ГлавнаяБаза уязвимостей БДУ → BDU:2024-01199
6.8высокая

BDU:2024-01199 (CVE-2022-28736)

Уязвимость функции grub_cmd_chainloader() загрузчика операционных систем Grub2, позволяющая нарушителю получить доступ к конфиденциальным данным и выполнить произвольный код
Опубликовано: 2024-02-13
Описание

Уязвимость функции grub_cmd_chainloader() загрузчика операционных систем Grub2 связана с повторным запуском команды Chainloader и срабатыванием уязвимость use-after-free. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным и выполнить произвольный код.

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Red Hat Enterprise Linux (8.2 Extended Update Support)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)ОСОН ОСнова Оnyx (до 2.6)Grub2 (от 2.00 до 2.06-3)
Способ устранения

Для grub2:
https://git.savannah.gnu.org/gitweb/?p=grub.git

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-28736

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения grub2 до версии 2.06-3~deb10u1.osnova7

Для ОС Astra Linux Special Edition 1.7:
обновить пакет grub2 до 2.06-3~deb10u1+ci202210061917+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет grub2 до 2.06-3~deb10u3+ci202212201113+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://git.savannah.gnu.org/gitweb/?p=grub.githttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://access.redhat.com/security/cve/CVE-2022-28736https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена