| Описание уязвимости | Уязвимость конфигурационного файла grub.cfg загрузчика операционных систем Grub2 связана с ошибками при нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| Вендор | Microsoft Corp., Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc., Erich Boleyn, ООО «Ред Софт», ФССП России, ООО «Юбитех», АО «Концерн ВНИИНС» |
| Наименование ПО | Windows, Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, SUSE OpenStack Cloud, SUSE Linux Enterprise Module for Basesystem, SUSE Enterprise Storage, SUSE Linux Enterprise Point of Sale, Suse Linux Enterprise Server, SUSE Linux Enterprise Module for Open Buildservice Development Tools, SUSE Linux Enterprise Module for Server Applications, HPE Helion Openstack, SUSE Linux Enterprise High Performance Computing, Grub2, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, UBLinux (запись в едином реестре российских программ №6874), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177) |
| Версия ПО | Server 2012 (Windows), Server 2012 R2 (Windows), 8.1 (Windows), 8.1 RT (Windows), 10 (Windows), 7 (Red Hat Enterprise Linux), 16.04 LTS (Ubuntu), 10 1607 (Windows), Server 2016 (Windows), Server 2012 R2 Server Core installation (Windows), 9 (Debian GNU/Linux), 10 1709 (Windows), 18.04 LTS (Ubuntu), 10 1803 (Windows), 10 1809 (Windows), Server 2019 Server Core installation (Windows), 1.6 «Смоленск» (Astra Linux Special Edition), 12 SP2 (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Server for SAP Applications), 12 SP4 (SUSE Linux Enterprise Server for SAP Applications), 7 (SUSE OpenStack Cloud), 8.0 (Debian GNU/Linux), 10 1903 (Windows), Server 1903 (Windows), 8 (Red Hat Enterprise Linux), 15 SP1 (SUSE Linux Enterprise Module for Basesystem), 5 (SUSE Enterprise Storage), 12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale), 12 SP2-BCL (Suse Linux Enterprise Server), 12 SP2-ESPOS (Suse Linux Enterprise Server), 15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 15 (SUSE Linux Enterprise Server for SAP Applications), 11 SP4-LTSS (Suse Linux Enterprise Server), 12 SP2-LTSS (Suse Linux Enterprise Server), 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP3-LTSS (Suse Linux Enterprise Server), 15 SP1 (SUSE Linux Enterprise Module for Server Applications), 14.04 ESM (Ubuntu), 8 (SUSE OpenStack Cloud), 12 SP3-BCL (Suse Linux Enterprise Server), 12 SP5 (Suse Linux Enterprise Server), 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP5 (SUSE Linux Enterprise Server for SAP Applications), Crowbar 8 (SUSE OpenStack Cloud), 10 (Debian GNU/Linux), 8 (HPE Helion Openstack), 12 SP3-ESPOS (Suse Linux Enterprise Server), 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 10 1909 (Windows), Server 1909 Server Core Installation (Windows), 9 (SUSE OpenStack Cloud), 15-ESPOS (SUSE Linux Enterprise High Performance Computing), 15-LTSS (SUSE Linux Enterprise High Performance Computing), 15-LTSS (Suse Linux Enterprise Server), Crowbar 9 (SUSE OpenStack Cloud), 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux), 15 SP2 (SUSE Linux Enterprise Module for Basesystem), 20.04 LTS (Ubuntu), 15 SP2 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 15 SP2 (SUSE Linux Enterprise Module for Server Applications), 10 2004 (Windows), Server 2004 Server Core Installation (Windows), 8.1 Extended Update Support (Red Hat Enterprise Linux), 12 SP4 LTSS (Suse Linux Enterprise Server), 12 SP4-ESPOS (Suse Linux Enterprise Server), 12 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP4-ESPOS (SUSE Linux Enterprise Server for SAP Applications), до 2.06 (Grub2), 7.3 (РЕД ОС), ИК6 (ОС ТД АИС ФССП России), до 2204 (UBLinux), до 16.01.2023 (ОС ОН «Стрелец») |
| Тип ПО | Операционная система, Прикладное ПО информационных систем |
| Операционные системы и аппаратные платформы |
|
| Тип ошибки | Непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы (Внедрение в команду операционной системы), Копирование буфера без проверки размера входных данных (классическое переполнение буфера), Запись за границами буфера |
| Идентификатор типа ошибки | CWE-78, CWE-120, CWE-787 |
| Класс уязвимости | Уязвимость кода |
| Дата выявления | 30.07.2020 |
| Базовый вектор уязвимости |
|
| Уровень опасности уязвимости | Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3) |
| Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для программных продуктов Microsoft Corp.: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2020-10713/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-10713 Для Ubuntu: https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-10713.html?_ga=2.63284271.1820037818.1596178505-1110852722.1596178505 Для Astra Linux: Обновление программного обеспечения (пакета grub2) до 2.02+dfsg1-20+deb10u1 или более поздней версии Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 Для Debian: Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-10713 Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для UBLinux: https://security.ublinux.ru/CVE-2020-10713 Для ОС ОН «Стрелец»: Обновление программного обеспечения grub2 до версии 2.06-3~deb10u2.osnova9.strelets |
| Статус уязвимости | Подтверждена производителем |
| Наличие эксплойта | Существует в открытом доступе |
| Способ эксплуатации |
|
| Способ устранения | Обновление программного обеспечения |
| Информация об устранении | Уязвимость устранена |
| Ссылки на источники |
https://access.redhat.com/security/cve/cve-2020-10713
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
https://nvd.nist.gov/vuln/detail/CVE-2020-10713
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-10713.html?_ga=2.63284271.1820037818.1596178505-1110852722.1596178505
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
https://security-tracker.debian.org/tracker/CVE-2020-10713
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200807SE16MD
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://www.kb.cert.org/vuls/id/174059
https://www.suse.com/security/cve/CVE-2020-10713/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-grub-/?sphrase_id=63279
https://goslinux.fssp.gov.ru/2726972/
https://security.ublinux.ru/CVE-2020-10713
https://www.openwall.com/lists/oss-security/2020/07/29/3
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
|
| Идентификаторы других систем описаний уязвимостей |
|
| Прочая информация | Данные уточняются |