Описание
Множественные уязвимости GRUB
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Установить обновление для пакета(ов) загрузчика РЕД ОС grub2
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
20.09.2022
CVE-2020-10713
Идентификатор БДУ ФСТЭК России:
BDU:2020-03625Описание уязвимости:
Уязвимость конфигурационного файла grub.cfg загрузчика операционных систем Grub2 связана с ошибками при нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
4.6 Medium
CVSS2
CVE-2020-14308
Идентификатор БДУ ФСТЭК России:
BDU:2020-03955Описание уязвимости:
Уязвимость реализации функции распределения динамической памяти загрузчика операционных систем Grub2 связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю оказать влияние на целостность, конфиденциальность и доступность информации
4.9 Medium
CVSS3
4.4 Medium
CVSS2
CVE-2020-14309
Идентификатор БДУ ФСТЭК России:
BDU:2020-03968Описание уязвимости:
Уязвимость конфигурационного файла Grub связана с целочисленным переполнением значения UINT32. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
4.9 Medium
CVSS3
4.6 Medium
CVSS2
CVE-2020-14310
Идентификатор БДУ ФСТЭК России:
BDU:2020-03969Описание уязвимости:
Уязвимость функции read_section_as_string() конфигурационного файла Grub связана с выходом операции за допустимые границы буфера данных, т. к. максимальная длина UINT32_MAX — 1 в байтах. Эксплуатация уязвимости позволяет нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании
5.1 Medium
CVSS3
3.6 Low
CVSS2
CVE-2020-14311
Идентификатор БДУ ФСТЭК России:
BDU:2020-03970Описание уязвимости:
Уязвимость конфигурационного файла Grub связана с ошибкой при работе с симлинками на внешних файловых системах. Эксплуатация уязвимости позволяет нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании
5.1 Medium
CVSS3
3.6 Low
CVSS2
CVE-2020-15705
Идентификатор БДУ ФСТЭК России:
BDU:2022-05895Описание уязвимости:
Уязвимость ядра Linux при прямой загрузке в режиме Secure Boot без прослойки shim связана с тем, что уязвимое программное обеспечение не может проверить подпись ядра при загрузке напрямую без shim. Эксплуатация уязвимости может позволить нарушителю обойти безопасную загрузку
6.4 Medium
CVSS3
6.2 Medium
CVSS2
CVE-2020-15706
Идентификатор БДУ ФСТЭК России:
BDU:2020-03971Описание уязвимости:
Уязвимость функции grub_script_function_create() конфигурационного файла Grub связана с ошибкой переопределения функции, в то время как данная функция уже выполняется. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
5.9 Medium
CVSS3
4.4 Medium
CVSS2
CVE-2020-15707
Идентификатор БДУ ФСТЭК России:
BDU:2020-03972Описание уязвимости:
Уязвимость функций grub_cmd_initrd и grub_initrd_init конфигурационного файла Grub связана с большим количеством аргументов файловой системы в команду initrd на 32-битных архитектурах. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
4.9 Medium
CVSS3
4.4 Medium
CVSS2
CVE-2020-14372
Идентификатор БДУ ФСТЭК России:
BDU:2022-00326Описание уязвимости:
Уязвимость конфигурационного файла Grub связана с некорректным ограничением использования ACPI команд при включённой Secure Boot. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
7.5 High
CVSS3
6 Medium
CVSS2
CVE-2020-25632
Идентификатор БДУ ФСТЭК России:
BDU:2022-00313Описание уязвимости:
Уязвимость реализации rmmod конфигурационного файла Grub связана с отсутствием проверки на наличие загруженных модулей. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
8.2 High
CVSS3
7.2 High
CVSS2
CVE-2020-25647
Идентификатор БДУ ФСТЭК России:
BDU:2022-00337Описание уязвимости:
Уязвимость конфигурационного файла Grub с отсутствием проверки данных от USB-устройства. Эксплуатация уязвимости может быть доступна нарушителю, чтобы получить доступ к конфиденциальным данным, нарушению их уязвимости, также сохраняется отказ в хранении
7.6 High
CVSS3
7.2 High
CVSS2
CVE-2020-27749
Идентификатор БДУ ФСТЭК России:
BDU:2022-00338Описание уязвимости:
Уязвимость функций конфигурационного файла Grub с отсутствием проверки выводимых данных при вызове функции. Эксплуатация уязвимости может быть доступна нарушителю, чтобы получить доступ к конфиденциальным данным, нарушению их уязвимости, также сохраняется отказ в хранении
6.7 Medium
CVSS3
6.8 Medium
CVSS2
CVE-2020-27779
Идентификатор БДУ ФСТЭК России:
BDU:2022-00341Описание уязвимости:
Уязвимость команды cutmem конфигурационного файла Grub уничтожения с авторизацией. Эксплуатация уязвимости может быть доступна нарушителю, чтобы получить доступ к конфиденциальным данным, нарушению их уязвимости, также сохраняется отказ в хранении
7.5 High
CVSS3
6.6 Medium
CVSS2
CVE-2021-3418
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость загрузчика GRUB связана с тем, что если сертификаты, подписанные GRUB2, установлены в db, GRUB2 можно загрузить напрямую после чего возможна загрузка любого ядра без проверки подписи. Эксплуатация уязвимости может позволить нарушителю загрузить ядро в режиме безопасной загрузки, и выполнить блокировку, хотя оно могло быть изменено.
6.4 Medium
CVSS3
6.2 Medium
CVSS2
CVE-2021-20225
Идентификатор БДУ ФСТЭК России:
BDU:2022-00308Описание уязвимости:
Уязвимость конфигурационного файла Grub с выходом за пределы допустимых границ буфера данных. Эксплуатация уязвимости может быть доступна нарушителю, чтобы получить доступ к конфиденциальным данным, нарушению их уязвимости, также сохраняется отказ в хранении
6.7 Medium
CVSS3
7.2 High
CVSS2
CVE-2021-20233
Идентификатор БДУ ФСТЭК России:
BDU:2022-00304Описание уязвимости:
Уязвимость функций Setparam_prefix() конфигурационного файла Grub с неверным вычислением ошибок выводимых данных. Эксплуатация уязвимости может быть доступна нарушителю, чтобы получить доступ к конфиденциальным данным, нарушению их уязвимости, также сохраняется отказ в хранении
8.2 High
CVSS3
6.8 Medium
CVSS2