Обновления безопасности
Назад к п.2
2.1335 Множественные уязвимости GRUB
| Идентификатор бюллетеня | ROS-20220920-01 |
| Идентификатор CVE | CVE-2020-10713 |
| Идентификатор БДУ ФСТЭК России | BDU:2020-03625 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:N/C:P/I:P/A:P |
| Базовый вектор уязвимости CVSS 3.0 | None |
| Описание уязвимости | Уязвимость конфигурационного файла grub.cfg загрузчика операционных систем Grub2 связана с ошибками при нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| Идентификатор CVE | CVE-2020-14308 |
| Идентификатор БДУ ФСТЭК России | BDU:2020-03955 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:M/Au:N/C:P/I:P/A:P |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L |
| Описание уязвимости | Уязвимость реализации функции распределения динамической памяти загрузчика операционных систем Grub2 связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю оказать влияние на целостность, конфиденциальность и доступность информации |
| Идентификатор CVE | CVE-2020-14309 |
| Идентификатор БДУ ФСТЭК России | BDU:2020-03968 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:N/C:P/I:P/A:P |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L |
| Описание уязвимости | Уязвимость конфигурационного файла Grub связана с целочисленным переполнением значения UINT32. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| Идентификатор CVE | CVE-2020-14310 |
| Идентификатор БДУ ФСТЭК России | BDU:2020-03969 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:N/C:N/I:P/A:P |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
| Описание уязвимости | Уязвимость функции read_section_as_string() конфигурационного файла Grub связана с выходом операции за допустимые границы буфера данных, т. к. максимальная длина UINT32_MAX — 1 в байтах. Эксплуатация уязвимости позволяет нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании |
| Идентификатор CVE | CVE-2020-14311 |
| Идентификатор БДУ ФСТЭК России | BDU:2020-03970 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:N/C:N/I:P/A:P |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
| Описание уязвимости | Уязвимость конфигурационного файла Grub связана с ошибкой при работе с симлинками на внешних файловых системах. Эксплуатация уязвимости позволяет нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании |
| Идентификатор CVE | CVE-2020-15705 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-05895 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:H/Au:N/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость ядра Linux при прямой загрузке в режиме Secure Boot без прослойки shim связана с тем, что уязвимое программное обеспечение не может проверить подпись ядра при загрузке напрямую без shim. Эксплуатация уязвимости может позволить нарушителю обойти безопасную загрузку |
| Идентификатор CVE | CVE-2020-15706 |
| Идентификатор БДУ ФСТЭК России | BDU:2020-03971 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:M/Au:N/C:P/I:P/A:P |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
| Описание уязвимости | Уязвимость функции grub_script_function_create() конфигурационного файла Grub связана с ошибкой переопределения функции, в то время как данная функция уже выполняется. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| Идентификатор CVE | CVE-2020-15707 |
| Идентификатор БДУ ФСТЭК России | BDU:2020-03972 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:M/Au:N/C:P/I:P/A:P |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L |
| Описание уязвимости | Уязвимость функций grub_cmd_initrd и grub_initrd_init конфигурационного файла Grub связана с большим количеством аргументов файловой системы в команду initrd на 32-битных архитектурах. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| Идентификатор CVE | CVE-2020-14372 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-00326 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:H/Au:S/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость конфигурационного файла Grub связана с некорректным ограничением использования ACPI команд при включённой Secure Boot. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| Идентификатор CVE | CVE-2020-25632 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-00313 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:N/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость реализации rmmod конфигурационного файла Grub связана с отсутствием проверки на наличие загруженных модулей. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| Идентификатор CVE | CVE-2020-25647 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-00337 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:N/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость конфигурационного файла Grub с отсутствием проверки данных от USB-устройства. Эксплуатация уязвимости может быть доступна нарушителю, чтобы получить доступ к конфиденциальным данным, нарушению их уязвимости, также сохраняется отказ в хранении |
| Идентификатор CVE | CVE-2020-27749 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-00338 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:S/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость функций конфигурационного файла Grub с отсутствием проверки выводимых данных при вызове функции. Эксплуатация уязвимости может быть доступна нарушителю, чтобы получить доступ к конфиденциальным данным, нарушению их уязвимости, также сохраняется отказ в хранении |
| Идентификатор CVE | CVE-2020-27779 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-00341 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:M/Au:S/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость команды cutmem конфигурационного файла Grub уничтожения с авторизацией. Эксплуатация уязвимости может быть доступна нарушителю, чтобы получить доступ к конфиденциальным данным, нарушению их уязвимости, также сохраняется отказ в хранении |
| Идентификатор CVE | CVE-2021-3418 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:H/Au:N/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость загрузчика GRUB связана с тем, что если сертификаты, подписанные GRUB2, установлены в db, GRUB2 можно загрузить напрямую после чего возможна загрузка любого ядра без проверки подписи. Эксплуатация уязвимости может позволить нарушителю загрузить ядро в режиме безопасной загрузки, и выполнить блокировку, хотя оно могло быть изменено. |
| Идентификатор CVE | CVE-2021-20225 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-00308 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:N/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость конфигурационного файла Grub с выходом за пределы допустимых границ буфера данных. Эксплуатация уязвимости может быть доступна нарушителю, чтобы получить доступ к конфиденциальным данным, нарушению их уязвимости, также сохраняется отказ в хранении |
| Идентификатор CVE | CVE-2021-20233 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-00304 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:S/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость функций Setparam_prefix() конфигурационного файла Grub с неверным вычислением ошибок выводимых данных. Эксплуатация уязвимости может быть доступна нарушителю, чтобы получить доступ к конфиденциальным данным, нарушению их уязвимости, также сохраняется отказ в хранении |
| Наименование уязвимого пакета: | grub2-common |
| Версия уязвимого пакета младше: | 2.06-55 |
| Пакет обновления: | grub2-common-1:2.06-55.el7.3.noarch |
| Версия ОС | 7.3 |
| Архитектура ОС | х86_64 |
| Возможные меры по устранению уязвимости |
|
| Дата публикации бюллетеня | 20.09.2022 |
Дата последнего изменения: 05.10.2022
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.