ГлавнаяБаза уязвимостей БДУ → BDU:2022-00304
6.8высокая

BDU:2022-00304 (CVE-2021-20233)

Уязвимость реализации функции Setparam_prefix() загрузчика операционных систем Grub2, позволяющая нарушителю получить доступ к конфиденциальным данным, оказать влияние на целостность данных, а также вызвать отказ в обслуживании
Опубликовано: 2022-01-20
Описание

Уязвимость реализации функции Setparam_prefix() загрузчика операционных систем Grub2 связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, оказать влияние на целостность данных, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (8)Debian GNU/Linux (10)Red Hat Enterprise Linux (7.6 Extended Update Support)Suse Linux Enterprise Server (12 SP3-ESPOS)Red Hat Enterprise Linux (7.2 Advanced Update Support)Suse Linux Enterprise Server (15-LTSS)Red Hat Enterprise Linux (7.3 Advanced Update Support)Red Hat Enterprise Linux (7.4 Telco Extended Update Support)Red Hat Enterprise Linux (7.4 Advanced Update Support)Ubuntu (20.04 LTS)Ubuntu (20.10)OpenSUSE Leap (15.2)
Способ устранения

Использование рекомендаций:
Для Grub:
https://security.gentoo.org/glsa/202104-05

Для ОС Debian:
https://security-tracker.debian.org/tracker/CVE-2021-20233

Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Ubuntu:
https://ubuntu.com/security/CVE-2021-20233
https://ubuntu.com/security/notices/USN-4992-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZWZ36QK4IKU6MWDWNOOWKPH3WXZBHT2R/

Для UBLinux:
https://security.ublinux.ru/ASA-202106-43/generate

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-20233

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-20233.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС ОН «Стрелец»:
Обновление программного обеспечения grub2 до версии 2.06-3~deb10u2.osnova9.strelets

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2300

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2683

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=1926263https://nvd.nist.gov/vuln/detail/CVE-2021-20233https://security-tracker.debian.org/tracker/CVE-2021-20233https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-grub-/?sphrase_id=63279https://goslinux.fssp.gov.ru/2726972/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена