grub2-set-bootflag实用程序导致grubenv损坏，使系统不可引导

CVE编号

CVE-2019-14865

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-11-29

漏洞描述

在grub2的grub2-set-bootflag实用程序中发现了一个缺陷。本地攻击者可以在资源压力下运行此实用程序(例如通过设置RLIMIT)，从而导致grub2配置文件被截断，并在后续重新引导时使系统无法启动。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://github.com/rhboot/grub2

参考链接
https://access.redhat.com/errata/RHSA-2020:0335
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14865
https://seclists.org/oss-sec/2019/q4/101

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	gnu	grub2	-	-
	运行在以下环境
	系统	centos_8	grub2-efi-arm-cdboot	*		Up to (excluding) 2.02-78.el8_1.1
	运行在以下环境
	系统	fedora_30	grub2-debuginfo	*		Up to (excluding) 2.02-85.fc30
	运行在以下环境
	系统	fedora_30	grub2-efi-arm	*		Up to (excluding) 2.02-85.fc30
	运行在以下环境
	系统	fedora_30	grub2-efi-arm-cdboot	*		Up to (excluding) 2.02-85.fc30
	运行在以下环境
	系统	fedora_30	grub2-efi-arm-modules	*		Up to (excluding) 2.02-85.fc30
	运行在以下环境
	系统	fedora_30	grub2-efi-x64	*		Up to (excluding) 2.02-85.fc30
	运行在以下环境
	系统	fedora_30	grub2-tools	*		Up to (excluding) 2.02-85.fc30
	运行在以下环境
	系统	fedora_30	grub2-tools-minimal-debuginfo	*		Up to (excluding) 2.02-85.fc30
	运行在以下环境
	系统	fedora_31	grub2-debuginfo	*		Up to (excluding) 2.02-102.fc31
	运行在以下环境
	系统	fedora_31	grub2-efi-arm	*		Up to (excluding) 2.02-102.fc31
	运行在以下环境
	系统	fedora_31	grub2-efi-arm-cdboot	*		Up to (excluding) 2.02-102.fc31
	运行在以下环境
	系统	fedora_31	grub2-efi-arm-modules	*		Up to (excluding) 2.02-102.fc31
	运行在以下环境
	系统	fedora_31	grub2-efi-x64	*		Up to (excluding) 2.02-102.fc31
	运行在以下环境
	系统	fedora_31	grub2-tools	*		Up to (excluding) 2.02-102.fc31
	运行在以下环境
	系统	fedora_31	grub2-tools-minimal-debuginfo	*		Up to (excluding) 2.02-102.fc31
	运行在以下环境
	系统	oracle_8	grub2-debuginfo	*		Up to (excluding) 2.02-78.0.2.el8
	运行在以下环境
	系统	oracle_8	grub2-efi-arm	*		Up to (excluding) 2.02-78.0.2.el8
	运行在以下环境
	系统	oracle_8	grub2-efi-arm-cdboot	*		Up to (excluding) 2.02-78.0.2.el8
	运行在以下环境
	系统	oracle_8	grub2-efi-arm-modules	*		Up to (excluding) 2.02-78.0.2.el8
	运行在以下环境
	系统	oracle_8	grub2-efi-x64	*		Up to (excluding) 2.02-78.0.2.el8
	运行在以下环境
	系统	oracle_8	grub2-tools	*		Up to (excluding) 2.02-78.0.2.el8
	运行在以下环境
	系统	oracle_8	grub2-tools-minimal-debuginfo	*		Up to (excluding) 2.02-78.0.2.el8
	运行在以下环境
	系统	redhat_8	grub2-efi-arm-cdboot	*		Up to (excluding) 2.02-78.el8_1.1

攻击路径本地
攻击复杂度复杂
权限要求普通权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 NVD-CWE-noinfo

正文

grub2-set-bootflag实用程序导致grubenv损坏，使系统不可引导

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

JasPer拒绝服务漏洞

Oracle MySQL Server up to 5.6.27/5.7.9 DML 拒绝服务漏洞

Oracle MySQL Server up to 5.5.31/5.6.11 Optimizer 拒绝服务漏洞

Oracle VM VirtualBox up to 4.3.36/5.0.14 拒绝服务漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]