Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03835

Опубликовано: 10 мая 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции SmmEntryPoint среды с открытым исходным кодом для разработки UEFI EDK2 связана с записью за границами буфера. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Tianocore

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
edk2

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 202202 включительно (edk2)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для EDK2:
использование рекомендаций производителя: https://github.com/tianocore/edk2/commit/cab1f02565d3b29081dd21afb074f35fdb4e1fd6
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-38578
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47
Для Astra Linux 1.6 «Смоленск»:
обновить пакет edk2 до 0~20181115.85588389-3+deb10u3+ci202305161227+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 16%
0.00052
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-38578

CVSS3: 7.4
ubuntu
больше 3 лет назад

Existing CommBuffer checks in SmmEntryPoint will not catch underflow when computing BufferSize.

redhat логотип

CVE-2021-38578

CVSS3: 7.4
redhat
больше 3 лет назад

Existing CommBuffer checks in SmmEntryPoint will not catch underflow when computing BufferSize.

nvd логотип

CVE-2021-38578

CVSS3: 7.4
nvd
больше 3 лет назад

Existing CommBuffer checks in SmmEntryPoint will not catch underflow when computing BufferSize.

debian логотип

CVE-2021-38578

CVSS3: 7.4
debian
больше 3 лет назад

Existing CommBuffer checks in SmmEntryPoint will not catch underflow w ...

github логотип

GHSA-grqq-3jqg-g95p

CVSS3: 9.8
github
больше 3 лет назад

Existing CommBuffer checks in SmmEntryPoint will not catch underflow when computing BufferSize.

EPSS

Процентиль: 16%
0.00052
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2