Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-09480

Опубликовано: 05 апр. 2024
Источник: fstec
CVSS3: 6.7
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость модуля peimage загрузчика операционных систем Grub2 связана с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

ООО «РусБИТех-Астра»
Erich Boleyn
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
Grub2
ОСОН ОСнова Оnyx

Версия ПО

1.8 (Astra Linux Special Edition)
до 2.12 rc1-10ubuntu4.2 (Grub2)
до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Grub2:
https://bugs.launchpad.net/ubuntu/+source/grub2-unsigned/+bug/2054127
Обновление программного обеспечения shim до версии 15.8-1~deb10u1
Для ОС Astra Linux:
обновить пакет grub2 до 2.12-1+1astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 5%
0.00021
Низкий

6.7 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-2312

CVSS3: 6.7
ubuntu
почти 2 года назад

GRUB2 does not call the module fini functions on exit, leading to Debian/Ubuntu's peimage GRUB2 module leaving UEFI system table hooks after exit. This lead to a use-after-free condition, and could possibly lead to secure boot bypass.

redhat логотип

CVE-2024-2312

CVSS3: 6.7
redhat
почти 2 года назад

GRUB2 does not call the module fini functions on exit, leading to Debian/Ubuntu's peimage GRUB2 module leaving UEFI system table hooks after exit. This lead to a use-after-free condition, and could possibly lead to secure boot bypass.

nvd логотип

CVE-2024-2312

CVSS3: 6.7
nvd
почти 2 года назад

GRUB2 does not call the module fini functions on exit, leading to Debian/Ubuntu's peimage GRUB2 module leaving UEFI system table hooks after exit. This lead to a use-after-free condition, and could possibly lead to secure boot bypass.

msrc логотип

CVE-2024-2312

msrc
5 месяцев назад

GRUB2 does not call the module fini functions on exit, leading to Debian/Ubuntu's peimage GRUB2 module leaving UEFI system table hooks after exit. This lead to a use-after-free condition, and could possibly lead to secure boot bypass.

debian логотип

CVE-2024-2312

CVSS3: 6.7
debian
почти 2 года назад

GRUB2 does not call the module fini functions on exit, leading to Debi ...

EPSS

Процентиль: 5%
0.00021
Низкий

6.7 Medium

CVSS3

6.8 Medium

CVSS2