnecessary ppath and use path directly to avoid this problem. And use ext4_find_extent() directly to update path, avoiding unnecessary memory allocation and freeing. Also, propagate the error returned by ext4_find_extent() instead of using strange error codes. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: i2c: stm32f7: Do not prepare/unprepare clock during runtime suspend/resume In case there is any sort of clock controller attached to this I2C bus controller, for example Versaclock or even an AIC32x4 I2C codec, then an I2C transfer triggered from the clock controller clk_ops .prepare callback may trigger a deadlock on drivers/clk/clk.c prepare_lock mutex. This is because the clock controller first grabs the prepare_lock mutex and then performs the prepare operation, including its I2C access. The I2C access resumes this I2C bus controller via .runtime_resume callback, which calls clk_prepare_enable(), which attempts to grab the prepare_lock mutex again and deadlocks. Since the clock are already prepared since probe() and unprepared in remove(), use simple clk_enable()/clk_disable() calls to enable and disable the clock on runtime suspend and resume, to avoid hitting the prepare_lock mutex. [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: platform/x86: x86-android-tablets: Fix use after free on platform_device_register() errors x86_android_tablet_remove() frees the pdevs[] array, so it should not be used after calling x86_android_tablet_remove(). When platform_device_register() fails, store the pdevs[x] PTR_ERR() value into the local ret variable before calling x86_android_tablet_remove() to avoid using pdevs[] after it has been freed. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amdkfd: amdkfd_free_gtt_mem clear the correct pointer Pass pointer reference to amdgpu_bo_unref to clear the correct pointer, otherwise amdgpu_bo_unref clear the local variable, the original pointer not set to NULL, this could cause use-after-free bug. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority. [] None None - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cifs: Fix buffer overflow when parsing NFS reparse points ReparseDataLength is sum of the InodeType size and DataBuffer size. So to get DataBuffer size it is needed to subtract InodeType's size from ReparseDataLength. Function cifs_strndup_from_utf16() is currentlly accessing buf->DataBuffer at position after the end of the buffer because it does not subtract InodeType size from the length. Fix this problem and correctly subtract variable len. Member InodeType is present only when reparse buffer is large enough. Check for ReparseDataLength before accessing InodeType to prevent another invalid memory access. Major and minor rdev values are present also only when reparse buffer is large enough. Check for reparse buffer size before calling reparse_mkdev(). [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: ethernet: lantiq_etop: fix memory disclosure When applying padding, the buffer is not zeroed, which results in memory disclosure. The mentioned data is observed on the wire. This patch uses skb_put_padto() to pad Ethernet frames properly. The mentioned function zeroes the expanded buffer. In case the packet cannot be padded it is silently dropped. Statistics are also not incremented. This driver does not support statistics in the old 32-bit format or the new 64-bit format. These will be added in the future. In its current form, the patch should be easily backported to stable versions. Ethernet MACs on Amazon-SE and Danube cannot do padding of the packets in hardware, so software padding must be applied. [NistCWE(cwe='CWE-212')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5e: Fix NULL deref in mlx5e_tir_builder_alloc() In mlx5e_tir_builder_alloc() kvzalloc() may return NULL which is dereferenced on the next line in a reference to the modify field. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5: Fix error path in multi-packet WQE transmit Remove the erroneous unmap in case no DMA mapping was established The multi-packet WQE transmit code attempts to obtain a DMA mapping for the skb. This could fail, e.g. under memory pressure, when the IOMMU driver just can't allocate more memory for page tables. While the code tries to handle this in the path below the err_unmap label it erroneously unmaps one entry from the sq's FIFO list of active mappings. Since the current map attempt failed this unmap is removing some random DMA mapping that might still be required. If the PCI function now presents that IOVA, the IOMMU may assumes a rogue DMA access and e.g. on s390 puts the PCI function in error state. The erroneous behavior was seen in a stress-test environment that created memory pressure. [NistCWE(cwe='CWE-755')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: static_call: Handle module init failure correctly in static_call_del_module() Module insertion invokes static_call_add_module() to initialize the static calls in a module. static_call_add_module() invokes __static_call_init(), which allocates a struct static_call_mod to either encapsulate the built-in static call sites of the associated key into it so further modules can be added or to append the module to the module chain. If that allocation fails the function returns with an error code and the module core invokes static_call_del_module() to clean up eventually added static_call_mod entries. This works correctly, when all keys used by the module were converted over to a module chain before the failure. If not then static_call_del_module() causes a #GP as it blindly assumes that key::mods points to a valid struct static_call_mod. The problem is that key::mods is not a individual struct member of struct static_call_key, it's part of a union to save space: union { /* bit 0: 0 = mods, 1 = sites */ unsigned long type; struct static_call_mod *mods; struct static_call_site *sites; }; key::sites is a pointer to the list of built-in usage sites of the static call. The type of the pointer is differentiated by bit 0. A mods pointer has the bit clear, the sites pointer has the bit set. As static_call_del_module() blidly assumes that the pointer is a valid static_call_mod type, it fails to check for this failure case and dereferences the pointer to the list of built-in call sites, which is obviously bogus. Cure it by checking whether the key has a sites or a mods pointer. If it's a sites pointer then the key is not to be touched. As the sites are walked in the same order as in __static_call_init() the site walk can be terminated because all subsequent sites have not been touched by the init code due to the error exit. If it was converted before the allocation fail, then the inner loop which searches for a module match will find nothing. A fail in the second allocation in __static_call_init() is harmless and does not require special treatment. The first allocation succeeded and converted the key to a module chain. That first entry has mod::mod == NULL and mod::next == NULL, so the inner loop of static_call_del_module() will neither find a module match nor a module chain. The next site in the walk was either already converted, but can't match the module, or it will exit the outer loop because it has a static_call_site pointer and not a static_call_mod pointer. [NistCWE(cwe='CWE-755')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Fix system hang while resume with TBT monitor [Why] Connected with a Thunderbolt monitor and do the suspend and the system may hang while resume. The TBT monitor HPD will be triggered during the resume procedure and call the drm_client_modeset_probe() while struct drm_connector connector->dev->master is NULL. It will mess up the pipe topology after resume. [How] Skip the TBT monitor HPD during the resume procedure because we currently will probe the connectors after resume by default. (cherry picked from commit 453f86a26945207a16b8f66aaed5962dc2b95b85) [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: exec: don't WARN for racy path_noexec check Both i_mode and noexec checks wrapped in WARN_ON stem from an artifact of the previous implementation. They used to legitimately check for the condition, but that got moved up in two commits: 633fb6ac3980 ("exec: move S_ISREG() check earlier") 0fd338b2d2cd ("exec: move path_noexec() check earlier") Instead of being removed said checks are WARN_ON'ed instead, which has some debug value. However, the spurious path_noexec check is racy, resulting in unwarranted warnings should someone race with setting the noexec flag. One can note there is more to perm-checking whether execve is allowed and none of the conditions are guaranteed to still hold after they were tested for. Additionally this does not validate whether the code path did any perm checking to begin with -- it will pass if the inode happens to be regular. Keep the redundant path_noexec() check even though it's mindless nonsense checking for guarantee that isn't given so drop the WARN. Reword the commentary and do small tidy ups while here. [brauner: keep redundant path_noexec() check] [] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: cpufreq: Avoid a bad reference count on CPU node In the parse_perf_domain function, if the call to of_parse_phandle_with_args returns an error, then the reference to the CPU device node that was acquired at the start of the function would not be properly decremented. Address this by declaring the variable with the __free(device_node) cleanup attribute. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: kthread: unpark only parked kthread Calling into kthread unparking unconditionally is mostly harmless when the kthread is already unparked. The wake up is then simply ignored because the target is not in TASK_PARKED state. However if the kthread is per CPU, the wake up is preceded by a call to kthread_bind() which expects the task to be inactive and in TASK_PARKED state, which obviously isn't the case if it is unparked. As a result, calling kthread_stop() on an unparked per-cpu kthread triggers such a warning: WARNING: CPU: 0 PID: 11 at kernel/kthread.c:525 __kthread_bind_mask kernel/kthread.c:525 <TASK> kthread_stop+0x17a/0x630 kernel/kthread.c:707 destroy_workqueue+0x136/0xc40 kernel/workqueue.c:5810 wg_destruct+0x1e2/0x2e0 drivers/net/wireguard/device.c:257 netdev_run_todo+0xe1a/0x1000 net/core/dev.c:10693 default_device_exit_batch+0xa14/0xa90 net/core/dev.c:11769 ops_exit_list net/core/net_namespace.c:178 [inline] cleanup_net+0x89d/0xcc0 net/core/net_namespace.c:640 process_one_work kernel/workqueue.c:3231 [inline] process_scheduled_works+0xa2c/0x1830 kernel/workqueue.c:3312 worker_thread+0x86d/0xd70 kernel/workqueue.c:3393 kthread+0x2f0/0x390 kernel/kthread.c:389 ret_from_fork+0x4b/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:244 </TASK> Fix this with skipping unecessary unparking while stopping a kthread. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: device-dax: correct pgoff align in dax_set_mapping() pgoff should be aligned using ALIGN_DOWN() instead of ALIGN(). Otherwise, vmf->address not aligned to fault_size will be aligned to the next alignment, that can result in memory failure getting the wrong address. It's a subtle situation that only can be observed in page_mapped_in_vma() after the page is page fault handled by dev_dax_huge_fault. Generally, there is little chance to perform page_mapped_in_vma in dev-dax's page unless in specific error injection to the dax device to trigger an MCE - memory-failure. In that case, page_mapped_in_vma() will be triggered to determine which task is accessing the failure address and kill that task in the end. We used self-developed dax device (which is 2M aligned mapping) , to perform error injection to random address. It turned out that error injected to non-2M-aligned address was causing endless MCE until panic. Because page_mapped_in_vma() kept resulting wrong address and the task accessing the failure address was never killed properly: [ 3783.719419] Memory failure: 0x200c9742: recovery action for dax page: Recovered [ 3784.049006] mce: Uncorrected hardware memory error in user-access at 200c9742380 [ 3784.049190] Memory failure: 0x200c9742: recovery action for dax page: Recovered [ 3784.448042] mce: Uncorrected hardware memory error in user-access at 200c9742380 [ 3784.448186] Memory failure: 0x200c9742: recovery action for dax page: Recovered [ 3784.792026] mce: Uncorrected hardware memory error in user-access at 200c9742380 [ 3784.792179] Memory failure: 0x200c9742: recovery action for dax page: Recovered [ 3785.162502] mce: Uncorrected hardware memory error in user-access at 200c9742380 [ 3785.162633] Memory failure: 0x200c9742: recovery action for dax page: Recovered [ 3785.461116] mce: Uncorrected hardware memory error in user-access at 200c9742380 [ 3785.461247] Memory failure: 0x200c9742: recovery action for dax page: Recovered [ 3785.764730] mce: Uncorrected hardware memory error in user-access at 200c9742380 [ 3785.764859] Memory failure: 0x200c9742: recovery action for dax page: Recovered [ 3786.042128] mce: Uncorrected hardware memory error in user-access at 200c9742380 [ 3786.042259] Memory failure: 0x200c9742: recovery action for dax page: Recovered [ 3786.464293] mce: Uncorrected hardware memory error in user-access at 200c9742380 [ 3786.464423] Memory failure: 0x200c9742: recovery action for dax page: Recovered [ 3786.818090] mce: Uncorrected hardware memory error in user-access at 200c9742380 [ 3786.818217] Memory failure: 0x200c9742: recovery action for dax page: Recovered [ 3787.085297] mce: Uncorrected hardware memory error in user-access at 200c9742380 [ 3787.085424] Memory failure: 0x200c9742: recovery action for dax page: Recovered It took us several weeks to pinpoint this problem,  but we eventually used bpftrace to trace the page fault and mce address and successfully identified the issue. Joao added: ; Likely we never reproduce in production because we always pin : device-dax regions in the region align they provide (Qemu does : similarly with prealloc in hugetlb/file backed memory). I think this : bug requires that we touch *unpinned* device-dax regions unaligned to : the device-dax selected alignment (page size i.e. 4K/2M/1G) [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: Fix an unsafe loop on the list The kernel may crash when deleting a genetlink family if there are still listeners for that family: Oops: Kernel access of bad area, sig: 11 [#1] ... NIP [c000000000c080bc] netlink_update_socket_mc+0x3c/0xc0 LR [c000000000c0f764] __netlink_clear_multicast_users+0x74/0xc0 Call Trace: __netlink_clear_multicast_users+0x74/0xc0 genl_unregister_family+0xd4/0x2d0 Change the unsafe loop on the list to a safe one, because inside the loop there is an element removal from this list. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: wd33c93: Don't use stale scsi_pointer value A regression was introduced with commit dbb2da557a6a ("scsi: wd33c93: Move the SCSI pointer to private command data") which results in an oops in wd33c93_intr(). That commit added the scsi_pointer variable and initialized it from hostdata->connected. However, during selection, hostdata->connected is not yet valid. Fix this by getting the current scsi_pointer from hostdata->selecting. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/v3d: Stop the active perfmon before being destroyed When running `kmscube` with one or more performance monitors enabled via `GALLIUM_HUD`, the following kernel panic can occur: [ 55.008324] Unable to handle kernel paging request at virtual address 00000000052004a4 [ 55.008368] Mem abort info: [ 55.008377] ESR = 0x0000000096000005 [ 55.008387] EC = 0x25: DABT (current EL), IL = 32 bits [ 55.008402] SET = 0, FnV = 0 [ 55.008412] EA = 0, S1PTW = 0 [ 55.008421] FSC = 0x05: level 1 translation fault [ 55.008434] Data abort info: [ 55.008442] ISV = 0, ISS = 0x00000005, ISS2 = 0x00000000 [ 55.008455] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 55.008467] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 55.008481] user pgtable: 4k pages, 39-bit VAs, pgdp=00000001046c6000 [ 55.008497] [00000000052004a4] pgd=0000000000000000, p4d=0000000000000000, pud=0000000000000000 [ 55.008525] Internal error: Oops: 0000000096000005 [#1] PREEMPT SMP [ 55.008542] Modules linked in: rfcomm [...] vc4 v3d snd_soc_hdmi_codec drm_display_helper gpu_sched drm_shmem_helper cec drm_dma_helper drm_kms_helper i2c_brcmstb drm drm_panel_orientation_quirks snd_soc_core snd_compress snd_pcm_dmaengine snd_pcm snd_timer snd backlight [ 55.008799] CPU: 2 PID: 166 Comm: v3d_bin Tainted: G C 6.6.47+rpt-rpi-v8 #1 Debian 1:6.6.47-1+rpt1 [ 55.008824] Hardware name: Raspberry Pi 4 Model B Rev 1.5 (DT) [ 55.008838] pstate: 20000005 (nzCv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 55.008855] pc : __mutex_lock.constprop.0+0x90/0x608 [ 55.008879] lr : __mutex_lock.constprop.0+0x58/0x608 [ 55.008895] sp : ffffffc080673cf0 [ 55.008904] x29: ffffffc080673cf0 x28: 0000000000000000 x27: ffffff8106188a28 [ 55.008926] x26: ffffff8101e78040 x25: ffffff8101baa6c0 x24: ffffffd9d989f148 [ 55.008947] x23: ffffffda1c2a4008 x22: 0000000000000002 x21: ffffffc080673d38 [ 55.008968] x20: ffffff8101238000 x19: ffffff8104f83188 x18: 0000000000000000 [ 55.008988] x17: 0000000000000000 x16: ffffffda1bd04d18 x15: 00000055bb08bc90 [ 55.009715] x14: 0000000000000000 x13: 0000000000000000 x12: ffffffda1bd4cbb0 [ 55.010433] x11: 00000000fa83b2da x10: 0000000000001a40 x9 : ffffffda1bd04d04 [ 55.011162] x8 : ffffff8102097b80 x7 : 0000000000000000 x6 : 00000000030a5857 [ 55.011880] x5 : 00ffffffffffffff x4 : 0300000005200470 x3 : 0300000005200470 [ 55.012598] x2 : ffffff8101238000 x1 : 0000000000000021 x0 : 0300000005200470 [ 55.013292] Call trace: [ 55.013959] __mutex_lock.constprop.0+0x90/0x608 [ 55.014646] __mutex_lock_slowpath+0x1c/0x30 [ 55.015317] mutex_lock+0x50/0x68 [ 55.015961] v3d_perfmon_stop+0x40/0xe0 [v3d] [ 55.016627] v3d_bin_job_run+0x10c/0x2d8 [v3d] [ 55.017282] drm_sched_main+0x178/0x3f8 [gpu_sched] [ 55.017921] kthread+0x11c/0x128 [ 55.018554] ret_from_fork+0x10/0x20 [ 55.019168] Code: f9400260 f1001c1f 54001ea9 927df000 (b9403401) [ 55.019776] ---[ end trace 0000000000000000 ]--- [ 55.020411] note: v3d_bin[166] exited with preempt_count 1 This issue arises because, upon closing the file descriptor (which happens when we interrupt `kmscube`), the active performance monitor is not stopped. Although all perfmons are destroyed in `v3d_perfmon_close_file()`, the active performance monitor's pointer (`v3d->active_perfmon`) is still retained. If `kmscube` is run again, the driver will attempt to stop the active performance monitor using the stale pointer in `v3d->active_perfmon`. However, this pointer is no longer valid because the previous process has already terminated, and all performance monitors associated with it have been destroyed and freed. To fix this, when the active performance monitor belongs to a given process, explicitly stop it before destroying and freeing it. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: slip: make slhc_remember() more robust against malicious packets syzbot found that slhc_remember() was missing checks against malicious packets [1]. slhc_remember() only checked the size of the packet was at least 20, which is not good enough. We need to make sure the packet includes the IPv4 and TCP header that are supposed to be carried. Add iph and th pointers to make the code more readable. [1] BUG: KMSAN: uninit-value in slhc_remember+0x2e8/0x7b0 drivers/net/slip/slhc.c:666 slhc_remember+0x2e8/0x7b0 drivers/net/slip/slhc.c:666 ppp_receive_nonmp_frame+0xe45/0x35e0 drivers/net/ppp/ppp_generic.c:2455 ppp_receive_frame drivers/net/ppp/ppp_generic.c:2372 [inline] ppp_do_recv+0x65f/0x40d0 drivers/net/ppp/ppp_generic.c:2212 ppp_input+0x7dc/0xe60 drivers/net/ppp/ppp_generic.c:2327 pppoe_rcv_core+0x1d3/0x720 drivers/net/ppp/pppoe.c:379 sk_backlog_rcv+0x13b/0x420 include/net/sock.h:1113 __release_sock+0x1da/0x330 net/core/sock.c:3072 release_sock+0x6b/0x250 net/core/sock.c:3626 pppoe_sendmsg+0x2b8/0xb90 drivers/net/ppp/pppoe.c:903 sock_sendmsg_nosec net/socket.c:729 [inline] __sock_sendmsg+0x30f/0x380 net/socket.c:744 ____sys_sendmsg+0x903/0xb60 net/socket.c:2602 ___sys_sendmsg+0x28d/0x3c0 net/socket.c:2656 __sys_sendmmsg+0x3c1/0x960 net/socket.c:2742 __do_sys_sendmmsg net/socket.c:2771 [inline] __se_sys_sendmmsg net/socket.c:2768 [inline] __x64_sys_sendmmsg+0xbc/0x120 net/socket.c:2768 x64_sys_call+0xb6e/0x3ba0 arch/x86/include/generated/asm/syscalls_64.h:308 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcd/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Uninit was created at: slab_post_alloc_hook mm/slub.c:4091 [inline] slab_alloc_node mm/slub.c:4134 [inline] kmem_cache_alloc_node_noprof+0x6bf/0xb80 mm/slub.c:4186 kmalloc_reserve+0x13d/0x4a0 net/core/skbuff.c:587 __alloc_skb+0x363/0x7b0 net/core/skbuff.c:678 alloc_skb include/linux/skbuff.h:1322 [inline] sock_wmalloc+0xfe/0x1a0 net/core/sock.c:2732 pppoe_sendmsg+0x3a7/0xb90 drivers/net/ppp/pppoe.c:867 sock_sendmsg_nosec net/socket.c:729 [inline] __sock_sendmsg+0x30f/0x380 net/socket.c:744 ____sys_sendmsg+0x903/0xb60 net/socket.c:2602 ___sys_sendmsg+0x28d/0x3c0 net/socket.c:2656 __sys_sendmmsg+0x3c1/0x960 net/socket.c:2742 __do_sys_sendmmsg net/socket.c:2771 [inline] __se_sys_sendmmsg net/socket.c:2768 [inline] __x64_sys_sendmmsg+0xbc/0x120 net/socket.c:2768 x64_sys_call+0xb6e/0x3ba0 arch/x86/include/generated/asm/syscalls_64.h:308 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcd/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f CPU: 0 UID: 0 PID: 5460 Comm: syz.2.33 Not tainted 6.12.0-rc2-syzkaller-00006-g87d6aab2389e #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 09/13/2024 [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ppp: fix ppp_async_encode() illegal access syzbot reported an issue in ppp_async_encode() [1] In this case, pppoe_sendmsg() is called with a zero size. Then ppp_async_encode() is called with an empty skb. BUG: KMSAN: uninit-value in ppp_async_encode drivers/net/ppp/ppp_async.c:545 [inline] BUG: KMSAN: uninit-value in ppp_async_push+0xb4f/0x2660 drivers/net/ppp/ppp_async.c:675 ppp_async_encode drivers/net/ppp/ppp_async.c:545 [inline] ppp_async_push+0xb4f/0x2660 drivers/net/ppp/ppp_async.c:675 ppp_async_send+0x130/0x1b0 drivers/net/ppp/ppp_async.c:634 ppp_channel_bridge_input drivers/net/ppp/ppp_generic.c:2280 [inline] ppp_input+0x1f1/0xe60 drivers/net/ppp/ppp_generic.c:2304 pppoe_rcv_core+0x1d3/0x720 drivers/net/ppp/pppoe.c:379 sk_backlog_rcv+0x13b/0x420 include/net/sock.h:1113 __release_sock+0x1da/0x330 net/core/sock.c:3072 release_sock+0x6b/0x250 net/core/sock.c:3626 pppoe_sendmsg+0x2b8/0xb90 drivers/net/ppp/pppoe.c:903 sock_sendmsg_nosec net/socket.c:729 [inline] __sock_sendmsg+0x30f/0x380 net/socket.c:744 ____sys_sendmsg+0x903/0xb60 net/socket.c:2602 ___sys_sendmsg+0x28d/0x3c0 net/socket.c:2656 __sys_sendmmsg+0x3c1/0x960 net/socket.c:2742 __do_sys_sendmmsg net/socket.c:2771 [inline] __se_sys_sendmmsg net/socket.c:2768 [inline] __x64_sys_sendmmsg+0xbc/0x120 net/socket.c:2768 x64_sys_call+0xb6e/0x3ba0 arch/x86/include/generated/asm/syscalls_64.h:308 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcd/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Uninit was created at: slab_post_alloc_hook mm/slub.c:4092 [inline] slab_alloc_node mm/slub.c:4135 [inline] kmem_cache_alloc_node_noprof+0x6bf/0xb80 mm/slub.c:4187 kmalloc_reserve+0x13d/0x4a0 net/core/skbuff.c:587 __alloc_skb+0x363/0x7b0 net/core/skbuff.c:678 alloc_skb include/linux/skbuff.h:1322 [inline] sock_wmalloc+0xfe/0x1a0 net/core/sock.c:2732 pppoe_sendmsg+0x3a7/0xb90 drivers/net/ppp/pppoe.c:867 sock_sendmsg_nosec net/socket.c:729 [inline] __sock_sendmsg+0x30f/0x380 net/socket.c:744 ____sys_sendmsg+0x903/0xb60 net/socket.c:2602 ___sys_sendmsg+0x28d/0x3c0 net/socket.c:2656 __sys_sendmmsg+0x3c1/0x960 net/socket.c:2742 __do_sys_sendmmsg net/socket.c:2771 [inline] __se_sys_sendmmsg net/socket.c:2768 [inline] __x64_sys_sendmmsg+0xbc/0x120 net/socket.c:2768 x64_sys_call+0xb6e/0x3ba0 arch/x86/include/generated/asm/syscalls_64.h:308 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcd/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f CPU: 1 UID: 0 PID: 5411 Comm: syz.1.14 Not tainted 6.12.0-rc1-syzkaller-00165-g360c1f1f24c6 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 09/13/2024 [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: do not delay dst_entries_add() in dst_release() dst_entries_add() uses per-cpu data that might be freed at netns dismantle from ip6_route_net_exit() calling dst_entries_destroy() Before ip6_route_net_exit() can be called, we release all the dsts associated with this netns, via calls to dst_release(), which waits an rcu grace period before calling dst_destroy() dst_entries_add() use in dst_destroy() is racy, because dst_entries_destroy() could have been called already. Decrementing the number of dsts must happen sooner. Notes: 1) in CONFIG_XFRM case, dst_destroy() can call dst_release_immediate(child), this might also cause UAF if the child does not have DST_NOCOUNT set. IPSEC maintainers might take a look and see how to address this. 2) There is also discussion about removing this count of dst, which might happen in future kernels. [] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: xtables: avoid NFPROTO_UNSPEC where needed syzbot managed to call xt_cluster match via ebtables: WARNING: CPU: 0 PID: 11 at net/netfilter/xt_cluster.c:72 xt_cluster_mt+0x196/0x780 [..] ebt_do_table+0x174b/0x2a40 Module registers to NFPROTO_UNSPEC, but it assumes ipv4/ipv6 packet processing. As this is only useful to restrict locally terminating TCP/UDP traffic, register this for ipv4 and ipv6 family only. Pablo points out that this is a general issue, direct users of the set/getsockopt interface can call into targets/matches that were only intended for use with ip(6)tables. Check all UNSPEC matches and targets for similar issues: - matches and targets are fine except if they assume skb_network_header() is valid -- this is only true when called from inet layer: ip(6) stack pulls the ip/ipv6 header into linear data area. - targets that return XT_CONTINUE or other xtables verdicts must be restricted too, they are incompatbile with the ebtables traverser, e.g. EBT_CONTINUE is a completely different value than XT_CONTINUE. Most matches/targets are changed to register for NFPROTO_IPV4/IPV6, as they are provided for use by ip(6)tables. The MARK target is also used by arptables, so register for NFPROTO_ARP too. While at it, bail out if connbytes fails to enable the corresponding conntrack family. This change passes the selftests in iptables.git. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/sched: accept TCA_STAB only for root qdisc Most qdiscs maintain their backlog using qdisc_pkt_len(skb) on the assumption it is invariant between the enqueue() and dequeue() handlers. Unfortunately syzbot can crash a host rather easily using a TBF + SFQ combination, with an STAB on SFQ [1] We can't support TCA_STAB on arbitrary level, this would require to maintain per-qdisc storage. [1] [ 88.796496] BUG: kernel NULL pointer dereference, address: 0000000000000000 [ 88.798611] #PF: supervisor read access in kernel mode [ 88.799014] #PF: error_code(0x0000) - not-present page [ 88.799506] PGD 0 P4D 0 [ 88.799829] Oops: Oops: 0000 [#1] SMP NOPTI [ 88.800569] CPU: 14 UID: 0 PID: 2053 Comm: b371744477 Not tainted 6.12.0-rc1-virtme #1117 [ 88.801107] Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.3-debian-1.16.3-2 04/01/2014 [ 88.801779] RIP: 0010:sfq_dequeue (net/sched/sch_sfq.c:272 net/sched/sch_sfq.c:499) sch_sfq [ 88.802544] Code: 0f b7 50 12 48 8d 04 d5 00 00 00 00 48 89 d6 48 29 d0 48 8b 91 c0 01 00 00 48 c1 e0 03 48 01 c2 66 83 7a 1a 00 7e c0 48 8b 3a <4c> 8b 07 4c 89 02 49 89 50 08 48 c7 47 08 00 00 00 00 48 c7 07 00 All code ======== 0: 0f b7 50 12 movzwl 0x12(%rax),%edx 4: 48 8d 04 d5 00 00 00 lea 0x0(,%rdx,8),%rax b: 00 c: 48 89 d6 mov %rdx,%rsi f: 48 29 d0 sub %rdx,%rax 12: 48 8b 91 c0 01 00 00 mov 0x1c0(%rcx),%rdx 19: 48 c1 e0 03 shl $0x3,%rax 1d: 48 01 c2 add %rax,%rdx 20: 66 83 7a 1a 00 cmpw $0x0,0x1a(%rdx) 25: 7e c0 jle 0xffffffffffffffe7 27: 48 8b 3a mov (%rdx),%rdi 2a:* 4c 8b 07 mov (%rdi),%r8 <-- trapping instruction 2d: 4c 89 02 mov %r8,(%rdx) 30: 49 89 50 08 mov %rdx,0x8(%r8) 34: 48 c7 47 08 00 00 00 movq $0x0,0x8(%rdi) 3b: 00 3c: 48 rex.W 3d: c7 .byte 0xc7 3e: 07 (bad) ... Code starting with the faulting instruction =========================================== 0: 4c 8b 07 mov (%rdi),%r8 3: 4c 89 02 mov %r8,(%rdx) 6: 49 89 50 08 mov %rdx,0x8(%r8) a: 48 c7 47 08 00 00 00 movq $0x0,0x8(%rdi) 11: 00 12: 48 rex.W 13: c7 .byte 0xc7 14: 07 (bad) ... [ 88.803721] RSP: 0018:ffff9a1f892b7d58 EFLAGS: 00000206 [ 88.804032] RAX: 0000000000000000 RBX: ffff9a1f8420c800 RCX: ffff9a1f8420c800 [ 88.804560] RDX: ffff9a1f81bc1440 RSI: 0000000000000000 RDI: 0000000000000000 [ 88.805056] RBP: ffffffffc04bb0e0 R08: 0000000000000001 R09: 00000000ff7f9a1f [ 88.805473] R10: 000000000001001b R11: 0000000000009a1f R12: 0000000000000140 [ 88.806194] R13: 0000000000000001 R14: ffff9a1f886df400 R15: ffff9a1f886df4ac [ 88.806734] FS: 00007f445601a740(0000) GS:ffff9a2e7fd80000(0000) knlGS:0000000000000000 [ 88.807225] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 88.807672] CR2: 0000000000000000 CR3: 000000050cc46000 CR4: 00000000000006f0 [ 88.808165] Call Trace: [ 88.808459] <TASK> [ 88.808710] ? __die (arch/x86/kernel/dumpstack.c:421 arch/x86/kernel/dumpstack.c:434) [ 88.809261] ? page_fault_oops (arch/x86/mm/fault.c:715) [ 88.809561] ? exc_page_fault (./arch/x86/include/asm/irqflags.h:26 ./arch/x86/include/asm/irqflags.h:87 ./arch/x86/include/asm/irqflags.h:147 arch/x86/mm/fault.c:1489 arch/x86/mm/fault.c:1539) [ 88.809806] ? asm_exc_page_fault (./arch/x86/include/asm/idtentry.h:623) [ 88.810074] ? sfq_dequeue (net/sched/sch_sfq.c:272 net/sched/sch_sfq.c:499) sch_sfq [ 88.810411] sfq_reset (net/sched/sch_sfq.c:525) sch_sfq [ 88.810671] qdisc_reset (./include/linux/skbuff.h:2135 ./include/linux/skbuff.h:2441 ./include/linux/skbuff.h:3304 ./include/linux/skbuff.h:3310 net/sched/sch_g ---truncated--- [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: igb: Do not bring the device up after non-fatal error Commit 004d25060c78 ("igb: Fix igb_down hung on surprise removal") changed igb_io_error_detected() to ignore non-fatal pcie errors in order to avoid hung task that can happen when igb_down() is called multiple times. This caused an issue when processing transient non-fatal errors. igb_io_resume(), which is called after igb_io_error_detected(), assumes that device is brought down by igb_io_error_detected() if the interface is up. This resulted in panic with stacktrace below. [ T3256] igb 0000:09:00.0 haeth0: igb: haeth0 NIC Link is Down [ T292] pcieport 0000:00:1c.5: AER: Uncorrected (Non-Fatal) error received: 0000:09:00.0 [ T292] igb 0000:09:00.0: PCIe Bus Error: severity=Uncorrected (Non-Fatal), type=Transaction Layer, (Requester ID) [ T292] igb 0000:09:00.0: device [8086:1537] error status/mask=00004000/00000000 [ T292] igb 0000:09:00.0: [14] CmpltTO [ 200.105524,009][ T292] igb 0000:09:00.0: AER: TLP Header: 00000000 00000000 00000000 00000000 [ T292] pcieport 0000:00:1c.5: AER: broadcast error_detected message [ T292] igb 0000:09:00.0: Non-correctable non-fatal error reported. [ T292] pcieport 0000:00:1c.5: AER: broadcast mmio_enabled message [ T292] pcieport 0000:00:1c.5: AER: broadcast resume message [ T292] ------------[ cut here ]------------ [ T292] kernel BUG at net/core/dev.c:6539! [ T292] invalid opcode: 0000 [#1] PREEMPT SMP [ T292] RIP: 0010:napi_enable+0x37/0x40 [ T292] Call Trace: [ T292] <TASK> [ T292] ? die+0x33/0x90 [ T292] ? do_trap+0xdc/0x110 [ T292] ? napi_enable+0x37/0x40 [ T292] ? do_error_trap+0x70/0xb0 [ T292] ? napi_enable+0x37/0x40 [ T292] ? napi_enable+0x37/0x40 [ T292] ? exc_invalid_op+0x4e/0x70 [ T292] ? napi_enable+0x37/0x40 [ T292] ? asm_exc_invalid_op+0x16/0x20 [ T292] ? napi_enable+0x37/0x40 [ T292] igb_up+0x41/0x150 [ T292] igb_io_resume+0x25/0x70 [ T292] report_resume+0x54/0x70 [ T292] ? report_frozen_detected+0x20/0x20 [ T292] pci_walk_bus+0x6c/0x90 [ T292] ? aer_print_port_info+0xa0/0xa0 [ T292] pcie_do_recovery+0x22f/0x380 [ T292] aer_process_err_devices+0x110/0x160 [ T292] aer_isr+0x1c1/0x1e0 [ T292] ? disable_irq_nosync+0x10/0x10 [ T292] irq_thread_fn+0x1a/0x60 [ T292] irq_thread+0xe3/0x1a0 [ T292] ? irq_set_affinity_notifier+0x120/0x120 [ T292] ? irq_affinity_notify+0x100/0x100 [ T292] kthread+0xe2/0x110 [ T292] ? kthread_complete_and_exit+0x20/0x20 [ T292] ret_from_fork+0x2d/0x50 [ T292] ? kthread_complete_and_exit+0x20/0x20 [ T292] ret_from_fork_asm+0x11/0x20 [ T292] </TASK> To fix this issue igb_io_resume() checks if the interface is running and the device is not down this means igb_io_error_detected() did not bring the device down and there is no need to bring it up. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: i40e: Fix macvlan leak by synchronizing access to mac_filter_hash This patch addresses a macvlan leak issue in the i40e driver caused by concurrent access to vsi->mac_filter_hash. The leak occurs when multiple threads attempt to modify the mac_filter_hash simultaneously, leading to inconsistent state and potential memory leaks. To fix this, we now wrap the calls to i40e_del_mac_filter() and zeroing vf->default_lan_addr.addr with spin_lock/unlock_bh(&vsi->mac_filter_hash_lock), ensuring atomic operations and preventing concurrent access. Additionally, we add lockdep_assert_held(&vsi->mac_filter_hash_lock) in i40e_add_mac_filter() to help catch similar issues in the future. Reproduction steps: 1. Spawn VFs and configure port vlan on them. 2. Trigger concurrent macvlan operations (e.g., adding and deleting portvlan and/or mac filters). 3. Observe the potential memory leak and inconsistent state in the mac_filter_hash. This synchronization ensures the integrity of the mac_filter_hash and prevents the described leak. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netfilter: br_netfilter: fix panic with metadata_dst skb Fix a kernel panic in the br_netfilter module when sending untagged traffic via a VxLAN device. This happens during the check for fragmentation in br_nf_dev_queue_xmit. It is dependent on: 1) the br_netfilter module being loaded; 2) net.bridge.bridge-nf-call-iptables set to 1; 3) a bridge with a VxLAN (single-vxlan-device) netdevice as a bridge port; 4) untagged frames with size higher than the VxLAN MTU forwarded/flooded When forwarding the untagged packet to the VxLAN bridge port, before the netfilter hooks are called, br_handle_egress_vlan_tunnel is called and changes the skb_dst to the tunnel dst. The tunnel_dst is a metadata type of dst, i.e., skb_valid_dst(skb) is false, and metadata->dst.dev is NULL. Then in the br_netfilter hooks, in br_nf_dev_queue_xmit, there's a check for frames that needs to be fragmented: frames with higher MTU than the VxLAN device end up calling br_nf_ip_fragment, which in turns call ip_skb_dst_mtu. The ip_dst_mtu tries to use the skb_dst(skb) as if it was a valid dst with valid dst->dev, thus the crash. This case was never supported in the first place, so drop the packet instead. PING 10.0.0.2 (10.0.0.2) from 0.0.0.0 h1-eth0: 2000(2028) bytes of data. [ 176.291791] Unable to handle kernel NULL pointer dereference at virtual address 0000000000000110 [ 176.292101] Mem abort info: [ 176.292184] ESR = 0x0000000096000004 [ 176.292322] EC = 0x25: DABT (current EL), IL = 32 bits [ 176.292530] SET = 0, FnV = 0 [ 176.292709] EA = 0, S1PTW = 0 [ 176.292862] FSC = 0x04: level 0 translation fault [ 176.293013] Data abort info: [ 176.293104] ISV = 0, ISS = 0x00000004, ISS2 = 0x00000000 [ 176.293488] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 176.293787] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 176.293995] user pgtable: 4k pages, 48-bit VAs, pgdp=0000000043ef5000 [ 176.294166] [0000000000000110] pgd=0000000000000000, p4d=0000000000000000 [ 176.294827] Internal error: Oops: 0000000096000004 [#1] PREEMPT SMP [ 176.295252] Modules linked in: vxlan ip6_udp_tunnel udp_tunnel veth br_netfilter bridge stp llc ipv6 crct10dif_ce [ 176.295923] CPU: 0 PID: 188 Comm: ping Not tainted 6.8.0-rc3-g5b3fbd61b9d1 #2 [ 176.296314] Hardware name: linux,dummy-virt (DT) [ 176.296535] pstate: 80000005 (Nzcv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 176.296808] pc : br_nf_dev_queue_xmit+0x390/0x4ec [br_netfilter] [ 176.297382] lr : br_nf_dev_queue_xmit+0x2ac/0x4ec [br_netfilter] [ 176.297636] sp : ffff800080003630 [ 176.297743] x29: ffff800080003630 x28: 0000000000000008 x27: ffff6828c49ad9f8 [ 176.298093] x26: ffff6828c49ad000 x25: 0000000000000000 x24: 00000000000003e8 [ 176.298430] x23: 0000000000000000 x22: ffff6828c4960b40 x21: ffff6828c3b16d28 [ 176.298652] x20: ffff6828c3167048 x19: ffff6828c3b16d00 x18: 0000000000000014 [ 176.298926] x17: ffffb0476322f000 x16: ffffb7e164023730 x15: 0000000095744632 [ 176.299296] x14: ffff6828c3f1c880 x13: 0000000000000002 x12: ffffb7e137926a70 [ 176.299574] x11: 0000000000000001 x10: ffff6828c3f1c898 x9 : 0000000000000000 [ 176.300049] x8 : ffff6828c49bf070 x7 : 0008460f18d5f20e x6 : f20e0100bebafeca [ 176.300302] x5 : ffff6828c7f918fe x4 : ffff6828c49bf070 x3 : 0000000000000000 [ 176.300586] x2 : 0000000000000000 x1 : ffff6828c3c7ad00 x0 : ffff6828c7f918f0 [ 176.300889] Call trace: [ 176.301123] br_nf_dev_queue_xmit+0x390/0x4ec [br_netfilter] [ 176.301411] br_nf_post_routing+0x2a8/0x3e4 [br_netfilter] [ 176.301703] nf_hook_slow+0x48/0x124 [ 176.302060] br_forward_finish+0xc8/0xe8 [bridge] [ 176.302371] br_nf_hook_thresh+0x124/0x134 [br_netfilter] [ 176.302605] br_nf_forward_finish+0x118/0x22c [br_netfilter] [ 176.302824] br_nf_forward_ip.part.0+0x264/0x290 [br_netfilter] [ 176.303136] br_nf_forward+0x2b8/0x4e0 [br_netfilter] [ 176.303359] nf_hook_slow+0x48/0x124 [ 176.303 ---truncated--- [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: NFSv4: Prevent NULL-pointer dereference in nfs42_complete_copies() On the node of an NFS client, some files saved in the mountpoint of the NFS server were copied to another location of the same NFS server. Accidentally, the nfs42_complete_copies() got a NULL-pointer dereference crash with the following syslog: [232064.838881] NFSv4: state recovery failed for open file nfs/pvc-12b5200d-cd0f-46a3-b9f0-af8f4fe0ef64.qcow2, error = -116 [232064.839360] NFSv4: state recovery failed for open file nfs/pvc-12b5200d-cd0f-46a3-b9f0-af8f4fe0ef64.qcow2, error = -116 [232066.588183] Unable to handle kernel NULL pointer dereference at virtual address 0000000000000058 [232066.588586] Mem abort info: [232066.588701] ESR = 0x0000000096000007 [232066.588862] EC = 0x25: DABT (current EL), IL = 32 bits [232066.589084] SET = 0, FnV = 0 [232066.589216] EA = 0, S1PTW = 0 [232066.589340] FSC = 0x07: level 3 translation fault [232066.589559] Data abort info: [232066.589683] ISV = 0, ISS = 0x00000007 [232066.589842] CM = 0, WnR = 0 [232066.589967] user pgtable: 64k pages, 48-bit VAs, pgdp=00002000956ff400 [232066.590231] [0000000000000058] pgd=08001100ae100003, p4d=08001100ae100003, pud=08001100ae100003, pmd=08001100b3c00003, pte=0000000000000000 [232066.590757] Internal error: Oops: 96000007 [#1] SMP [232066.590958] Modules linked in: rpcsec_gss_krb5 auth_rpcgss nfsv4 dns_resolver nfs lockd grace fscache netfs ocfs2_dlmfs ocfs2_stack_o2cb ocfs2_dlm vhost_net vhost vhost_iotlb tap tun ipt_rpfilter xt_multiport ip_set_hash_ip ip_set_hash_net xfrm_interface xfrm6_tunnel tunnel4 tunnel6 esp4 ah4 wireguard libcurve25519_generic veth xt_addrtype xt_set nf_conntrack_netlink ip_set_hash_ipportnet ip_set_hash_ipportip ip_set_bitmap_port ip_set_hash_ipport dummy ip_set ip_vs_sh ip_vs_wrr ip_vs_rr ip_vs iptable_filter sch_ingress nfnetlink_cttimeout vport_gre ip_gre ip_tunnel gre vport_geneve geneve vport_vxlan vxlan ip6_udp_tunnel udp_tunnel openvswitch nf_conncount dm_round_robin dm_service_time dm_multipath xt_nat xt_MASQUERADE nft_chain_nat nf_nat xt_mark xt_conntrack xt_comment nft_compat nft_counter nf_tables nfnetlink ocfs2 ocfs2_nodemanager ocfs2_stackglue iscsi_tcp libiscsi_tcp libiscsi scsi_transport_iscsi ipmi_ssif nbd overlay 8021q garp mrp bonding tls rfkill sunrpc ext4 mbcache jbd2 [232066.591052] vfat fat cas_cache cas_disk ses enclosure scsi_transport_sas sg acpi_ipmi ipmi_si ipmi_devintf ipmi_msghandler ip_tables vfio_pci vfio_pci_core vfio_virqfd vfio_iommu_type1 vfio dm_mirror dm_region_hash dm_log dm_mod nf_conntrack nf_defrag_ipv6 nf_defrag_ipv4 br_netfilter bridge stp llc fuse xfs libcrc32c ast drm_vram_helper qla2xxx drm_kms_helper syscopyarea crct10dif_ce sysfillrect ghash_ce sysimgblt sha2_ce fb_sys_fops cec sha256_arm64 sha1_ce drm_ttm_helper ttm nvme_fc igb sbsa_gwdt nvme_fabrics drm nvme_core i2c_algo_bit i40e scsi_transport_fc megaraid_sas aes_neon_bs [232066.596953] CPU: 6 PID: 4124696 Comm: 10.253.166.125- Kdump: loaded Not tainted 5.15.131-9.cl9_ocfs2.aarch64 #1 [232066.597356] Hardware name: Great Wall .\x93\x8e...RF6260 V5/GWMSSE2GL1T, BIOS T656FBE_V3.0.18 2024-01-06 [232066.597721] pstate: 20400009 (nzCv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [232066.598034] pc : nfs4_reclaim_open_state+0x220/0x800 [nfsv4] [232066.598327] lr : nfs4_reclaim_open_state+0x12c/0x800 [nfsv4] [232066.598595] sp : ffff8000f568fc70 [232066.598731] x29: ffff8000f568fc70 x28: 0000000000001000 x27: ffff21003db33000 [232066.599030] x26: ffff800005521ae0 x25: ffff0100f98fa3f0 x24: 0000000000000001 [232066.599319] x23: ffff800009920008 x22: ffff21003db33040 x21: ffff21003db33050 [232066.599628] x20: ffff410172fe9e40 x19: ffff410172fe9e00 x18: 0000000000000000 [232066.599914] x17: 0000000000000000 x16: 0000000000000004 x15: 0000000000000000 [232066.600195] x14: 0000000000000000 x13: ffff800008e685a8 x12: 00000000eac0c6e6 [232066.600498] x11: 00000000000000 ---truncated--- [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: fbcon: Fix a NULL pointer dereference issue in fbcon_putcs syzbot has found a NULL pointer dereference bug in fbcon. Here is the simplified C reproducer: struct param { uint8_t type; struct tiocl_selection ts; }; int main() { struct fb_con2fbmap con2fb; struct param param; int fd = open("/dev/fb1", 0, 0); con2fb.console = 0x19; con2fb.framebuffer = 0; ioctl(fd, FBIOPUT_CON2FBMAP, &con2fb); param.type = 2; param.ts.xs = 0; param.ts.ys = 0; param.ts.xe = 0; param.ts.ye = 0; param.ts.sel_mode = 0; int fd1 = open("/dev/tty1", O_RDWR, 0); ioctl(fd1, TIOCLINUX, &param); con2fb.console = 1; con2fb.framebuffer = 0; ioctl(fd, FBIOPUT_CON2FBMAP, &con2fb); return 0; } After calling ioctl(fd1, TIOCLINUX, &param), the subsequent ioctl(fd, FBIOPUT_CON2FBMAP, &con2fb) causes the kernel to follow a different execution path: set_con2fb_map -> con2fb_init_display -> fbcon_set_disp -> redraw_screen -> hide_cursor -> clear_selection -> highlight -> invert_screen -> do_update_region -> fbcon_putcs -> ops->putcs Since ops->putcs is a NULL pointer, this leads to a kernel panic. To prevent this, we need to call set_blitting_type() within set_con2fb_map() to properly initialize ops->putcs. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: spi: mpc52xx: Add cancel_work_sync before module remove If we remove the module which will call mpc52xx_spi_remove it will free 'ms' through spi_unregister_controller. while the work ms->work will be used. The sequence of operations that may lead to a UAF bug. Fix it by ensuring that the work is canceled before proceeding with the cleanup in mpc52xx_spi_remove. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: uprobe: avoid out-of-bounds memory access of fetching args Uprobe needs to fetch args into a percpu buffer, and then copy to ring buffer to avoid non-atomic context problem. Sometimes user-space strings, arrays can be very large, but the size of percpu buffer is only page size. And store_trace_args() won't check whether these data exceeds a single page or not, caused out-of-bounds memory access. It could be reproduced by following steps: 1. build kernel with CONFIG_KASAN enabled 2. save follow program as test.c ``` \#include <stdio.h> \#include <stdlib.h> \#include <string.h> // If string length large than MAX_STRING_SIZE, the fetch_store_strlen() // will return 0, cause __get_data_size() return shorter size, and // store_trace_args() will not trigger out-of-bounds access. // So make string length less than 4096. \#define STRLEN 4093 void generate_string(char *str, int n) { int i; for (i = 0; i < n; ++i) { char c = i % 26 + 'a'; str[i] = c; } str[n-1] = '\0'; } void print_string(char *str) { printf("%s\n", str); } int main() { char tmp[STRLEN]; generate_string(tmp, STRLEN); print_string(tmp); return 0; } ``` 3. compile program `gcc -o test test.c` 4. get the offset of `print_string()` ``` objdump -t test | grep -w print_string 0000000000401199 g F .text 000000000000001b print_string ``` 5. configure uprobe with offset 0x1199 ``` off=0x1199 cd /sys/kernel/debug/tracing/ echo "p /root/test:${off} arg1=+0(%di):ustring arg2=\$comm arg3=+0(%di):ustring" > uprobe_events echo 1 > events/uprobes/enable echo 1 > tracing_on ``` 6. run `test`, and kasan will report error. ================================================================== BUG: KASAN: use-after-free in strncpy_from_user+0x1d6/0x1f0 Write of size 8 at addr ffff88812311c004 by task test/499CPU: 0 UID: 0 PID: 499 Comm: test Not tainted 6.12.0-rc3+ #18 Hardware name: Red Hat KVM, BIOS 1.16.0-4.al8 04/01/2014 Call Trace: <TASK> dump_stack_lvl+0x55/0x70 print_address_description.constprop.0+0x27/0x310 kasan_report+0x10f/0x120 ? strncpy_from_user+0x1d6/0x1f0 strncpy_from_user+0x1d6/0x1f0 ? rmqueue.constprop.0+0x70d/0x2ad0 process_fetch_insn+0xb26/0x1470 ? __pfx_process_fetch_insn+0x10/0x10 ? _raw_spin_lock+0x85/0xe0 ? __pfx__raw_spin_lock+0x10/0x10 ? __pte_offset_map+0x1f/0x2d0 ? unwind_next_frame+0xc5f/0x1f80 ? arch_stack_walk+0x68/0xf0 ? is_bpf_text_address+0x23/0x30 ? kernel_text_address.part.0+0xbb/0xd0 ? __kernel_text_address+0x66/0xb0 ? unwind_get_return_address+0x5e/0xa0 ? __pfx_stack_trace_consume_entry+0x10/0x10 ? arch_stack_walk+0xa2/0xf0 ? _raw_spin_lock_irqsave+0x8b/0xf0 ? __pfx__raw_spin_lock_irqsave+0x10/0x10 ? depot_alloc_stack+0x4c/0x1f0 ? _raw_spin_unlock_irqrestore+0xe/0x30 ? stack_depot_save_flags+0x35d/0x4f0 ? kasan_save_stack+0x34/0x50 ? kasan_save_stack+0x24/0x50 ? mutex_lock+0x91/0xe0 ? __pfx_mutex_lock+0x10/0x10 prepare_uprobe_buffer.part.0+0x2cd/0x500 uprobe_dispatcher+0x2c3/0x6a0 ? __pfx_uprobe_dispatcher+0x10/0x10 ? __kasan_slab_alloc+0x4d/0x90 handler_chain+0xdd/0x3e0 handle_swbp+0x26e/0x3d0 ? __pfx_handle_swbp+0x10/0x10 ? uprobe_pre_sstep_notifier+0x151/0x1b0 irqentry_exit_to_user_mode+0xe2/0x1b0 asm_exc_int3+0x39/0x40 RIP: 0033:0x401199 Code: 01 c2 0f b6 45 fb 88 02 83 45 fc 01 8b 45 fc 3b 45 e4 7c b7 8b 45 e4 48 98 48 8d 50 ff 48 8b 45 e8 48 01 d0 ce RSP: 002b:00007ffdf00576a8 EFLAGS: 00000206 RAX: 00007ffdf00576b0 RBX: 0000000000000000 RCX: 0000000000000ff2 RDX: 0000000000000ffc RSI: 0000000000000ffd RDI: 00007ffdf00576b0 RBP: 00007ffdf00586b0 R08: 00007feb2f9c0d20 R09: 00007feb2f9c0d20 R10: 0000000000000001 R11: 0000000000000202 R12: 0000000000401040 R13: 00007ffdf0058780 R14: 0000000000000000 R15: 0000000000000000 </TASK> This commit enforces the buffer's maxlen less than a page-size to avoid store_trace_args() out-of-memory access. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: pinctrl: apple: check devm_kasprintf() returned value devm_kasprintf() can return a NULL pointer on failure but this returned value is not checked. Fix this lack and check the returned value. Found by code review. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: x86/bugs: Use code segment selector for VERW operand Robert Gill reported below #GP in 32-bit mode when dosemu software was executing vm86() system call: general protection fault: 0000 [#1] PREEMPT SMP CPU: 4 PID: 4610 Comm: dosemu.bin Not tainted 6.6.21-gentoo-x86 #1 Hardware name: Dell Inc. PowerEdge 1950/0H723K, BIOS 2.7.0 10/30/2010 EIP: restore_all_switch_stack+0xbe/0xcf EAX: 00000000 EBX: 00000000 ECX: 00000000 EDX: 00000000 ESI: 00000000 EDI: 00000000 EBP: 00000000 ESP: ff8affdc DS: 0000 ES: 0000 FS: 0000 GS: 0033 SS: 0068 EFLAGS: 00010046 CR0: 80050033 CR2: 00c2101c CR3: 04b6d000 CR4: 000406d0 Call Trace: show_regs+0x70/0x78 die_addr+0x29/0x70 exc_general_protection+0x13c/0x348 exc_bounds+0x98/0x98 handle_exception+0x14d/0x14d exc_bounds+0x98/0x98 restore_all_switch_stack+0xbe/0xcf exc_bounds+0x98/0x98 restore_all_switch_stack+0xbe/0xcf This only happens in 32-bit mode when VERW based mitigations like MDS/RFDS are enabled. This is because segment registers with an arbitrary user value can result in #GP when executing VERW. Intel SDM vol. 2C documents the following behavior for VERW instruction: #GP(0) - If a memory operand effective address is outside the CS, DS, ES, FS, or GS segment limit. CLEAR_CPU_BUFFERS macro executes VERW instruction before returning to user space. Use %cs selector to reference VERW operand. This ensures VERW will not #GP for an arbitrary user %ds. [ mingo: Fixed the SOB chain. ] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tty: n_gsm: Fix use-after-free in gsm_cleanup_mux BUG: KASAN: slab-use-after-free in gsm_cleanup_mux+0x77b/0x7b0 drivers/tty/n_gsm.c:3160 [n_gsm] Read of size 8 at addr ffff88815fe99c00 by task poc/3379 CPU: 0 UID: 0 PID: 3379 Comm: poc Not tainted 6.11.0+ #56 Hardware name: VMware, Inc. VMware Virtual Platform/440BX Desktop Reference Platform, BIOS 6.00 11/12/2020 Call Trace: <TASK> gsm_cleanup_mux+0x77b/0x7b0 drivers/tty/n_gsm.c:3160 [n_gsm] __pfx_gsm_cleanup_mux+0x10/0x10 drivers/tty/n_gsm.c:3124 [n_gsm] __pfx_sched_clock_cpu+0x10/0x10 kernel/sched/clock.c:389 update_load_avg+0x1c1/0x27b0 kernel/sched/fair.c:4500 __pfx_min_vruntime_cb_rotate+0x10/0x10 kernel/sched/fair.c:846 __rb_insert_augmented+0x492/0xbf0 lib/rbtree.c:161 gsmld_ioctl+0x395/0x1450 drivers/tty/n_gsm.c:3408 [n_gsm] _raw_spin_lock_irqsave+0x92/0xf0 arch/x86/include/asm/atomic.h:107 __pfx_gsmld_ioctl+0x10/0x10 drivers/tty/n_gsm.c:3822 [n_gsm] ktime_get+0x5e/0x140 kernel/time/timekeeping.c:195 ldsem_down_read+0x94/0x4e0 arch/x86/include/asm/atomic64_64.h:79 __pfx_ldsem_down_read+0x10/0x10 drivers/tty/tty_ldsem.c:338 __pfx_do_vfs_ioctl+0x10/0x10 fs/ioctl.c:805 tty_ioctl+0x643/0x1100 drivers/tty/tty_io.c:2818 Allocated by task 65: gsm_data_alloc.constprop.0+0x27/0x190 drivers/tty/n_gsm.c:926 [n_gsm] gsm_send+0x2c/0x580 drivers/tty/n_gsm.c:819 [n_gsm] gsm1_receive+0x547/0xad0 drivers/tty/n_gsm.c:3038 [n_gsm] gsmld_receive_buf+0x176/0x280 drivers/tty/n_gsm.c:3609 [n_gsm] tty_ldisc_receive_buf+0x101/0x1e0 drivers/tty/tty_buffer.c:391 tty_port_default_receive_buf+0x61/0xa0 drivers/tty/tty_port.c:39 flush_to_ldisc+0x1b0/0x750 drivers/tty/tty_buffer.c:445 process_scheduled_works+0x2b0/0x10d0 kernel/workqueue.c:3229 worker_thread+0x3dc/0x950 kernel/workqueue.c:3391 kthread+0x2a3/0x370 kernel/kthread.c:389 ret_from_fork+0x2d/0x70 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:257 Freed by task 3367: kfree+0x126/0x420 mm/slub.c:4580 gsm_cleanup_mux+0x36c/0x7b0 drivers/tty/n_gsm.c:3160 [n_gsm] gsmld_ioctl+0x395/0x1450 drivers/tty/n_gsm.c:3408 [n_gsm] tty_ioctl+0x643/0x1100 drivers/tty/tty_io.c:2818 [Analysis] gsm_msg on the tx_ctrl_list or tx_data_list of gsm_mux can be freed by multi threads through ioctl,which leads to the occurrence of uaf. Protect it by gsm tx lock. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: ISO: Fix multiple init when debugfs is disabled If bt_debugfs is not created successfully, which happens if either CONFIG_DEBUG_FS or CONFIG_DEBUG_FS_ALLOW_ALL is unset, then iso_init() returns early and does not set iso_inited to true. This means that a subsequent call to iso_init() will result in duplicate calls to proto_register(), bt_sock_register(), etc. With CONFIG_LIST_HARDENED and CONFIG_BUG_ON_DATA_CORRUPTION enabled, the duplicate call to proto_register() triggers this BUG(): list_add double add: new=ffffffffc0b280d0, prev=ffffffffbab56250, next=ffffffffc0b280d0. ------------[ cut here ]------------ kernel BUG at lib/list_debug.c:35! Oops: invalid opcode: 0000 [#1] PREEMPT SMP PTI CPU: 2 PID: 887 Comm: bluetoothd Not tainted 6.10.11-1-ao-desktop #1 RIP: 0010:__list_add_valid_or_report+0x9a/0xa0 ... __list_add_valid_or_report+0x9a/0xa0 proto_register+0x2b5/0x340 iso_init+0x23/0x150 [bluetooth] set_iso_socket_func+0x68/0x1b0 [bluetooth] kmem_cache_free+0x308/0x330 hci_sock_sendmsg+0x990/0x9e0 [bluetooth] __sock_sendmsg+0x7b/0x80 sock_write_iter+0x9a/0x110 do_iter_readv_writev+0x11d/0x220 vfs_writev+0x180/0x3e0 do_writev+0xca/0x100 ... This change removes the early return. The check for iso_debugfs being NULL was unnecessary, it is always NULL when iso_inited is false. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: Call iso_exit() on module unload If iso_init() has been called, iso_exit() must be called on module unload. Without that, the struct proto that iso_init() registered with proto_register() becomes invalid, which could cause unpredictable problems later. In my case, with CONFIG_LIST_HARDENED and CONFIG_BUG_ON_DATA_CORRUPTION enabled, loading the module again usually triggers this BUG(): list_add corruption. next->prev should be prev (ffffffffb5355fd0), but was 0000000000000068. (next=ffffffffc0a010d0). ------------[ cut here ]------------ kernel BUG at lib/list_debug.c:29! Oops: invalid opcode: 0000 [#1] PREEMPT SMP PTI CPU: 1 PID: 4159 Comm: modprobe Not tainted 6.10.11-4+bt2-ao-desktop #1 RIP: 0010:__list_add_valid_or_report+0x61/0xa0 ... __list_add_valid_or_report+0x61/0xa0 proto_register+0x299/0x320 hci_sock_init+0x16/0xc0 [bluetooth] bt_init+0x68/0xd0 [bluetooth] __pfx_bt_init+0x10/0x10 [bluetooth] do_one_initcall+0x80/0x2f0 do_init_module+0x8b/0x230 __do_sys_init_module+0x15f/0x190 do_syscall_64+0x68/0x110 ... [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: blk-rq-qos: fix crash on rq_qos_wait vs. rq_qos_wake_function race We're seeing crashes from rq_qos_wake_function that look like this: BUG: unable to handle page fault for address: ffffafe180a40084 #PF: supervisor write access in kernel mode #PF: error_code(0x0002) - not-present page PGD 100000067 P4D 100000067 PUD 10027c067 PMD 10115d067 PTE 0 Oops: Oops: 0002 [#1] PREEMPT SMP PTI CPU: 17 UID: 0 PID: 0 Comm: swapper/17 Not tainted 6.12.0-rc3-00013-geca631b8fe80 #11 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.16.0-0-gd239552ce722-prebuilt.qemu.org 04/01/2014 RIP: 0010:_raw_spin_lock_irqsave+0x1d/0x40 Code: 90 90 90 90 90 90 90 90 90 90 90 90 90 f3 0f 1e fa 0f 1f 44 00 00 41 54 9c 41 5c fa 65 ff 05 62 97 30 4c 31 c0 ba 01 00 00 00 <f0> 0f b1 17 75 0a 4c 89 e0 41 5c c3 cc cc cc cc 89 c6 e8 2c 0b 00 RSP: 0018:ffffafe180580ca0 EFLAGS: 00010046 RAX: 0000000000000000 RBX: ffffafe180a3f7a8 RCX: 0000000000000011 RDX: 0000000000000001 RSI: 0000000000000003 RDI: ffffafe180a40084 RBP: 0000000000000000 R08: 00000000001e7240 R09: 0000000000000011 R10: 0000000000000028 R11: 0000000000000888 R12: 0000000000000002 R13: ffffafe180a40084 R14: 0000000000000000 R15: 0000000000000003 FS: 0000000000000000(0000) GS:ffff9aaf1f280000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: ffffafe180a40084 CR3: 000000010e428002 CR4: 0000000000770ef0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 PKRU: 55555554 Call Trace: <IRQ> try_to_wake_up+0x5a/0x6a0 rq_qos_wake_function+0x71/0x80 __wake_up_common+0x75/0xa0 __wake_up+0x36/0x60 scale_up.part.0+0x50/0x110 wb_timer_fn+0x227/0x450 ... So rq_qos_wake_function() calls wake_up_process(data->task), which calls try_to_wake_up(), which faults in raw_spin_lock_irqsave(&p->pi_lock). p comes from data->task, and data comes from the waitqueue entry, which is stored on the waiter's stack in rq_qos_wait(). Analyzing the core dump with drgn, I found that the waiter had already woken up and moved on to a completely unrelated code path, clobbering what was previously data->task. Meanwhile, the waker was passing the clobbered garbage in data->task to wake_up_process(), leading to the crash. What's happening is that in between rq_qos_wake_function() deleting the waitqueue entry and calling wake_up_process(), rq_qos_wait() is finding that it already got a token and returning. The race looks like this: rq_qos_wait() rq_qos_wake_function() ============================================================== prepare_to_wait_exclusive() data->got_token = true; list_del_init(&curr->entry); if (data.got_token) break; finish_wait(&rqw->wait, &data.wq); ^- returns immediately because list_empty_careful(&wq_entry->entry) is true ... return, go do something else ... wake_up_process(data->task) (NO LONGER VALID!)-^ Normally, finish_wait() is supposed to synchronize against the waker. But, as noted above, it is returning immediately because the waitqueue entry has already been removed from the waitqueue. The bug is that rq_qos_wake_function() is accessing the waitqueue entry AFTER deleting it. Note that autoremove_wake_function() wakes the waiter and THEN deletes the waitqueue entry, which is the proper order. Fix it by swapping the order. We also need to use list_del_init_careful() to match the list_empty_careful() in finish_wait(). [] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tcp: fix mptcp DSS corruption due to large pmtu xmit Syzkaller was able to trigger a DSS corruption: TCP: request_sock_subflow_v4: Possible SYN flooding on port [::]:20002. Sending cookies. ------------[ cut here ]------------ WARNING: CPU: 0 PID: 5227 at net/mptcp/protocol.c:695 __mptcp_move_skbs_from_subflow+0x20a9/0x21f0 net/mptcp/protocol.c:695 Modules linked in: CPU: 0 UID: 0 PID: 5227 Comm: syz-executor350 Not tainted 6.11.0-syzkaller-08829-gaf9c191ac2a0 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 08/06/2024 RIP: 0010:__mptcp_move_skbs_from_subflow+0x20a9/0x21f0 net/mptcp/protocol.c:695 Code: 0f b6 dc 31 ff 89 de e8 b5 dd ea f5 89 d8 48 81 c4 50 01 00 00 5b 41 5c 41 5d 41 5e 41 5f 5d c3 cc cc cc cc e8 98 da ea f5 90 <0f> 0b 90 e9 47 ff ff ff e8 8a da ea f5 90 0f 0b 90 e9 99 e0 ff ff RSP: 0018:ffffc90000006db8 EFLAGS: 00010246 RAX: ffffffff8ba9df18 RBX: 00000000000055f0 RCX: ffff888030023c00 RDX: 0000000000000100 RSI: 00000000000081e5 RDI: 00000000000055f0 RBP: 1ffff110062bf1ae R08: ffffffff8ba9cf12 R09: 1ffff110062bf1b8 R10: dffffc0000000000 R11: ffffed10062bf1b9 R12: 0000000000000000 R13: dffffc0000000000 R14: 00000000700cec61 R15: 00000000000081e5 FS: 000055556679c380(0000) GS:ffff8880b8600000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000020287000 CR3: 0000000077892000 CR4: 00000000003506f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: <IRQ> move_skbs_to_msk net/mptcp/protocol.c:811 [inline] mptcp_data_ready+0x29c/0xa90 net/mptcp/protocol.c:854 subflow_data_ready+0x34a/0x920 net/mptcp/subflow.c:1490 tcp_data_queue+0x20fd/0x76c0 net/ipv4/tcp_input.c:5283 tcp_rcv_established+0xfba/0x2020 net/ipv4/tcp_input.c:6237 tcp_v4_do_rcv+0x96d/0xc70 net/ipv4/tcp_ipv4.c:1915 tcp_v4_rcv+0x2dc0/0x37f0 net/ipv4/tcp_ipv4.c:2350 ip_protocol_deliver_rcu+0x22e/0x440 net/ipv4/ip_input.c:205 ip_local_deliver_finish+0x341/0x5f0 net/ipv4/ip_input.c:233 NF_HOOK+0x3a4/0x450 include/linux/netfilter.h:314 NF_HOOK+0x3a4/0x450 include/linux/netfilter.h:314 __netif_receive_skb_one_core net/core/dev.c:5662 [inline] __netif_receive_skb+0x2bf/0x650 net/core/dev.c:5775 process_backlog+0x662/0x15b0 net/core/dev.c:6107 __napi_poll+0xcb/0x490 net/core/dev.c:6771 napi_poll net/core/dev.c:6840 [inline] net_rx_action+0x89b/0x1240 net/core/dev.c:6962 handle_softirqs+0x2c5/0x980 kernel/softirq.c:554 do_softirq+0x11b/0x1e0 kernel/softirq.c:455 </IRQ> <TASK> __local_bh_enable_ip+0x1bb/0x200 kernel/softirq.c:382 local_bh_enable include/linux/bottom_half.h:33 [inline] rcu_read_unlock_bh include/linux/rcupdate.h:919 [inline] __dev_queue_xmit+0x1764/0x3e80 net/core/dev.c:4451 dev_queue_xmit include/linux/netdevice.h:3094 [inline] neigh_hh_output include/net/neighbour.h:526 [inline] neigh_output include/net/neighbour.h:540 [inline] ip_finish_output2+0xd41/0x1390 net/ipv4/ip_output.c:236 ip_local_out net/ipv4/ip_output.c:130 [inline] __ip_queue_xmit+0x118c/0x1b80 net/ipv4/ip_output.c:536 __tcp_transmit_skb+0x2544/0x3b30 net/ipv4/tcp_output.c:1466 tcp_transmit_skb net/ipv4/tcp_output.c:1484 [inline] tcp_mtu_probe net/ipv4/tcp_output.c:2547 [inline] tcp_write_xmit+0x641d/0x6bf0 net/ipv4/tcp_output.c:2752 __tcp_push_pending_frames+0x9b/0x360 net/ipv4/tcp_output.c:3015 tcp_push_pending_frames include/net/tcp.h:2107 [inline] tcp_data_snd_check net/ipv4/tcp_input.c:5714 [inline] tcp_rcv_established+0x1026/0x2020 net/ipv4/tcp_input.c:6239 tcp_v4_do_rcv+0x96d/0xc70 net/ipv4/tcp_ipv4.c:1915 sk_backlog_rcv include/net/sock.h:1113 [inline] __release_sock+0x214/0x350 net/core/sock.c:3072 release_sock+0x61/0x1f0 net/core/sock.c:3626 mptcp_push_ ---truncated--- [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mptcp: pm: fix UaF read in mptcp_pm_nl_rm_addr_or_subflow Syzkaller reported this splat: ================================================================== BUG: KASAN: slab-use-after-free in mptcp_pm_nl_rm_addr_or_subflow+0xb44/0xcc0 net/mptcp/pm_netlink.c:881 Read of size 4 at addr ffff8880569ac858 by task syz.1.2799/14662 CPU: 0 UID: 0 PID: 14662 Comm: syz.1.2799 Not tainted 6.12.0-rc2-syzkaller-00307-g36c254515dc6 #0 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014 Call Trace: <TASK> __dump_stack lib/dump_stack.c:94 [inline] dump_stack_lvl+0x116/0x1f0 lib/dump_stack.c:120 print_address_description mm/kasan/report.c:377 [inline] print_report+0xc3/0x620 mm/kasan/report.c:488 kasan_report+0xd9/0x110 mm/kasan/report.c:601 mptcp_pm_nl_rm_addr_or_subflow+0xb44/0xcc0 net/mptcp/pm_netlink.c:881 mptcp_pm_nl_rm_subflow_received net/mptcp/pm_netlink.c:914 [inline] mptcp_nl_remove_id_zero_address+0x305/0x4a0 net/mptcp/pm_netlink.c:1572 mptcp_pm_nl_del_addr_doit+0x5c9/0x770 net/mptcp/pm_netlink.c:1603 genl_family_rcv_msg_doit+0x202/0x2f0 net/netlink/genetlink.c:1115 genl_family_rcv_msg net/netlink/genetlink.c:1195 [inline] genl_rcv_msg+0x565/0x800 net/netlink/genetlink.c:1210 netlink_rcv_skb+0x165/0x410 net/netlink/af_netlink.c:2551 genl_rcv+0x28/0x40 net/netlink/genetlink.c:1219 netlink_unicast_kernel net/netlink/af_netlink.c:1331 [inline] netlink_unicast+0x53c/0x7f0 net/netlink/af_netlink.c:1357 netlink_sendmsg+0x8b8/0xd70 net/netlink/af_netlink.c:1901 sock_sendmsg_nosec net/socket.c:729 [inline] __sock_sendmsg net/socket.c:744 [inline] ____sys_sendmsg+0x9ae/0xb40 net/socket.c:2607 ___sys_sendmsg+0x135/0x1e0 net/socket.c:2661 __sys_sendmsg+0x117/0x1f0 net/socket.c:2690 do_syscall_32_irqs_on arch/x86/entry/common.c:165 [inline] __do_fast_syscall_32+0x73/0x120 arch/x86/entry/common.c:386 do_fast_syscall_32+0x32/0x80 arch/x86/entry/common.c:411 entry_SYSENTER_compat_after_hwframe+0x84/0x8e RIP: 0023:0xf7fe4579 Code: b8 01 10 06 03 74 b4 01 10 07 03 74 b0 01 10 08 03 74 d8 01 00 00 00 00 00 00 00 00 00 00 00 00 00 51 52 55 89 e5 0f 34 cd 80 <5d> 5a 59 c3 90 90 90 90 8d b4 26 00 00 00 00 8d b4 26 00 00 00 00 RSP: 002b:00000000f574556c EFLAGS: 00000296 ORIG_RAX: 0000000000000172 RAX: ffffffffffffffda RBX: 000000000000000b RCX: 0000000020000140 RDX: 0000000000000000 RSI: 0000000000000000 RDI: 0000000000000000 RBP: 0000000000000000 R08: 0000000000000000 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000296 R12: 0000000000000000 R13: 0000000000000000 R14: 0000000000000000 R15: 0000000000000000 </TASK> Allocated by task 5387: kasan_save_stack+0x33/0x60 mm/kasan/common.c:47 kasan_save_track+0x14/0x30 mm/kasan/common.c:68 poison_kmalloc_redzone mm/kasan/common.c:377 [inline] __kasan_kmalloc+0xaa/0xb0 mm/kasan/common.c:394 kmalloc_noprof include/linux/slab.h:878 [inline] kzalloc_noprof include/linux/slab.h:1014 [inline] subflow_create_ctx+0x87/0x2a0 net/mptcp/subflow.c:1803 subflow_ulp_init+0xc3/0x4d0 net/mptcp/subflow.c:1956 __tcp_set_ulp net/ipv4/tcp_ulp.c:146 [inline] tcp_set_ulp+0x326/0x7f0 net/ipv4/tcp_ulp.c:167 mptcp_subflow_create_socket+0x4ae/0x10a0 net/mptcp/subflow.c:1764 __mptcp_subflow_connect+0x3cc/0x1490 net/mptcp/subflow.c:1592 mptcp_pm_create_subflow_or_signal_addr+0xbda/0x23a0 net/mptcp/pm_netlink.c:642 mptcp_pm_nl_fully_established net/mptcp/pm_netlink.c:650 [inline] mptcp_pm_nl_work+0x3a1/0x4f0 net/mptcp/pm_netlink.c:943 mptcp_worker+0x15a/0x1240 net/mptcp/protocol.c:2777 process_one_work+0x958/0x1b30 kernel/workqueue.c:3229 process_scheduled_works kernel/workqueue.c:3310 [inline] worker_thread+0x6c8/0xf00 kernel/workqueue.c:3391 kthread+0x2c1/0x3a0 kernel/kthread.c:389 ret_from_fork+0x45/0x80 arch/x86/ke ---truncated--- [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ksmbd: fix user-after-free from session log off There is racy issue between smb2 session log off and smb2 session setup. It will cause user-after-free from session log off. This add session_lock when setting SMB2_SESSION_EXPIRED and referece count to session struct not to free session while it is being used. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: btrfs: fix uninitialized pointer free on read_alloc_one_name() error The function read_alloc_one_name() does not initialize the name field of the passed fscrypt_str struct if kmalloc fails to allocate the corresponding buffer. Thus, it is not guaranteed that fscrypt_str.name is initialized when freeing it. This is a follow-up to the linked patch that fixes the remaining instances of the bug introduced by commit e43eec81c516 ("btrfs: use struct qstr instead of name and namelen pairs"). [NistCWE(cwe='CWE-824'), NistCWE(cwe='CWE-824')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: btrfs: fix uninitialized pointer free in add_inode_ref() The add_inode_ref() function does not initialize the "name" struct when it is declared. If any of the following calls to "read_one_inode() returns NULL, dir = read_one_inode(root, parent_objectid); if (!dir) { ret = -ENOENT; goto out; } inode = read_one_inode(root, inode_objectid); if (!inode) { ret = -EIO; goto out; } then "name.name" would be freed on "out" before being initialized. out: ... kfree(name.name); This issue was reported by Coverity with CID 1526744. [NistCWE(cwe='CWE-824'), NistCWE(cwe='CWE-824')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: thermal: intel: int340x: processor: Fix warning during module unload The processor_thermal driver uses pcim_device_enable() to enable a PCI device, which means the device will be automatically disabled on driver detach. Thus there is no need to call pci_disable_device() again on it. With recent PCI device resource management improvements, e.g. commit f748a07a0b64 ("PCI: Remove legacy pcim_release()"), this problem is exposed and triggers the warining below. [ 224.010735] proc_thermal_pci 0000:00:04.0: disabling already-disabled device [ 224.010747] WARNING: CPU: 8 PID: 4442 at drivers/pci/pci.c:2250 pci_disable_device+0xe5/0x100 ... [ 224.010844] Call Trace: [ 224.010845] <TASK> [ 224.010847] ? show_regs+0x6d/0x80 [ 224.010851] ? __warn+0x8c/0x140 [ 224.010854] ? pci_disable_device+0xe5/0x100 [ 224.010856] ? report_bug+0x1c9/0x1e0 [ 224.010859] ? handle_bug+0x46/0x80 [ 224.010862] ? exc_invalid_op+0x1d/0x80 [ 224.010863] ? asm_exc_invalid_op+0x1f/0x30 [ 224.010867] ? pci_disable_device+0xe5/0x100 [ 224.010869] ? pci_disable_device+0xe5/0x100 [ 224.010871] ? kfree+0x21a/0x2b0 [ 224.010873] pcim_disable_device+0x20/0x30 [ 224.010875] devm_action_release+0x16/0x20 [ 224.010878] release_nodes+0x47/0xc0 [ 224.010880] devres_release_all+0x9f/0xe0 [ 224.010883] device_unbind_cleanup+0x12/0x80 [ 224.010885] device_release_driver_internal+0x1ca/0x210 [ 224.010887] driver_detach+0x4e/0xa0 [ 224.010889] bus_remove_driver+0x6f/0xf0 [ 224.010890] driver_unregister+0x35/0x60 [ 224.010892] pci_unregister_driver+0x44/0x90 [ 224.010894] proc_thermal_pci_driver_exit+0x14/0x5f0 [processor_thermal_device_pci] ... [ 224.010921] ---[ end trace 0000000000000000 ]--- Remove the excess pci_disable_device() calls. [ rjw: Subject and changelog edits ] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nouveau/dmem: Fix vulnerability in migrate_to_ram upon copy error The `nouveau_dmem_copy_one` function ensures that the copy push command is sent to the device firmware but does not track whether it was executed successfully. In the case of a copy error (e.g., firmware or hardware failure), the copy push command will be sent via the firmware channel, and `nouveau_dmem_copy_one` will likely report success, leading to the `migrate_to_ram` function returning a dirty HIGH_USER page to the user. This can result in a security vulnerability, as a HIGH_USER page that may contain sensitive or corrupted data could be returned to the user. To prevent this vulnerability, we allocate a zero page. Thus, in case of an error, a non-dirty (zero) page will be returned to the user. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: arm64: probes: Remove broken LDR (literal) uprobe support The simulate_ldr_literal() and simulate_ldrsw_literal() functions are unsafe to use for uprobes. Both functions were originally written for use with kprobes, and access memory with plain C accesses. When uprobes was added, these were reused unmodified even though they cannot safely access user memory. There are three key problems: 1) The plain C accesses do not have corresponding extable entries, and thus if they encounter a fault the kernel will treat these as unintentional accesses to user memory, resulting in a BUG() which will kill the kernel thread, and likely lead to further issues (e.g. lockup or panic()). 2) The plain C accesses are subject to HW PAN and SW PAN, and so when either is in use, any attempt to simulate an access to user memory will fault. Thus neither simulate_ldr_literal() nor simulate_ldrsw_literal() can do anything useful when simulating a user instruction on any system with HW PAN or SW PAN. 3) The plain C accesses are privileged, as they run in kernel context, and in practice can access a small range of kernel virtual addresses. The instructions they simulate have a range of +/-1MiB, and since the simulated instructions must itself be a user instructions in the TTBR0 address range, these can address the final 1MiB of the TTBR1 acddress range by wrapping downwards from an address in the first 1MiB of the TTBR0 address range. In contemporary kernels the last 8MiB of TTBR1 address range is reserved, and accesses to this will always fault, meaning this is no worse than (1). Historically, it was theoretically possible for the linear map or vmemmap to spill into the final 8MiB of the TTBR1 address range, but in practice this is extremely unlikely to occur as this would require either: * Having enough physical memory to fill the entire linear map all the way to the final 1MiB of the TTBR1 address range. * Getting unlucky with KASLR randomization of the linear map such that the populated region happens to overlap with the last 1MiB of the TTBR address range. ... and in either case if we were to spill into the final page there would be larger problems as the final page would alias with error pointers. Practically speaking, (1) and (2) are the big issues. Given there have been no reports of problems since the broken code was introduced, it appears that no-one is relying on probing these instructions with uprobes. Avoid these issues by not allowing uprobes on LDR (literal) and LDRSW (literal), limiting the use of simulate_ldr_literal() and simulate_ldrsw_literal() to kprobes. Attempts to place uprobes on LDR (literal) and LDRSW (literal) will be rejected as arm_probe_decode_insn() will return INSN_REJECTED. In future we can consider introducing working uprobes support for these instructions, but this will require more significant work. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: iommu/vt-d: Fix incorrect pci_for_each_dma_alias() for non-PCI devices Previously, the domain_context_clear() function incorrectly called pci_for_each_dma_alias() to set up context entries for non-PCI devices. This could lead to kernel hangs or other unexpected behavior. Add a check to only call pci_for_each_dma_alias() for PCI devices. For non-PCI devices, domain_context_clear_one() is called directly. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ASoC: qcom: Fix NULL Dereference in asoc_qcom_lpass_cpu_platform_probe() A devm_kzalloc() in asoc_qcom_lpass_cpu_platform_probe() could possibly return NULL pointer. NULL Pointer Dereference may be triggerred without addtional check. Add a NULL check for the returned pointer. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd/display: Disable PSR-SU on Parade 08-01 TCON too Stuart Hayhurst has found that both at bootup and fullscreen VA-API video is leading to black screens for around 1 second and kernel WARNING [1] traces when calling dmub_psr_enable() with Parade 08-01 TCON. These symptoms all go away with PSR-SU disabled for this TCON, so disable it for now while DMUB traces [2] from the failure can be analyzed and the failure state properly root caused. (cherry picked from commit afb634a6823d8d9db23c5fb04f79c5549349628b) [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: nilfs2: fix kernel bug due to missing clearing of buffer delay flag Syzbot reported that after nilfs2 reads a corrupted file system image and degrades to read-only, the BUG_ON check for the buffer delay flag in submit_bh_wbc() may fail, causing a kernel bug. This is because the buffer delay flag is not cleared when clearing the buffer state flags to discard a page/folio or a buffer head. So, fix this. This became necessary when the use of nilfs2's own page clear routine was expanded. This state inconsistency does not occur if the buffer is written normally by log writing. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/amd: Guard against bad data for ATIF ACPI method If a BIOS provides bad data in response to an ATIF method call this causes a NULL pointer dereference in the caller. ``` ? show_regs (arch/x86/kernel/dumpstack.c:478 (discriminator 1)) ? __die (arch/x86/kernel/dumpstack.c:423 arch/x86/kernel/dumpstack.c:434) ? page_fault_oops (arch/x86/mm/fault.c:544 (discriminator 2) arch/x86/mm/fault.c:705 (discriminator 2)) ? do_user_addr_fault (arch/x86/mm/fault.c:440 (discriminator 1) arch/x86/mm/fault.c:1232 (discriminator 1)) ? acpi_ut_update_object_reference (drivers/acpi/acpica/utdelete.c:642) ? exc_page_fault (arch/x86/mm/fault.c:1542) ? asm_exc_page_fault (./arch/x86/include/asm/idtentry.h:623) ? amdgpu_atif_query_backlight_caps.constprop.0 (drivers/gpu/drm/amd/amdgpu/amdgpu_acpi.c:387 (discriminator 2)) amdgpu ? amdgpu_atif_query_backlight_caps.constprop.0 (drivers/gpu/drm/amd/amdgpu/amdgpu_acpi.c:386 (discriminator 1)) amdgpu ``` It has been encountered on at least one system, so guard for it. (cherry picked from commit c9b7c809b89f24e9372a4e7f02d64c950b07fdee) [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: ISO: Fix UAF on iso_sock_timeout conn->sk maybe have been unlinked/freed while waiting for iso_conn_lock so this checks if the conn->sk is still valid by checking if it part of iso_sk_list. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: SCO: Fix UAF on sco_sock_timeout conn->sk maybe have been unlinked/freed while waiting for sco_conn_lock so this checks if the conn->sk is still valid by checking if it part of sco_sk_list. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: sched: use RCU read-side critical section in taprio_dump() Fix possible use-after-free in 'taprio_dump()' by adding RCU read-side critical section there. Never seen on x86 but found on a KASAN-enabled arm64 system when investigating https://syzkaller.appspot.com/bug?extid=b65e0af58423fc8a73aa: [T15862] BUG: KASAN: slab-use-after-free in taprio_dump+0xa0c/0xbb0 [T15862] Read of size 4 at addr ffff0000d4bb88f8 by task repro/15862 [T15862] [T15862] CPU: 0 UID: 0 PID: 15862 Comm: repro Not tainted 6.11.0-rc1-00293-gdefaf1a2113a-dirty #2 [T15862] Hardware name: QEMU QEMU Virtual Machine, BIOS edk2-20240524-5.fc40 05/24/2024 [T15862] Call trace: [T15862] dump_backtrace+0x20c/0x220 [T15862] show_stack+0x2c/0x40 [T15862] dump_stack_lvl+0xf8/0x174 [T15862] print_report+0x170/0x4d8 [T15862] kasan_report+0xb8/0x1d4 [T15862] __asan_report_load4_noabort+0x20/0x2c [T15862] taprio_dump+0xa0c/0xbb0 [T15862] tc_fill_qdisc+0x540/0x1020 [T15862] qdisc_notify.isra.0+0x330/0x3a0 [T15862] tc_modify_qdisc+0x7b8/0x1838 [T15862] rtnetlink_rcv_msg+0x3c8/0xc20 [T15862] netlink_rcv_skb+0x1f8/0x3d4 [T15862] rtnetlink_rcv+0x28/0x40 [T15862] netlink_unicast+0x51c/0x790 [T15862] netlink_sendmsg+0x79c/0xc20 [T15862] __sock_sendmsg+0xe0/0x1a0 [T15862] ____sys_sendmsg+0x6c0/0x840 [T15862] ___sys_sendmsg+0x1ac/0x1f0 [T15862] __sys_sendmsg+0x110/0x1d0 [T15862] __arm64_sys_sendmsg+0x74/0xb0 [T15862] invoke_syscall+0x88/0x2e0 [T15862] el0_svc_common.constprop.0+0xe4/0x2a0 [T15862] do_el0_svc+0x44/0x60 [T15862] el0_svc+0x50/0x184 [T15862] el0t_64_sync_handler+0x120/0x12c [T15862] el0t_64_sync+0x190/0x194 [T15862] [T15862] Allocated by task 15857: [T15862] kasan_save_stack+0x3c/0x70 [T15862] kasan_save_track+0x20/0x3c [T15862] kasan_save_alloc_info+0x40/0x60 [T15862] __kasan_kmalloc+0xd4/0xe0 [T15862] __kmalloc_cache_noprof+0x194/0x334 [T15862] taprio_change+0x45c/0x2fe0 [T15862] tc_modify_qdisc+0x6a8/0x1838 [T15862] rtnetlink_rcv_msg+0x3c8/0xc20 [T15862] netlink_rcv_skb+0x1f8/0x3d4 [T15862] rtnetlink_rcv+0x28/0x40 [T15862] netlink_unicast+0x51c/0x790 [T15862] netlink_sendmsg+0x79c/0xc20 [T15862] __sock_sendmsg+0xe0/0x1a0 [T15862] ____sys_sendmsg+0x6c0/0x840 [T15862] ___sys_sendmsg+0x1ac/0x1f0 [T15862] __sys_sendmsg+0x110/0x1d0 [T15862] __arm64_sys_sendmsg+0x74/0xb0 [T15862] invoke_syscall+0x88/0x2e0 [T15862] el0_svc_common.constprop.0+0xe4/0x2a0 [T15862] do_el0_svc+0x44/0x60 [T15862] el0_svc+0x50/0x184 [T15862] el0t_64_sync_handler+0x120/0x12c [T15862] el0t_64_sync+0x190/0x194 [T15862] [T15862] Freed by task 6192: [T15862] kasan_save_stack+0x3c/0x70 [T15862] kasan_save_track+0x20/0x3c [T15862] kasan_save_free_info+0x4c/0x80 [T15862] poison_slab_object+0x110/0x160 [T15862] __kasan_slab_free+0x3c/0x74 [T15862] kfree+0x134/0x3c0 [T15862] taprio_free_sched_cb+0x18c/0x220 [T15862] rcu_core+0x920/0x1b7c [T15862] rcu_core_si+0x10/0x1c [T15862] handle_softirqs+0x2e8/0xd64 [T15862] __do_softirq+0x14/0x20 [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: sched: fix use-after-free in taprio_change() In 'taprio_change()', 'admin' pointer may become dangling due to sched switch / removal caused by 'advance_sched()', and critical section protected by 'q->current_entry_lock' is too small to prevent from such a scenario (which causes use-after-free detected by KASAN). Fix this by prefer 'rcu_replace_pointer()' over 'rcu_assign_pointer()' to update 'admin' immediately before an attempt to schedule freeing. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: wwan: fix global oob in wwan_rtnl_policy The variable wwan_rtnl_link_ops assign a *bigger* maxtype which leads to a global out-of-bounds read when parsing the netlink attributes. Exactly same bug cause as the oob fixed in commit b33fb5b801c6 ("net: qualcomm: rmnet: fix global oob in rmnet_policy"). ================================================================== BUG: KASAN: global-out-of-bounds in validate_nla lib/nlattr.c:388 [inline] BUG: KASAN: global-out-of-bounds in __nla_validate_parse+0x19d7/0x29a0 lib/nlattr.c:603 Read of size 1 at addr ffffffff8b09cb60 by task syz.1.66276/323862 CPU: 0 PID: 323862 Comm: syz.1.66276 Not tainted 6.1.70 #1 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.13.0-1ubuntu1.1 04/01/2014 Call Trace: <TASK> __dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0x177/0x231 lib/dump_stack.c:106 print_address_description mm/kasan/report.c:284 [inline] print_report+0x14f/0x750 mm/kasan/report.c:395 kasan_report+0x139/0x170 mm/kasan/report.c:495 validate_nla lib/nlattr.c:388 [inline] __nla_validate_parse+0x19d7/0x29a0 lib/nlattr.c:603 __nla_parse+0x3c/0x50 lib/nlattr.c:700 nla_parse_nested_deprecated include/net/netlink.h:1269 [inline] __rtnl_newlink net/core/rtnetlink.c:3514 [inline] rtnl_newlink+0x7bc/0x1fd0 net/core/rtnetlink.c:3623 rtnetlink_rcv_msg+0x794/0xef0 net/core/rtnetlink.c:6122 netlink_rcv_skb+0x1de/0x420 net/netlink/af_netlink.c:2508 netlink_unicast_kernel net/netlink/af_netlink.c:1326 [inline] netlink_unicast+0x74b/0x8c0 net/netlink/af_netlink.c:1352 netlink_sendmsg+0x882/0xb90 net/netlink/af_netlink.c:1874 sock_sendmsg_nosec net/socket.c:716 [inline] __sock_sendmsg net/socket.c:728 [inline] ____sys_sendmsg+0x5cc/0x8f0 net/socket.c:2499 ___sys_sendmsg+0x21c/0x290 net/socket.c:2553 __sys_sendmsg net/socket.c:2582 [inline] __do_sys_sendmsg net/socket.c:2591 [inline] __se_sys_sendmsg+0x19e/0x270 net/socket.c:2589 do_syscall_x64 arch/x86/entry/common.c:51 [inline] do_syscall_64+0x45/0x90 arch/x86/entry/common.c:81 entry_SYSCALL_64_after_hwframe+0x63/0xcd RIP: 0033:0x7f67b19a24ad RSP: 002b:00007f67b17febb8 EFLAGS: 00000246 ORIG_RAX: 000000000000002e RAX: ffffffffffffffda RBX: 00007f67b1b45f80 RCX: 00007f67b19a24ad RDX: 0000000000000000 RSI: 0000000020005e40 RDI: 0000000000000004 RBP: 00007f67b1a1e01d R08: 0000000000000000 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000246 R12: 0000000000000000 R13: 00007ffd2513764f R14: 00007ffd251376e0 R15: 00007f67b17fed40 </TASK> The buggy address belongs to the variable: wwan_rtnl_policy+0x20/0x40 The buggy address belongs to the physical page: page:ffffea00002c2700 refcount:1 mapcount:0 mapping:0000000000000000 index:0x0 pfn:0xb09c flags: 0xfff00000001000(reserved|node=0|zone=1|lastcpupid=0x7ff) raw: 00fff00000001000 ffffea00002c2708 ffffea00002c2708 0000000000000000 raw: 0000000000000000 0000000000000000 00000001ffffffff 0000000000000000 page dumped because: kasan: bad access detected page_owner info is not present (never set?) Memory state around the buggy address: ffffffff8b09ca00: 05 f9 f9 f9 05 f9 f9 f9 00 01 f9 f9 00 01 f9 f9 ffffffff8b09ca80: 00 00 00 05 f9 f9 f9 f9 00 00 03 f9 f9 f9 f9 f9 >ffffffff8b09cb00: 00 00 00 00 05 f9 f9 f9 00 00 00 00 f9 f9 f9 f9 ^ ffffffff8b09cb80: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ================================================================== According to the comment of `nla_parse_nested_deprecated`, use correct size `IFLA_WWAN_MAX` here to fix this issue. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tracing: Consider the NULL character when validating the event length strlen() returns a string length excluding the null byte. If the string length equals to the maximum buffer length, the buffer will have no space for the NULL terminating character. This commit checks this condition and returns failure for it. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: LoongArch: Don't crash in stack_top() for tasks without vDSO Not all tasks have a vDSO mapped, for example kthreads never do. If such a task ever ends up calling stack_top(), it will derefence the NULL vdso pointer and crash. This can for example happen when using kunit: [<9000000000203874>] stack_top+0x58/0xa8 [<90000000002956cc>] arch_pick_mmap_layout+0x164/0x220 [<90000000003c284c>] kunit_vm_mmap_init+0x108/0x12c [<90000000003c1fbc>] __kunit_add_resource+0x38/0x8c [<90000000003c2704>] kunit_vm_mmap+0x88/0xc8 [<9000000000410b14>] usercopy_test_init+0xbc/0x25c [<90000000003c1db4>] kunit_try_run_case+0x5c/0x184 [<90000000003c3d54>] kunit_generic_run_threadfn_adapter+0x24/0x48 [<900000000022e4bc>] kthread+0xc8/0xd4 [<9000000000200ce8>] ret_from_kernel_thread+0xc/0xa4 [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/vboxvideo: Replace fake VLA at end of vbva_mouse_pointer_shape with real VLA Replace the fake VLA at end of the vbva_mouse_pointer_shape shape with a real VLA to fix a "memcpy: detected field-spanning write error" warning: [ 13.319813] memcpy: detected field-spanning write (size 16896) of single field "p->data" at drivers/gpu/drm/vboxvideo/hgsmi_base.c:154 (size 4) [ 13.319841] WARNING: CPU: 0 PID: 1105 at drivers/gpu/drm/vboxvideo/hgsmi_base.c:154 hgsmi_update_pointer_shape+0x192/0x1c0 [vboxvideo] [ 13.320038] Call Trace: [ 13.320173] hgsmi_update_pointer_shape [vboxvideo] [ 13.320184] vbox_cursor_atomic_update [vboxvideo] Note as mentioned in the added comment it seems the original length calculation for the allocated and send hgsmi buffer is 4 bytes too large. Changing this is not the goal of this patch, so this behavior is kept. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5: Unregister notifier on eswitch init failure It otherwise remains registered and a subsequent attempt at eswitch enabling might trigger warnings of the sort: [ 682.589148] ------------[ cut here ]------------ [ 682.590204] notifier callback eswitch_vport_event [mlx5_core] already registered [ 682.590256] WARNING: CPU: 13 PID: 2660 at kernel/notifier.c:31 notifier_chain_register+0x3e/0x90 [...snipped] [ 682.610052] Call Trace: [ 682.610369] <TASK> [ 682.610663] ? __warn+0x7c/0x110 [ 682.611050] ? notifier_chain_register+0x3e/0x90 [ 682.611556] ? report_bug+0x148/0x170 [ 682.611977] ? handle_bug+0x36/0x70 [ 682.612384] ? exc_invalid_op+0x13/0x60 [ 682.612817] ? asm_exc_invalid_op+0x16/0x20 [ 682.613284] ? notifier_chain_register+0x3e/0x90 [ 682.613789] atomic_notifier_chain_register+0x25/0x40 [ 682.614322] mlx5_eswitch_enable_locked+0x1d4/0x3b0 [mlx5_core] [ 682.614965] mlx5_eswitch_enable+0xc9/0x100 [mlx5_core] [ 682.615551] mlx5_device_enable_sriov+0x25/0x340 [mlx5_core] [ 682.616170] mlx5_core_sriov_configure+0x50/0x170 [mlx5_core] [ 682.616789] sriov_numvfs_store+0xb0/0x1b0 [ 682.617248] kernfs_fop_write_iter+0x117/0x1a0 [ 682.617734] vfs_write+0x231/0x3f0 [ 682.618138] ksys_write+0x63/0xe0 [ 682.618536] do_syscall_64+0x4c/0x100 [ 682.618958] entry_SYSCALL_64_after_hwframe+0x4b/0x53 [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Use raw_spinlock_t in ringbuf The function __bpf_ringbuf_reserve is invoked from a tracepoint, which disables preemption. Using spinlock_t in this context can lead to a "sleep in atomic" warning in the RT variant. This issue is illustrated in the example below: BUG: sleeping function called from invalid context at kernel/locking/spinlock_rt.c:48 in_atomic(): 1, irqs_disabled(): 0, non_block: 0, pid: 556208, name: test_progs preempt_count: 1, expected: 0 RCU nest depth: 1, expected: 1 INFO: lockdep is turned off. Preemption disabled at: [<ffffd33a5c88ea44>] migrate_enable+0xc0/0x39c CPU: 7 PID: 556208 Comm: test_progs Tainted: G Hardware name: Qualcomm SA8775P Ride (DT) Call trace: dump_backtrace+0xac/0x130 show_stack+0x1c/0x30 dump_stack_lvl+0xac/0xe8 dump_stack+0x18/0x30 __might_resched+0x3bc/0x4fc rt_spin_lock+0x8c/0x1a4 __bpf_ringbuf_reserve+0xc4/0x254 bpf_ringbuf_reserve_dynptr+0x5c/0xdc bpf_prog_ac3d15160d62622a_test_read_write+0x104/0x238 trace_call_bpf+0x238/0x774 perf_call_bpf_enter.isra.0+0x104/0x194 perf_syscall_enter+0x2f8/0x510 trace_sys_enter+0x39c/0x564 syscall_trace_enter+0x220/0x3c0 do_el0_svc+0x138/0x1dc el0_svc+0x54/0x130 el0t_64_sync_handler+0x134/0x150 el0t_64_sync+0x17c/0x180 Switch the spinlock to raw_spinlock_t to avoid this error. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: ACPI: PRM: Find EFI_MEMORY_RUNTIME block for PRM handler and context PRMT needs to find the correct type of block to translate the PA-VA mapping for EFI runtime services. The issue arises because the PRMT is finding a block of type EFI_CONVENTIONAL_MEMORY, which is not appropriate for runtime services as described in Section 2.2.2 (Runtime Services) of the UEFI Specification [1]. Since the PRM handler is a type of runtime service, this causes an exception when the PRM handler is called. [Firmware Bug]: Unable to handle paging request in EFI runtime service WARNING: CPU: 22 PID: 4330 at drivers/firmware/efi/runtime-wrappers.c:341 __efi_queue_work+0x11c/0x170 Call trace: Let PRMT find a block with EFI_MEMORY_RUNTIME for PRM handler and PRM context. If no suitable block is found, a warning message will be printed, but the procedure continues to manage the next PRM handler. However, if the PRM handler is actually called without proper allocation, it would result in a failure during error handling. By using the correct memory types for runtime services, ensure that the PRM handler and the context are properly mapped in the virtual address space during runtime, preventing the paging request error. The issue is really that only memory that has been remapped for runtime by the firmware can be used by the PRM handler, and so the region needs to have the EFI_MEMORY_RUNTIME attribute. [ rjw: Subject and changelog edits ] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: octeon_ep: Add SKB allocation failures handling in __octep_oq_process_rx() build_skb() returns NULL in case of a memory allocation failure so handle it inside __octep_oq_process_rx() to avoid NULL pointer dereference. __octep_oq_process_rx() is called during NAPI polling by the driver. If skb allocation fails, keep on pulling packets out of the Rx DMA queue: we shouldn't break the polling immediately and thus falsely indicate to the octep_napi_poll() that the Rx pressure is going down. As there is no associated skb in this case, don't process the packets and don't push them up the network stack - they are skipped. Helper function is implemented to unmmap/flush all the fragment buffers used by the dropped packet. 'alloc_failures' counter is incremented to mark the skb allocation error in driver statistics. Found by Linux Verification Center (linuxtesting.org) with SVACE. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5e: Don't call cleanup on profile rollback failure When profile rollback fails in mlx5e_netdev_change_profile, the netdev profile var is left set to NULL. Avoid a crash when unloading the driver by not calling profile->cleanup in such a case. This was encountered while testing, with the original trigger that the wq rescuer thread creation got interrupted (presumably due to Ctrl+C-ing modprobe), which gets converted to ENOMEM (-12) by mlx5e_priv_init, the profile rollback also fails for the same reason (signal still active) so the profile is left as NULL, leading to a crash later in _mlx5e_remove. [ 732.473932] mlx5_core 0000:08:00.1: E-Switch: Unload vfs: mode(OFFLOADS), nvfs(2), necvfs(0), active vports(2) [ 734.525513] workqueue: Failed to create a rescuer kthread for wq "mlx5e": -EINTR [ 734.557372] mlx5_core 0000:08:00.1: mlx5e_netdev_init_profile:6235:(pid 6086): mlx5e_priv_init failed, err=-12 [ 734.559187] mlx5_core 0000:08:00.1 eth3: mlx5e_netdev_change_profile: new profile init failed, -12 [ 734.560153] workqueue: Failed to create a rescuer kthread for wq "mlx5e": -EINTR [ 734.589378] mlx5_core 0000:08:00.1: mlx5e_netdev_init_profile:6235:(pid 6086): mlx5e_priv_init failed, err=-12 [ 734.591136] mlx5_core 0000:08:00.1 eth3: mlx5e_netdev_change_profile: failed to rollback to orig profile, -12 [ 745.537492] BUG: kernel NULL pointer dereference, address: 0000000000000008 [ 745.538222] #PF: supervisor read access in kernel mode <snipped> [ 745.551290] Call Trace: [ 745.551590] <TASK> [ 745.551866] ? __die+0x20/0x60 [ 745.552218] ? page_fault_oops+0x150/0x400 [ 745.555307] ? exc_page_fault+0x79/0x240 [ 745.555729] ? asm_exc_page_fault+0x22/0x30 [ 745.556166] ? mlx5e_remove+0x6b/0xb0 [mlx5_core] [ 745.556698] auxiliary_bus_remove+0x18/0x30 [ 745.557134] device_release_driver_internal+0x1df/0x240 [ 745.557654] bus_remove_device+0xd7/0x140 [ 745.558075] device_del+0x15b/0x3c0 [ 745.558456] mlx5_rescan_drivers_locked.part.0+0xb1/0x2f0 [mlx5_core] [ 745.559112] mlx5_unregister_device+0x34/0x50 [mlx5_core] [ 745.559686] mlx5_uninit_one+0x46/0xf0 [mlx5_core] [ 745.560203] remove_one+0x4e/0xd0 [mlx5_core] [ 745.560694] pci_device_remove+0x39/0xa0 [ 745.561112] device_release_driver_internal+0x1df/0x240 [ 745.561631] driver_detach+0x47/0x90 [ 745.562022] bus_remove_driver+0x84/0x100 [ 745.562444] pci_unregister_driver+0x3b/0x90 [ 745.562890] mlx5_cleanup+0xc/0x1b [mlx5_core] [ 745.563415] __x64_sys_delete_module+0x14d/0x2f0 [ 745.563886] ? kmem_cache_free+0x1b0/0x460 [ 745.564313] ? lockdep_hardirqs_on_prepare+0xe2/0x190 [ 745.564825] do_syscall_64+0x6d/0x140 [ 745.565223] entry_SYSCALL_64_after_hwframe+0x4b/0x53 [ 745.565725] RIP: 0033:0x7f1579b1288b [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/mlx5: Fix command bitmask initialization Command bitmask have a dedicated bit for MANAGE_PAGES command, this bit isn't Initialize during command bitmask Initialization, only during MANAGE_PAGES. In addition, mlx5_cmd_trigger_completions() is trying to trigger completion for MANAGE_PAGES command as well. Hence, in case health error occurred before any MANAGE_PAGES command have been invoke (for example, during mlx5_enable_hca()), mlx5_cmd_trigger_completions() will try to trigger completion for MANAGE_PAGES command, which will result in null-ptr-deref error.[1] Fix it by Initialize command bitmask correctly. While at it, re-write the code for better understanding. [1] BUG: KASAN: null-ptr-deref in mlx5_cmd_trigger_completions+0x1db/0x600 [mlx5_core] Write of size 4 at addr 0000000000000214 by task kworker/u96:2/12078 CPU: 10 PID: 12078 Comm: kworker/u96:2 Not tainted 6.9.0-rc2_for_upstream_debug_2024_04_07_19_01 #1 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS rel-1.13.0-0-gf21b5a4aeb02-prebuilt.qemu.org 04/01/2014 Workqueue: mlx5_health0000:08:00.0 mlx5_fw_fatal_reporter_err_work [mlx5_core] Call Trace: <TASK> dump_stack_lvl+0x7e/0xc0 kasan_report+0xb9/0xf0 kasan_check_range+0xec/0x190 mlx5_cmd_trigger_completions+0x1db/0x600 [mlx5_core] mlx5_cmd_flush+0x94/0x240 [mlx5_core] enter_error_state+0x6c/0xd0 [mlx5_core] mlx5_fw_fatal_reporter_err_work+0xf3/0x480 [mlx5_core] process_one_work+0x787/0x1490 ? lockdep_hardirqs_on_prepare+0x400/0x400 ? pwq_dec_nr_in_flight+0xda0/0xda0 ? assign_work+0x168/0x240 worker_thread+0x586/0xd30 ? rescuer_thread+0xae0/0xae0 kthread+0x2df/0x3b0 ? kthread_complete_and_exit+0x20/0x20 ret_from_fork+0x2d/0x70 ? kthread_complete_and_exit+0x20/0x20 ret_from_fork_asm+0x11/0x20 </TASK> [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: Bluetooth: bnep: fix wild-memory-access in proto_unregister There's issue as follows: KASAN: maybe wild-memory-access in range [0xdead...108-0xdead...10f] CPU: 3 UID: 0 PID: 2805 Comm: rmmod Tainted: G W RIP: 0010:proto_unregister+0xee/0x400 Call Trace: <TASK> __do_sys_delete_module+0x318/0x580 do_syscall_64+0xc1/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f As bnep_init() ignore bnep_sock_init()'s return value, and bnep_sock_init() will cleanup all resource. Then when remove bnep module will call bnep_sock_cleanup() to cleanup sock's resource. To solve above issue just return bnep_sock_init()'s return value in bnep_exit(). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: usb: typec: altmode should keep reference to parent The altmode device release refers to its parent device, but without keeping a reference to it. When registering the altmode, get a reference to the parent and put it in the release function. Before this fix, when using CONFIG_DEBUG_KOBJECT_RELEASE, we see issues like this: [ 43.572860] kobject: 'port0.0' (ffff8880057ba008): kobject_release, parent 0000000000000000 (delayed 3000) [ 43.573532] kobject: 'port0.1' (ffff8880057bd008): kobject_release, parent 0000000000000000 (delayed 1000) [ 43.574407] kobject: 'port0' (ffff8880057b9008): kobject_release, parent 0000000000000000 (delayed 3000) [ 43.575059] kobject: 'port1.0' (ffff8880057ca008): kobject_release, parent 0000000000000000 (delayed 4000) [ 43.575908] kobject: 'port1.1' (ffff8880057c9008): kobject_release, parent 0000000000000000 (delayed 4000) [ 43.576908] kobject: 'typec' (ffff8880062dbc00): kobject_release, parent 0000000000000000 (delayed 4000) [ 43.577769] kobject: 'port1' (ffff8880057bf008): kobject_release, parent 0000000000000000 (delayed 3000) [ 46.612867] ================================================================== [ 46.613402] BUG: KASAN: slab-use-after-free in typec_altmode_release+0x38/0x129 [ 46.614003] Read of size 8 at addr ffff8880057b9118 by task kworker/2:1/48 [ 46.614538] [ 46.614668] CPU: 2 UID: 0 PID: 48 Comm: kworker/2:1 Not tainted 6.12.0-rc1-00138-gedbae730ad31 #535 [ 46.615391] Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.15.0-1 04/01/2014 [ 46.616042] Workqueue: events kobject_delayed_cleanup [ 46.616446] Call Trace: [ 46.616648] <TASK> [ 46.616820] dump_stack_lvl+0x5b/0x7c [ 46.617112] ? typec_altmode_release+0x38/0x129 [ 46.617470] print_report+0x14c/0x49e [ 46.617769] ? rcu_read_unlock_sched+0x56/0x69 [ 46.618117] ? __virt_addr_valid+0x19a/0x1ab [ 46.618456] ? kmem_cache_debug_flags+0xc/0x1d [ 46.618807] ? typec_altmode_release+0x38/0x129 [ 46.619161] kasan_report+0x8d/0xb4 [ 46.619447] ? typec_altmode_release+0x38/0x129 [ 46.619809] ? process_scheduled_works+0x3cb/0x85f [ 46.620185] typec_altmode_release+0x38/0x129 [ 46.620537] ? process_scheduled_works+0x3cb/0x85f [ 46.620907] device_release+0xaf/0xf2 [ 46.621206] kobject_delayed_cleanup+0x13b/0x17a [ 46.621584] process_scheduled_works+0x4f6/0x85f [ 46.621955] ? __pfx_process_scheduled_works+0x10/0x10 [ 46.622353] ? hlock_class+0x31/0x9a [ 46.622647] ? lock_acquired+0x361/0x3c3 [ 46.622956] ? move_linked_works+0x46/0x7d [ 46.623277] worker_thread+0x1ce/0x291 [ 46.623582] ? __kthread_parkme+0xc8/0xdf [ 46.623900] ? __pfx_worker_thread+0x10/0x10 [ 46.624236] kthread+0x17e/0x190 [ 46.624501] ? kthread+0xfb/0x190 [ 46.624756] ? __pfx_kthread+0x10/0x10 [ 46.625015] ret_from_fork+0x20/0x40 [ 46.625268] ? __pfx_kthread+0x10/0x10 [ 46.625532] ret_from_fork_asm+0x1a/0x30 [ 46.625805] </TASK> [ 46.625953] [ 46.626056] Allocated by task 678: [ 46.626287] kasan_save_stack+0x24/0x44 [ 46.626555] kasan_save_track+0x14/0x2d [ 46.626811] __kasan_kmalloc+0x3f/0x4d [ 46.627049] __kmalloc_noprof+0x1bf/0x1f0 [ 46.627362] typec_register_port+0x23/0x491 [ 46.627698] cros_typec_probe+0x634/0xbb6 [ 46.628026] platform_probe+0x47/0x8c [ 46.628311] really_probe+0x20a/0x47d [ 46.628605] device_driver_attach+0x39/0x72 [ 46.628940] bind_store+0x87/0xd7 [ 46.629213] kernfs_fop_write_iter+0x1aa/0x218 [ 46.629574] vfs_write+0x1d6/0x29b [ 46.629856] ksys_write+0xcd/0x13b [ 46.630128] do_syscall_64+0xd4/0x139 [ 46.630420] entry_SYSCALL_64_after_hwframe+0x76/0x7e [ 46.630820] [ 46.630946] Freed by task 48: [ 46.631182] kasan_save_stack+0x24/0x44 [ 46.631493] kasan_save_track+0x14/0x2d [ 46.631799] kasan_save_free_info+0x3f/0x4d [ 46.632144] __kasan_slab_free+0x37/0x45 [ 46.632474] ---truncated--- [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: smb: client: fix OOBs when building SMB2_IOCTL request When using encryption, either enforced by the server or when using 'seal' mount option, the client will squash all compound request buffers down for encryption into a single iov in smb2_set_next_command(). SMB2_ioctl_init() allocates a small buffer (448 bytes) to hold the SMB2_IOCTL request in the first iov, and if the user passes an input buffer that is greater than 328 bytes, smb2_set_next_command() will end up writing off the end of @rqst->iov[0].iov_base as shown below: mount.cifs //srv/share /mnt -o ...,seal ln -s $(perl -e "print('a')for 1..1024") /mnt/link BUG: KASAN: slab-out-of-bounds in smb2_set_next_command.cold+0x1d6/0x24c [cifs] Write of size 4116 at addr ffff8881148fcab8 by task ln/859 CPU: 1 UID: 0 PID: 859 Comm: ln Not tainted 6.12.0-rc3 #1 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-2.fc40 04/01/2014 Call Trace: <TASK> dump_stack_lvl+0x5d/0x80 ? smb2_set_next_command.cold+0x1d6/0x24c [cifs] print_report+0x156/0x4d9 ? smb2_set_next_command.cold+0x1d6/0x24c [cifs] ? __virt_addr_valid+0x145/0x310 ? __phys_addr+0x46/0x90 ? smb2_set_next_command.cold+0x1d6/0x24c [cifs] kasan_report+0xda/0x110 ? smb2_set_next_command.cold+0x1d6/0x24c [cifs] kasan_check_range+0x10f/0x1f0 __asan_memcpy+0x3c/0x60 smb2_set_next_command.cold+0x1d6/0x24c [cifs] smb2_compound_op+0x238c/0x3840 [cifs] ? kasan_save_track+0x14/0x30 ? kasan_save_free_info+0x3b/0x70 ? vfs_symlink+0x1a1/0x2c0 ? do_symlinkat+0x108/0x1c0 ? __pfx_smb2_compound_op+0x10/0x10 [cifs] ? kmem_cache_free+0x118/0x3e0 ? cifs_get_writable_path+0xeb/0x1a0 [cifs] smb2_get_reparse_inode+0x423/0x540 [cifs] ? __pfx_smb2_get_reparse_inode+0x10/0x10 [cifs] ? rcu_is_watching+0x20/0x50 ? __kmalloc_noprof+0x37c/0x480 ? smb2_create_reparse_symlink+0x257/0x490 [cifs] ? smb2_create_reparse_symlink+0x38f/0x490 [cifs] smb2_create_reparse_symlink+0x38f/0x490 [cifs] ? __pfx_smb2_create_reparse_symlink+0x10/0x10 [cifs] ? find_held_lock+0x8a/0xa0 ? hlock_class+0x32/0xb0 ? __build_path_from_dentry_optional_prefix+0x19d/0x2e0 [cifs] cifs_symlink+0x24f/0x960 [cifs] ? __pfx_make_vfsuid+0x10/0x10 ? __pfx_cifs_symlink+0x10/0x10 [cifs] ? make_vfsgid+0x6b/0xc0 ? generic_permission+0x96/0x2d0 vfs_symlink+0x1a1/0x2c0 do_symlinkat+0x108/0x1c0 ? __pfx_do_symlinkat+0x10/0x10 ? strncpy_from_user+0xaa/0x160 __x64_sys_symlinkat+0xb9/0xf0 do_syscall_64+0xbb/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f08d75c13bb [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: target: core: Fix null-ptr-deref in target_alloc_device() There is a null-ptr-deref issue reported by KASAN: BUG: KASAN: null-ptr-deref in target_alloc_device+0xbc4/0xbe0 [target_core_mod] ... kasan_report+0xb9/0xf0 target_alloc_device+0xbc4/0xbe0 [target_core_mod] core_dev_setup_virtual_lun0+0xef/0x1f0 [target_core_mod] target_core_init_configfs+0x205/0x420 [target_core_mod] do_one_initcall+0xdd/0x4e0 ... entry_SYSCALL_64_after_hwframe+0x76/0x7e In target_alloc_device(), if allocing memory for dev queues fails, then dev will be freed by dev->transport->free_device(), but dev->transport is not initialized at that time, which will lead to a null pointer reference problem. Fixing this bug by freeing dev with hba->backend->ops->free_device(). [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: tcp/dccp: Don't use timer_pending() in reqsk_queue_unlink(). Martin KaFai Lau reported use-after-free [0] in reqsk_timer_handler(). """ We are seeing a use-after-free from a bpf prog attached to trace_tcp_retransmit_synack. The program passes the req->sk to the bpf_sk_storage_get_tracing kernel helper which does check for null before using it. """ The commit 83fccfc3940c ("inet: fix potential deadlock in reqsk_queue_unlink()") added timer_pending() in reqsk_queue_unlink() not to call del_timer_sync() from reqsk_timer_handler(), but it introduced a small race window. Before the timer is called, expire_timers() calls detach_timer(timer, true) to clear timer->entry.pprev and marks it as not pending. If reqsk_queue_unlink() checks timer_pending() just after expire_timers() calls detach_timer(), TCP will miss del_timer_sync(); the reqsk timer will continue running and send multiple SYN+ACKs until it expires. The reported UAF could happen if req->sk is close()d earlier than the timer expiration, which is 63s by default. The scenario would be 1. inet_csk_complete_hashdance() calls inet_csk_reqsk_queue_drop(), but del_timer_sync() is missed 2. reqsk timer is executed and scheduled again 3. req->sk is accept()ed and reqsk_put() decrements rsk_refcnt, but reqsk timer still has another one, and inet_csk_accept() does not clear req->sk for non-TFO sockets 4. sk is close()d 5. reqsk timer is executed again, and BPF touches req->sk Let's not use timer_pending() by passing the caller context to __inet_csk_reqsk_queue_drop(). Note that reqsk timer is pinned, so the issue does not happen in most use cases. [1] [0] BUG: KFENCE: use-after-free read in bpf_sk_storage_get_tracing+0x2e/0x1b0 Use-after-free read at 0x00000000a891fb3a (in kfence-#1): bpf_sk_storage_get_tracing+0x2e/0x1b0 bpf_prog_5ea3e95db6da0438_tcp_retransmit_synack+0x1d20/0x1dda bpf_trace_run2+0x4c/0xc0 tcp_rtx_synack+0xf9/0x100 reqsk_timer_handler+0xda/0x3d0 run_timer_softirq+0x292/0x8a0 irq_exit_rcu+0xf5/0x320 sysvec_apic_timer_interrupt+0x6d/0x80 asm_sysvec_apic_timer_interrupt+0x16/0x20 intel_idle_irq+0x5a/0xa0 cpuidle_enter_state+0x94/0x273 cpu_startup_entry+0x15e/0x260 start_secondary+0x8a/0x90 secondary_startup_64_no_verify+0xfa/0xfb kfence-#1: 0x00000000a72cc7b6-0x00000000d97616d9, size=2376, cache=TCPv6 allocated by task 0 on cpu 9 at 260507.901592s: sk_prot_alloc+0x35/0x140 sk_clone_lock+0x1f/0x3f0 inet_csk_clone_lock+0x15/0x160 tcp_create_openreq_child+0x1f/0x410 tcp_v6_syn_recv_sock+0x1da/0x700 tcp_check_req+0x1fb/0x510 tcp_v6_rcv+0x98b/0x1420 ipv6_list_rcv+0x2258/0x26e0 napi_complete_done+0x5b1/0x2990 mlx5e_napi_poll+0x2ae/0x8d0 net_rx_action+0x13e/0x590 irq_exit_rcu+0xf5/0x320 common_interrupt+0x80/0x90 asm_common_interrupt+0x22/0x40 cpuidle_enter_state+0xfb/0x273 cpu_startup_entry+0x15e/0x260 start_secondary+0x8a/0x90 secondary_startup_64_no_verify+0xfa/0xfb freed by task 0 on cpu 9 at 260507.927527s: rcu_core_si+0x4ff/0xf10 irq_exit_rcu+0xf5/0x320 sysvec_apic_timer_interrupt+0x6d/0x80 asm_sysvec_apic_timer_interrupt+0x16/0x20 cpuidle_enter_state+0xfb/0x273 cpu_startup_entry+0x15e/0x260 start_secondary+0x8a/0x90 secondary_startup_64_no_verify+0xfa/0xfb [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: netdevsim: use cond_resched() in nsim_dev_trap_report_work() I am still seeing many syzbot reports hinting that syzbot might fool nsim_dev_trap_report_work() with hundreds of ports [1] Lets use cond_resched(), and system_unbound_wq instead of implicit system_wq. [1] INFO: task syz-executor:20633 blocked for more than 143 seconds. Not tainted 6.12.0-rc2-syzkaller-00205-g1d227fcc7222 #0 "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" disables this message. task:syz-executor state:D stack:25856 pid:20633 tgid:20633 ppid:1 flags:0x00004006 ... NMI backtrace for cpu 1 CPU: 1 UID: 0 PID: 16760 Comm: kworker/1:0 Not tainted 6.12.0-rc2-syzkaller-00205-g1d227fcc7222 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 09/13/2024 Workqueue: events nsim_dev_trap_report_work RIP: 0010:__sanitizer_cov_trace_pc+0x0/0x70 kernel/kcov.c:210 Code: 89 fb e8 23 00 00 00 48 8b 3d 04 fb 9c 0c 48 89 de 5b e9 c3 c7 5d 00 0f 1f 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 <f3> 0f 1e fa 48 8b 04 24 65 48 8b 0c 25 c0 d7 03 00 65 8b 15 60 f0 RSP: 0018:ffffc90000a187e8 EFLAGS: 00000246 RAX: 0000000000000100 RBX: ffffc90000a188e0 RCX: ffff888027d3bc00 RDX: ffff888027d3bc00 RSI: 0000000000000000 RDI: 0000000000000000 RBP: ffff88804a2e6000 R08: ffffffff8a4bc495 R09: ffffffff89da3577 R10: 0000000000000004 R11: ffffffff8a4bc2b0 R12: dffffc0000000000 R13: ffff88806573b503 R14: dffffc0000000000 R15: ffff8880663cca00 FS: 0000000000000000(0000) GS:ffff8880b8700000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fc90a747f98 CR3: 000000000e734000 CR4: 00000000003526f0 DR0: 0000000000000000 DR1: 000000000000002b DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000ffff0ff0 DR7: 0000000000000400 Call Trace: <NMI> </NMI> <TASK> __local_bh_enable_ip+0x1bb/0x200 kernel/softirq.c:382 spin_unlock_bh include/linux/spinlock.h:396 [inline] nsim_dev_trap_report drivers/net/netdevsim/dev.c:820 [inline] nsim_dev_trap_report_work+0x75d/0xaa0 drivers/net/netdevsim/dev.c:850 process_one_work kernel/workqueue.c:3229 [inline] process_scheduled_works+0xa63/0x1850 kernel/workqueue.c:3310 worker_thread+0x870/0xd30 kernel/workqueue.c:3391 kthread+0x2f0/0x390 kernel/kthread.c:389 ret_from_fork+0x4b/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:244 </TASK> [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: drm/msm: Avoid NULL dereference in msm_disp_state_print_regs() If the allocation in msm_disp_state_dump_regs() failed then `block->state` can be NULL. The msm_disp_state_print_regs() function _does_ have code to try to handle it with: if (*reg) dump_addr = *reg; ...but since "dump_addr" is initialized to NULL the above is actually a noop. The code then goes on to dereference `dump_addr`. Make the function print "Registers not stored" when it sees a NULL to solve this. Since we're touching the code, fix msm_disp_state_print_regs() not to pointlessly take a double-pointer and properly mark the pointer as `const`. Patchwork: https://patchwork.freedesktop.org/patch/619657/ [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: devmap: provide rxq after redirect rxq contains a pointer to the device from where the redirect happened. Currently, the BPF program that was executed after a redirect via BPF_MAP_TYPE_DEVMAP* does not have it set. This is particularly bad since accessing ingress_ifindex, e.g. SEC("xdp") int prog(struct xdp_md *pkt) { return bpf_redirect_map(&dev_redirect_map, 0, 0); } SEC("xdp/devmap") int prog_after_redirect(struct xdp_md *pkt) { bpf_printk("ifindex %i", pkt->ingress_ifindex); return XDP_PASS; } depends on access to rxq, so a NULL pointer gets dereferenced: <1>[ 574.475170] BUG: kernel NULL pointer dereference, address: 0000000000000000 <1>[ 574.475188] #PF: supervisor read access in kernel mode <1>[ 574.475194] #PF: error_code(0x0000) - not-present page <6>[ 574.475199] PGD 0 P4D 0 <4>[ 574.475207] Oops: Oops: 0000 [#1] PREEMPT SMP NOPTI <4>[ 574.475217] CPU: 4 UID: 0 PID: 217 Comm: kworker/4:1 Not tainted 6.11.0-rc5-reduced-00859-g780801200300 #23 <4>[ 574.475226] Hardware name: Intel(R) Client Systems NUC13ANHi7/NUC13ANBi7, BIOS ANRPL357.0026.2023.0314.1458 03/14/2023 <4>[ 574.475231] Workqueue: mld mld_ifc_work <4>[ 574.475247] RIP: 0010:bpf_prog_5e13354d9cf5018a_prog_after_redirect+0x17/0x3c <4>[ 574.475257] Code: cc cc cc cc cc cc cc 80 00 00 00 cc cc cc cc cc cc cc cc f3 0f 1e fa 0f 1f 44 00 00 66 90 55 48 89 e5 f3 0f 1e fa 48 8b 57 20 <48> 8b 52 00 8b 92 e0 00 00 00 48 bf f8 a6 d5 c4 5d a0 ff ff be 0b <4>[ 574.475263] RSP: 0018:ffffa62440280c98 EFLAGS: 00010206 <4>[ 574.475269] RAX: ffffa62440280cd8 RBX: 0000000000000001 RCX: 0000000000000000 <4>[ 574.475274] RDX: 0000000000000000 RSI: ffffa62440549048 RDI: ffffa62440280ce0 <4>[ 574.475278] RBP: ffffa62440280c98 R08: 0000000000000002 R09: 0000000000000001 <4>[ 574.475281] R10: ffffa05dc8b98000 R11: ffffa05f577fca40 R12: ffffa05dcab24000 <4>[ 574.475285] R13: ffffa62440280ce0 R14: ffffa62440549048 R15: ffffa62440549000 <4>[ 574.475289] FS: 0000000000000000(0000) GS:ffffa05f4f700000(0000) knlGS:0000000000000000 <4>[ 574.475294] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 <4>[ 574.475298] CR2: 0000000000000000 CR3: 000000025522e000 CR4: 0000000000f50ef0 <4>[ 574.475303] PKRU: 55555554 <4>[ 574.475306] Call Trace: <4>[ 574.475313] <IRQ> <4>[ 574.475318] ? __die+0x23/0x70 <4>[ 574.475329] ? page_fault_oops+0x180/0x4c0 <4>[ 574.475339] ? skb_pp_cow_data+0x34c/0x490 <4>[ 574.475346] ? kmem_cache_free+0x257/0x280 <4>[ 574.475357] ? exc_page_fault+0x67/0x150 <4>[ 574.475368] ? asm_exc_page_fault+0x26/0x30 <4>[ 574.475381] ? bpf_prog_5e13354d9cf5018a_prog_after_redirect+0x17/0x3c <4>[ 574.475386] bq_xmit_all+0x158/0x420 <4>[ 574.475397] __dev_flush+0x30/0x90 <4>[ 574.475407] veth_poll+0x216/0x250 [veth] <4>[ 574.475421] __napi_poll+0x28/0x1c0 <4>[ 574.475430] net_rx_action+0x32d/0x3a0 <4>[ 574.475441] handle_softirqs+0xcb/0x2c0 <4>[ 574.475451] do_softirq+0x40/0x60 <4>[ 574.475458] </IRQ> <4>[ 574.475461] <TASK> <4>[ 574.475464] __local_bh_enable_ip+0x66/0x70 <4>[ 574.475471] __dev_queue_xmit+0x268/0xe40 <4>[ 574.475480] ? selinux_ip_postroute+0x213/0x420 <4>[ 574.475491] ? alloc_skb_with_frags+0x4a/0x1d0 <4>[ 574.475502] ip6_finish_output2+0x2be/0x640 <4>[ 574.475512] ? nf_hook_slow+0x42/0xf0 <4>[ 574.475521] ip6_finish_output+0x194/0x300 <4>[ 574.475529] ? __pfx_ip6_finish_output+0x10/0x10 <4>[ 574.475538] mld_sendpack+0x17c/0x240 <4>[ 574.475548] mld_ifc_work+0x192/0x410 <4>[ 574.475557] process_one_work+0x15d/0x380 <4>[ 574.475566] worker_thread+0x29d/0x3a0 <4>[ 574.475573] ? __pfx_worker_thread+0x10/0x10 <4>[ 574.475580] ? __pfx_worker_thread+0x10/0x10 <4>[ 574.475587] kthread+0xcd/0x100 <4>[ 574.475597] ? __pfx_kthread+0x10/0x10 <4>[ 574.475606] ret_from_fork+0x31/0x50 <4>[ 574.475615] ? __pfx_kthread+0x10/0x10 <4>[ 574.475623] ret_from_fork_asm+0x1a/0x ---truncated--- [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: bpf: Make sure internal and UAPI bpf_redirect flags don't overlap The bpf_redirect_info is shared between the SKB and XDP redirect paths, and the two paths use the same numeric flag values in the ri->flags field (specifically, BPF_F_BROADCAST == BPF_F_NEXTHOP). This means that if skb bpf_redirect_neigh() is used with a non-NULL params argument and, subsequently, an XDP redirect is performed using the same bpf_redirect_info struct, the XDP path will get confused and end up crashing, which syzbot managed to trigger. With the stack-allocated bpf_redirect_info, the structure is no longer shared between the SKB and XDP paths, so the crash doesn't happen anymore. However, different code paths using identically-numbered flag values in the same struct field still seems like a bit of a mess, so this patch cleans that up by moving the flag definitions together and redefining the three flags in BPF_F_REDIRECT_INTERNAL to not overlap with the flags used for XDP. It also adds a BUILD_BUG_ON() check to make sure the overlap is not re-introduced by mistake. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: be2net: fix potential memory leak in be_xmit() The be_xmit() returns NETDEV_TX_OK without freeing skb in case of be_xmit_enqueue() fails, add dev_kfree_skb_any() to fix it. [NistCWE(cwe='CWE-401'), NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net/sun3_82586: fix potential memory leak in sun3_82586_send_packet() The sun3_82586_send_packet() returns NETDEV_TX_OK without freeing skb in case of skb->len being too long, add dev_kfree_skb() to fix it. [NistCWE(cwe='CWE-401'), NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: net: systemport: fix potential memory leak in bcm_sysport_xmit() The bcm_sysport_xmit() returns NETDEV_TX_OK without freeing skb in case of dma_map_single() fails, add dev_kfree_skb() to fix it. [NistCWE(cwe='CWE-401'), NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: secretmem: disable memfd_secret() if arch cannot set direct map Return -ENOSYS from memfd_secret() syscall if !can_set_direct_map(). This is the case for example on some arm64 configurations, where marking 4k PTEs in the direct map not present can only be done if the direct map is set up at 4k granularity in the first place (as ARM's break-before-make semantics do not easily allow breaking apart large/gigantic pages). More precisely, on arm64 systems with !can_set_direct_map(), set_direct_map_invalid_noflush() is a no-op, however it returns success (0) instead of an error. This means that memfd_secret will seemingly "work" (e.g. syscall succeeds, you can mmap the fd and fault in pages), but it does not actually achieve its goal of removing its memory from the direct map. Note that with this patch, memfd_secret() will start erroring on systems where can_set_direct_map() returns false (arm64 with CONFIG_RODATA_FULL_DEFAULT_ENABLED=n, CONFIG_DEBUG_PAGEALLOC=n and CONFIG_KFENCE=n), but that still seems better than the current silent failure. Since CONFIG_RODATA_FULL_DEFAULT_ENABLED defaults to 'y', most arm64 systems actually have a working memfd_secret() and aren't be affected. From going through the iterations of the original memfd_secret patch series, it seems that disabling the syscall in these scenarios was the intended behavior [1] (preferred over having set_direct_map_invalid_noflush return an error as that would result in SIGBUSes at page-fault time), however the check for it got dropped between v16 [2] and v17 [3], when secretmem moved away from CMA allocations. [1]: https://lore.kernel.org/lkml/20201124164930.GK8537@kernel.org/ [2]: https://lore.kernel.org/lkml/20210121122723.3446-11-rppt@kernel.org/#t [3]: https://lore.kernel.org/lkml/20201125092208.12544-10-rppt@kernel.org/ [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: scsi: lpfc: Ensure DA_ID handling completion before deleting an NPIV instance Deleting an NPIV instance requires all fabric ndlps to be released before an NPIV's resources can be torn down. Failure to release fabric ndlps beforehand opens kref imbalance race conditions. Fix by forcing the DA_ID to complete synchronously with usage of wait_queue. [NistCWE(cwe='CWE-362'), NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: virtio_pmem: Check device status before requesting flush If a pmem device is in a bad status, the driver side could wait for host ack forever in virtio_pmem_flush(), causing the system to hang. So add a status check in the beginning of virtio_pmem_flush() to return early if the device is not activated. [NistCWE(cwe='CWE-754'), NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.8 linux-6.1 In the Linux kernel, the following vulnerability has been resolved: mptcp: handle consistently DSS corruption Bugged peer implementation can send corrupted DSS options, consistently hitting a few warning in the data path. Use DEBUG_NET assertions, to avoid the splat on some builds and handle consistently the error, dumping related MIBs and performing fallback and/or reset according to the subflow type. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и у�