ГлавнаяБаза уязвимостей БДУ → BDU:2022-06819
6средняя

BDU:2022-06819 (CVE-2022-2601)

Уязвимость функции grub_font_construct_glyph() загрузчика операционных систем Grub2, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-11-17
Описание

Уязвимость функции grub_font_construct_glyph() загрузчика операционных систем Grub2 связана с выходом операции за границы буфера в памяти при обработке специально оформленных шрифтов в формате pf2. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)openSUSE TumbleweedDebian GNU/Linux (11)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Grub2 (от 2.00 до 2.06 включительно)ОСОН ОСнова Оnyx (до 2.7)РОСА Кобальт (7.9)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)ОС ОН «Стрелец» (до 16.01.2023)ОС ОН «Стрелец» (до 20.10.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование механизма SBAT (UEFI Secure Boot Advanced Targeting).

Использование рекомендаций производителя:
Для Grub2:
https://lists.gnu.org/archive/html/grub-devel/2022-11/msg00059.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-2601

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-2601.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-2601
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения grub2 до версии 2.06-3~deb10u3.osnova9

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для ОС ОН «Стрелец»:
Обновление программного обеспечения grub2 до версии 2.06-3~deb10u2.osnova9.strelets

Для ОС ОН «Стрелец»:
Обновление программного обеспечения grub2 до версии 2.06-3~deb10u3.osnova9.strelets

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2348

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2341

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2461

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2683

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2894

Оценка CVSS
Балл6 — средняя опасность
Источники и патчи
https://www.opennet.ru/opennews/art.shtml?num=58130https://lists.gnu.org/archive/html/grub-devel/2022-11/msg00059.htmlhttps://access.redhat.com/security/cve/CVE-2022-2601https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2022-2601https://www.suse.com/security/cve/CVE-2022-2601.htmlhttps://github.com/rhboot/shim/blob/main/SBAT.mdhttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена