BDU:2022-00326: Уязвимость конфигурационного файла Grub, связанная с использованием неполного чёрного списка, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость конфигурационного файла Grub связана с некорректным ограничением использования ACPI команд при включённой Secure Boot. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, Erich Boleyn, ООО «РусБИТех-Астра»
Наименование ПО Debian GNU/Linux, Grub2, Astra Linux Special Edition (запись в едином реестре российских программ №369)
Версия ПО 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 10.0 (Debian GNU/Linux), до 2.06 (Grub2), 1.7 (Astra Linux Special Edition), 4.7 (Astra Linux Special Edition)
Тип ПО Операционная система
Операционные системы и аппаратные платформы
Тип ошибки Неполный черный список
Идентификатор типа ошибки CWE-184
Класс уязвимости Уязвимость кода
Дата выявления 27.08.2020
Базовый вектор уязвимости
  • CVSS 2.0: AV:L/AC:H/Au:S/C:C/I:C/A:C
  • CVSS 3.0: AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)
Возможные меры по устранению уязвимости
Для Grub:
использование рекомендаций производителя: https://security.gentoo.org/glsa/202104-05

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-14372

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются