6.2высокая
BDU:2024-02896 (CVE-2023-40548)
Уязвимость UEFI-загрузчика shim, связанная с целочисленным переполнением или обход, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-04-15
Описание
Уязвимость UEFI-загрузчика shim связана с переполнением буфера для 32-битных систем из-за операции сложения, включающей контролируемое пользователем значение, анализируемое из двоичного файла PE, используемого Shim. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Альт 8 СПRed Hat Enterprise Linux (9)Red Hat Enterprise Linux (8.2 Telecommunications Update Service)Red Hat Enterprise Linux (8.2 Update Services for SAP Solutions)Red Hat Enterprise Linux (9.0 Extended Update Support)Red Hat Enterprise Linux (8.2 Advanced Update Support)Red Hat Enterprise Linux (8.4 Telecommunications Update Service)Red Hat Enterprise Linux (8.4 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.4 Advanced Mission Critical Update Support)АЛЬТ СП 10Red Hat Enterprise Linux (8.8 Extended Update Support)Red Hat Enterprise Linux (9.2 Extended Update Support)shim (до 15.8)
Способ устранения
Для shim:
https://github.com/rhboot/shim/commit/96dccc255b16e9465dbee50b3cef6b3db74d11c8
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-40548
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-40548
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Оценка CVSS
| Балл | 6.2 — высокая опасность |
Источники и патчи