ГлавнаяБаза уязвимостей БДУ → BDU:2022-00337
7.2высокая

BDU:2022-00337 (CVE-2020-25647)

Уязвимость загрузчика операционных систем Grub2, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю получить доступ к конфиденциальным данным, оказать влияние на целостность данных, а также вызвать отказ в обслуживании
Опубликовано: 2022-01-20
Описание

Уязвимость загрузчика операционных систем Grub2 связана с выходом операции за границы буфера в памяти при отсутствии проверки данных от USB-устройства. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, оказать влияние на целостность данных, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (8)Debian GNU/Linux (10)Red Hat Enterprise Linux (7.6 Extended Update Support)Suse Linux Enterprise Server (12 SP3-ESPOS)Red Hat Enterprise Linux (7.2 Advanced Update Support)Suse Linux Enterprise Server (15-LTSS)Red Hat Enterprise Linux (7.3 Advanced Update Support)Red Hat Enterprise Linux (7.4 Telco Extended Update Support)Red Hat Enterprise Linux (7.4 Advanced Update Support)OpenSUSE Leap (15.2)Red Hat Enterprise Linux (8.1 Extended Update Support)Suse Linux Enterprise Server (12 SP4-ESPOS)Red Hat Enterprise Linux (7.7 Extended Update Support)
Способ устранения

Использование рекомендаций:
Для Grub:
https://security.gentoo.org/glsa/202104-05

Для ОС Debian:
https://security-tracker.debian.org/tracker/CVE-2020-25647

Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для UBLinux:
https://security.ublinux.ru/ASA-202105-7/generate

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZWZ36QK4IKU6MWDWNOOWKPH3WXZBHT2R/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-25647

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-25647.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС ОН «Стрелец»:
Обновление программного обеспечения grub2 до версии 2.06-3~deb10u2.osnova9.strelets

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2300

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=1886936https://nvd.nist.gov/vuln/detail/CVE-2020-25647https://security-tracker.debian.org/tracker/CVE-2020-25647https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-grub-/?sphrase_id=63279https://goslinux.fssp.gov.ru/2726972/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена