Описание
Уязвимость загрузчика операционных систем Grub2 связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, оказать влияние на целостность данных, а также вызвать отказ в обслуживании
Вендор
Red Hat Inc.
Canonical Ltd.
ООО «РусБИТех-Астра»
Novell Inc.
Сообщество свободного программного обеспечения
Erich Boleyn
Fedora Project
ООО «Ред Софт»
ФССП России
АО "НППКТ"
ООО «Юбитех»
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»
Наименование ПО
Red Hat Enterprise Linux
Ubuntu
Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Debian GNU/Linux
OpenSUSE Leap
Grub2
Fedora
РЕД ОС
ОС ТД АИС ФССП России
Suse Linux Enterprise Desktop
ОСОН ОСнова Оnyx
UBLinux
ROSA Virtualization
ОС ОН «Стрелец»
Версия ПО
7 (Red Hat Enterprise Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP2 LTSS (Suse Linux Enterprise Server)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
12 SP2-ESPOS (Suse Linux Enterprise Server)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
11 SP4-LTSS (Suse Linux Enterprise Server)
12 SP3-LTSS (Suse Linux Enterprise Server)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
7.6 Extended Update Support (Red Hat Enterprise Linux)
12 SP3-ESPOS (Suse Linux Enterprise Server)
7.2 Advanced Update Support (Red Hat Enterprise Linux)
15-LTSS (Suse Linux Enterprise Server)
7.3 Advanced Update Support (Red Hat Enterprise Linux)
7.4 Telco Extended Update Support (Red Hat Enterprise Linux)
7.4 Advanced Update Support (Red Hat Enterprise Linux)
20.04 LTS (Ubuntu)
20.10 (Ubuntu)
15.2 (OpenSUSE Leap)
8.1 Extended Update Support (Red Hat Enterprise Linux)
12 SP4-ESPOS (Suse Linux Enterprise Server)
7.7 Extended Update Support (Red Hat Enterprise Linux)
до 2.06 (Grub2)
8.2 Extended Update Support (Red Hat Enterprise Linux)
12 SP4-LTSS (Suse Linux Enterprise Server)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
34 (Fedora)
7.4 Update Services for SAP Solutions (Red Hat Enterprise Linux)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
15.4 (OpenSUSE Leap)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (Suse Linux Enterprise Server)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
15 SP4 (Suse Linux Enterprise Server)
15 SP2 (Suse Linux Enterprise Desktop)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
до 2.1 (ОСОН ОСнова Оnyx)
до 2204 (UBLinux)
2.1 (ROSA Virtualization)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Novell Inc. Suse Linux Enterprise Server 12 SP2 LTSS
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Red Hat Inc. Red Hat Enterprise Linux 7.6 Extended Update Support
Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
Red Hat Inc. Red Hat Enterprise Linux 7.2 Advanced Update Support
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Red Hat Inc. Red Hat Enterprise Linux 7.3 Advanced Update Support
Red Hat Inc. Red Hat Enterprise Linux 7.4 Telco Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 7.4 Advanced Update Support
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 20.10
Novell Inc. OpenSUSE Leap 15.2
Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Red Hat Inc. Red Hat Enterprise Linux 7.7 Extended Update Support
Erich Boleyn Grub2 до 2.06
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Fedora Project Fedora 34
Red Hat Inc. Red Hat Enterprise Linux 7.4 Update Services for SAP Solutions
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ФССП России ОС ТД АИС ФССП России ИК6
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. Suse Linux Enterprise Server 15 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP2
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.1
ООО «Юбитех» UBLinux до 2204
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Grub:
https://security.gentoo.org/glsa/202104-05
Для ОС Debian:
https://security-tracker.debian.org/tracker/CVE-2021-20225
Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для ОСОН ОСнова Оnyx:
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Для UBLinux:
https://security.ublinux.ru/ASA-202106-43/generate
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZWZ36QK4IKU6MWDWNOOWKPH3WXZBHT2R/
Для Ubuntu:
https://ubuntu.com/security/CVE-2021-20225
https://ubuntu.com/security/notices/USN-4992-1
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-20225
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-20225.html
Для ОС ОН «Стрелец»:
Обновление программного обеспечения grub2 до версии 2.06-3~deb10u2.osnova9.strelets
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2300
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 28%
0.00098
Низкий
6.7 Medium
CVSS3
7.2 High
CVSS2
Связанные уязвимости
CVSS3: 6.7
ubuntu
больше 4 лет назад
A flaw was found in grub2 in versions prior to 2.06. The option parser allows an attacker to write past the end of a heap-allocated buffer by calling certain commands with a large number of specific short forms of options. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.
CVSS3: 7.5
redhat
больше 4 лет назад
A flaw was found in grub2 in versions prior to 2.06. The option parser allows an attacker to write past the end of a heap-allocated buffer by calling certain commands with a large number of specific short forms of options. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.
CVSS3: 6.7
nvd
больше 4 лет назад
A flaw was found in grub2 in versions prior to 2.06. The option parser allows an attacker to write past the end of a heap-allocated buffer by calling certain commands with a large number of specific short forms of options. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.
CVSS3: 6.7
debian
больше 4 лет назад
A flaw was found in grub2 in versions prior to 2.06. The option parser ...
EPSS
Процентиль: 28%
0.00098
Низкий
6.7 Medium
CVSS3
7.2 High
CVSS2