阿里云漏洞库

漏洞描述

grub2是GNU社区的一款Linux系统引导程序。

grub2 2.06之前版本存在缓冲区溢出漏洞，grub_usb_device_initialize函数，用于处理USB设备初始化。目前没有详细的漏洞细节提供。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://lists.debian.org/debian-security-announce/2021/msg00048.html

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1886936
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202104-05
https://security.netapp.com/advisory/ntap-20220325-0001/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	gnu	grub2	*		Up to (excluding) 2.06
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	grub2	*		Up to (excluding) 2.02-0.87.1.al7.alnx
	运行在以下环境
	系统	alibaba_cloud_linux_3	fwupd	*		Up to (excluding) 1.5.9-1.1.al8
	运行在以下环境
	系统	alma_linux_8	shim-x64	*		Up to (excluding) 15.4-2.el8_1.alma
	运行在以下环境
	系统	alpine_3.17	grub	*		Up to (excluding) 2.06-r0
	运行在以下环境
	系统	alpine_3.18	grub	*		Up to (excluding) 2.06-r0
	运行在以下环境
	系统	alpine_3.19	grub	*		Up to (excluding) 2.06-r0
	运行在以下环境
	系统	amazon_2	grub2	*		Up to (excluding) 2.06-2.amzn2.0.1
	运行在以下环境
	系统	anolis_os_8	shim	*		Up to (excluding) 1.1.4-9
	运行在以下环境
	系统	centos_7	grub2	*		Up to (excluding) 2.02-0.87.el7
	运行在以下环境
	系统	debian_10	grub2	*		Up to (excluding) 2.02+dfsg1-20+deb10u4
	运行在以下环境
	系统	debian_11	grub2	*		Up to (excluding) 2.04-16
	运行在以下环境
	系统	debian_12	grub2	*		Up to (excluding) 2.04-16
	运行在以下环境
	系统	fedora_32	shim-unsigned-x64	*		Up to (excluding) 15.4-2.fc32
	运行在以下环境
	系统	fedora_33	shim	*		Up to (excluding) 15.4-1
	运行在以下环境
	系统	fedora_34	efi-filesystem	*		Up to (excluding) 5-2.fc34
	运行在以下环境
	系统	opensuse_Leap_15.2	grub2	*		Up to (excluding) 2.04-lp152.7.22.7
	运行在以下环境
	系统	oracle_7	grub2	*		Up to (excluding) 2.02-0.87.0.7.el7
	运行在以下环境
	系统	oracle_8	grub2-pc	*		Up to (excluding) 2.02-90.0.2.el8
	运行在以下环境
	系统	redhat_7	grub2	*		Up to (excluding) 2.02-0.87.el7_9.2
	运行在以下环境
	系统	redhat_8	fwupd	*		Up to (excluding) 1.5.9-1.el8_4
	运行在以下环境
	系统	rocky_linux_8	fwupd	*		Up to (excluding) 1.5.9-1.el8_4
	运行在以下环境
	系统	suse_12_SP5	grub2	*		Up to (excluding) 2.02-12.47.1

攻击路径

本地
攻击复杂度

容易
权限要求

无需权限
影响范围

有限影响
EXP成熟度

N/A
补丁情况

官方补丁
数据保密性

N/A
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-787	跨界内存写

中危 gnu grub2 跨界内存写

漏洞描述

解决建议

参考链接

受影响软件情况