ГлавнаяБаза уязвимостей БДУ → BDU:2022-00338
6.8средняя

BDU:2022-00338 (CVE-2020-27749)

Уязвимость реализации функций загрузчика операционных систем Grub2, позволяющая нарушителю получить доступ к конфиденциальным данным, оказать влияние на целостность данных, а также вызвать отказ в обслуживании
Опубликовано: 2022-01-20
Описание

Уязвимость реализации функций загрузчика операционных систем Grub2 связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, оказать влияние на целостность данных, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (8)Debian GNU/Linux (10)Red Hat Enterprise Linux (7.6 Extended Update Support)Suse Linux Enterprise Server (12 SP3-ESPOS)Red Hat Enterprise Linux (7.2 Advanced Update Support)Suse Linux Enterprise Server (15-LTSS)Red Hat Enterprise Linux (7.3 Advanced Update Support)Red Hat Enterprise Linux (7.4 Telco Extended Update Support)Red Hat Enterprise Linux (7.4 Advanced Update Support)Ubuntu (20.04 LTS)Ubuntu (20.10)OpenSUSE Leap (15.2)
Способ устранения

Использование рекомендаций:
Для Grub:
https://security.gentoo.org/glsa/202104-05

Для ОС Debian:
https://security-tracker.debian.org/tracker/CVE-2020-27749

Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для UBLinux:
https://security.ublinux.ru/ASA-202105-7/generate

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZWZ36QK4IKU6MWDWNOOWKPH3WXZBHT2R/

Для Ubuntu:
https://ubuntu.com/security/CVE-2020-27749
https://ubuntu.com/security/notices/USN-4992-1

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-27749

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-27749.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения grub2 до версии 2.06-3~deb10u2.osnova9.strelets

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2300

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=1899966https://nvd.nist.gov/vuln/detail/CVE-2020-27749https://security-tracker.debian.org/tracker/CVE-2020-27749https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-grub-/?sphrase_id=63279https://goslinux.fssp.gov.ru/2726972/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена