ГлавнаяБаза уязвимостей БДУ → BDU:2022-06820
5.5средняя

BDU:2022-06820 (CVE-2022-3775)

Уязвимость загрузчика операционных систем Grub2, связанная с выходом операции за границы буфера, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-11-17
Описание

Уязвимость загрузчика операционных систем Grub2 связана с выходом операции за границы буфера в памяти при отрисовке некоторых последовательностей Unicode специально оформленным шрифтом. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)openSUSE TumbleweedDebian GNU/Linux (11)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Grub2 (от 2.00 до 2.06 включительно)ОСОН ОСнова Оnyx (до 2.7)РОСА Кобальт (7.9)РОСА ХРОМ (12.4)ОС ОН «Стрелец» (до 16.01.2023)ОС ОН «Стрелец» (до 20.10.2023)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование механизма SBAT (UEFI Secure Boot Advanced Targeting).

Использование рекомендаций производителя:
Для Grub2:
https://lists.gnu.org/archive/html/grub-devel/2022-11/msg00059.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-3775

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-3775.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-3775
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения grub2 до версии 2.06-3~deb10u3.osnova9

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для ОС ОН «Стрелец»:
Обновление программного обеспечения grub2 до версии 2.06-3~deb10u2.osnova9.strelets

Для ОС ОН «Стрелец»:
Обновление программного обеспечения grub2 до версии 2.06-3~deb10u3.osnova9.strelets

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2348

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2461

Оценка CVSS
Балл5.5 — средняя опасность
Источники и патчи
https://www.opennet.ru/opennews/art.shtml?num=58130https://lists.gnu.org/archive/html/grub-devel/2022-11/msg00059.htmlhttps://security-tracker.debian.org/tracker/CVE-2022-3775https://www.suse.com/security/cve/CVE-2022-3775.htmlhttps://access.redhat.com/security/cve/CVE-2022-3775https://github.com/rhboot/shim/blob/main/SBAT.mdhttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена