6средняя
BDU:2022-05895 (CVE-2020-15705)
Уязвимость реализации протокола безопасной загрузки Secure Boot загрузчика операционных систем Grub2, позволяющая нарушителю выполнить произвольный код и получить полный контроль над устройством
Опубликовано: 2022-09-23
Описание
Уязвимость реализации протокола безопасной загрузки Secure Boot загрузчика операционных систем Grub2 связана с некорректной проверкой криптографической подписи. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код и получить полный контроль над устройством
Затрагиваемое ПО и версии
Windows 8.1Windows Server 2012Windows Server 2012 R2Windows 10Windows 10 1607Red Hat Enterprise Linux (7)Windows Server 2016Windows RT 8.1Windows Server 2012 R2 (Server Core installation)Windows Server 2016 (Server Core installation)Ubuntu (18.04 LTS)Windows 10 1809Windows Server 2019Windows Server 2019 (Server Core installation)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Ubuntu (14.04 ESM)Debian GNU/Linux (10)Red Hat Enterprise Linux (7.6 Extended Update Support)Red Hat Enterprise Linux (7.2 Advanced Update Support)Red Hat Enterprise Linux (7.3 Advanced Update Support)Red Hat Enterprise Linux (7.3 Telco Extended Update Support)Red Hat Enterprise Linux (7.3 Update Services for SAP Solutions)Red Hat Enterprise Linux (7.4 Telco Extended Update Support)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)Red Hat Enterprise Linux (7.4 Advanced Update Support)Ubuntu (20.04 LTS)OpenSUSE Leap (15.2)Red Hat Enterprise Linux (8.1 Extended Update Support)Red Hat Enterprise Linux (7.7 Extended Update Support)
Способ устранения
Использование рекомендаций:
Для Grub2:
https://git.savannah.gnu.org/gitweb/?p=grub.git&view=view+git+repository
Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian:
https://www.debian.org/security/2020-GRUB-UEFI-SecureBoot/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-15705
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/VHOMHHK6YNMLF2MBP6E2P2NPYVKF47G6/
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/UGKES3MGRD44EG6DD3EOHLZZXMVRVSC3/
Для Ubuntu:
https://ubuntu.com/security/notices/USN-4432-1
Для Microsoft Corp.:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/ADV200011
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Оценка CVSS
| Балл | 6 — средняя опасность |
Источники и патчи