BDU:2020-03625: Уязвимость конфигурационного файла grub.cfg загрузчика операционных систем Grub2, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость конфигурационного файла grub.cfg загрузчика операционных систем Grub2 связана с ошибками при нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор Microsoft Corp., Red Hat Inc., Canonical Ltd., Novell Inc.
Наименование ПО Windows, Red Hat Enterprise Linux, Ubuntu, SUSE Linux Enterprise Server for SAP Applications, SUSE OpenStack Cloud, SUSE Linux Enterprise Module for Basesystem, SUSE Enterprise Storage, SUSE Linux Enterprise Point of Sale, Suse Linux Enterprise Server, SUSE Linux Enterprise Module for Open Buildservice Development Tools, SUSE Linux Enterprise Module for Server Applications, HPE Helion Openstack, SUSE Linux Enterprise High Performance Computing
Версия ПО
  • 8.1 (Windows)
  • Server 2012 (Windows)
  • Server 2012 R2 (Windows)
  • 10 (Windows)
  • 10 1607 (Windows)
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • Server 2016 (Windows)
  • 8.1 RT (Windows)
  • Server 2012 R2 Server Core installation (Windows)
  • 10 1709 (Windows)
  • 18.04 LTS (Ubuntu)
  • 10 1803 (Windows)
  • 10 1809 (Windows)
  • Server 2019 Server Core installation (Windows)
  • 12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 7 (SUSE OpenStack Cloud)
  • 10 1903 (Windows)
  • Server 1903 (Windows)
  • 8 (Red Hat Enterprise Linux)
  • 15 SP1 (SUSE Linux Enterprise Module for Basesystem)
  • 5 (SUSE Enterprise Storage)
  • 12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)
  • 12 SP2-BCL (Suse Linux Enterprise Server)
  • 12 SP2-ESPOS (Suse Linux Enterprise Server)
  • 15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 15 (SUSE Linux Enterprise Server for SAP Applications)
  • 11 SP4-LTSS (Suse Linux Enterprise Server)
  • 12 SP2-LTSS (Suse Linux Enterprise Server)
  • 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3-LTSS (Suse Linux Enterprise Server)
  • 15 SP1 (SUSE Linux Enterprise Module for Server Applications)
  • 14.04 ESM (Ubuntu)
  • 8 (SUSE OpenStack Cloud)
  • 12 SP3-BCL (Suse Linux Enterprise Server)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
  • Crowbar 8 (SUSE OpenStack Cloud)
  • 8 (HPE Helion Openstack)
  • 12 SP3-ESPOS (Suse Linux Enterprise Server)
  • 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
  • 10 1909 (Windows)
  • Server 1909 Server Core Installation (Windows)
  • 9 (SUSE OpenStack Cloud)
  • 15-ESPOS (SUSE Linux Enterprise High Performance Computing)
  • 15-LTSS (SUSE Linux Enterprise High Performance Computing)
  • 15-LTSS (Suse Linux Enterprise Server)
  • Crowbar 9 (SUSE OpenStack Cloud)
  • 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 15 SP2 (SUSE Linux Enterprise Module for Basesystem)
  • 20.04 LTS (Ubuntu)
  • 15 SP2 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 15 SP2 (SUSE Linux Enterprise Module for Server Applications)
  • 10 2004 (Windows)
  • Server 2004 Server Core installation (Windows)
  • 8.1 Extended Update Support (Red Hat Enterprise Linux)
  • 12 SP4 LTSS (Suse Linux Enterprise Server)
  • 12 SP4-ESPOS (Suse Linux Enterprise Server)
  • 12 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Microsoft Corp. Windows 8.1 64-bit
  • Microsoft Corp. Windows 8.1 32-bit
  • Microsoft Corp. Windows Server 2012
  • Microsoft Corp. Windows Server 2012 R2
  • Microsoft Corp. Windows 10 64-bit
  • Microsoft Corp. Windows 10 32-bit
  • Microsoft Corp. Windows 10 1607 64-bit
  • Microsoft Corp. Windows 10 1607 32-bit
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Canonical Ltd. Ubuntu 16.04 LTS
  • Microsoft Corp. Windows Server 2016
  • Microsoft Corp. Windows 8.1 RT
  • Microsoft Corp. Windows Server 2012 R2 Server Core installation
  • Microsoft Corp. Windows 10 1709 64-bit
  • Microsoft Corp. Windows 10 1709 32-bit
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Microsoft Corp. Windows 10 1803 64-bit
  • Microsoft Corp. Windows 10 1803 32-bit
  • Microsoft Corp. Windows 10 1809 64-bit
  • Microsoft Corp. Windows 10 1809 32-bit
  • Microsoft Corp. Windows Server 2019 Server Core installation
  • Microsoft Corp. Windows 10 1809 ARM64
  • Microsoft Corp. Windows 10 1709 ARM64
  • Microsoft Corp. Windows 10 1803 ARM64
  • Microsoft Corp. Windows 10 1903 32-bit
  • Microsoft Corp. Windows 10 1903 64-bit
  • Microsoft Corp. Windows 10 1903 ARM64
  • Microsoft Corp. Windows Server 1903
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Canonical Ltd. Ubuntu 14.04 ESM
  • Microsoft Corp. Windows 10 1909 32-bit
  • Microsoft Corp. Windows 10 1909 64-bit
  • Microsoft Corp. Windows 10 1909 ARM64
  • Microsoft Corp. Windows Server 1909 Server Core Installation
  • Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions
  • Canonical Ltd. Ubuntu 20.04 LTS
  • Microsoft Corp. Windows 10 2004 32-bit
  • Microsoft Corp. Windows 10 2004 64-bit
  • Microsoft Corp. Windows 10 2004 ARM64
  • Microsoft Corp. Windows Server 2004 Server Core installation
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
Тип ошибки Непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы (Внедрение в команду операционной системы), Запись за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 29.07.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Microsoft Corp.:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-10713/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-10713

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-10713.html?_ga=2.63284271.1820037818.1596178505-1110852722.1596178505
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения