Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07627

Опубликовано: 03 дек. 2021
Источник: fstec
CVSS3: 3.3
CVSS2: 2.1
EPSS Низкий

Описание

Уязвимость конфигурационного файла Grub связана с настройками прав доступа по умолчанию. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
АО «НТЦ ИТ РОСА»
Erich Boleyn

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
ROSA Virtualization
Grub2

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
2.1 (ROSA Virtualization)
до 2.06 включительно (Grub2)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
Erich Boleyn Grub2 до 2.06 включительно

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,3)

Возможные меры по устранению уязвимости

Для Grub:
использование рекомендаций производителя: https://git.savannah.gnu.org/gitweb/?p=grub.git;a=commit;h=0adec29674561034771c13e446069b41ef41e4d4
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-3981
Для ОС Astra Linux:
обновить пакет grub2 до 2.06-3~deb10u4+ci202310061608+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux 1.6 «Смоленск»:
обновить пакет grub2 до 2.06-3~deb10u4+ci202310051206+astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2341
Для Astra Linux Special Edition 4.7:
обновить пакет grub2 до 2.06-3~deb10u4+ci202310061608+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 2%
0.00014
Низкий

3.3 Low

CVSS3

2.1 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-3981

CVSS3: 3.3
ubuntu
больше 3 лет назад

A flaw in grub2 was found where its configuration file, known as grub.cfg, is being created with the wrong permission set allowing non privileged users to read its content. This represents a low severity confidentiality issue, as those users can eventually read any encrypted passwords present in grub.cfg. This flaw affects grub2 2.06 and previous versions. This issue has been fixed in grub upstream but no version with the fix is currently released.

redhat логотип

CVE-2021-3981

CVSS3: 3.3
redhat
больше 3 лет назад

A flaw in grub2 was found where its configuration file, known as grub.cfg, is being created with the wrong permission set allowing non privileged users to read its content. This represents a low severity confidentiality issue, as those users can eventually read any encrypted passwords present in grub.cfg. This flaw affects grub2 2.06 and previous versions. This issue has been fixed in grub upstream but no version with the fix is currently released.

nvd логотип

CVE-2021-3981

CVSS3: 3.3
nvd
больше 3 лет назад

A flaw in grub2 was found where its configuration file, known as grub.cfg, is being created with the wrong permission set allowing non privileged users to read its content. This represents a low severity confidentiality issue, as those users can eventually read any encrypted passwords present in grub.cfg. This flaw affects grub2 2.06 and previous versions. This issue has been fixed in grub upstream but no version with the fix is currently released.

msrc логотип

CVE-2021-3981

CVSS3: 3.3
msrc
больше 3 лет назад

Описание отсутствует

debian логотип

CVE-2021-3981

CVSS3: 3.3
debian
больше 3 лет назад

A flaw in grub2 was found where its configuration file, known as grub. ...

EPSS

Процентиль: 2%
0.00014
Низкий

3.3 Low

CVSS3

2.1 Low

CVSS2