CVE-2020-25647 - лог назад

CVE-2020-25647 создано 18 окт 2022 10:37:22
Уровень
+ Средний
Удалённо
+ Локальный
Тип
+ Выполнение произвольного кода
Описание
+ grub_usb_device_initialize() вызывается для обработки инициализации USB-устройства. Он считывает необходимые дескрипторы с USB-устройства и использует эти данные для заполнения некоторых структур данных USB. grub_usb_device_initialize() выполняет очень небольшую проверку границ и просто предполагает, что USB-устройство обеспечивает разумные значения. Такое поведение может вызвать повреждение памяти. При правильном использовании это приведет к выполнению произвольного кода, что позволит злоумышленнику обойти механизм безопасной загрузки.
Рекомендации
+ https://lists.gnu.org/archive/html/grub-devel/2021-03/msg00007.html
+ https://git.savannah.gnu.org/gitweb/?p=grub.git;a=commit;h=128c16a682034263eb519c89bc0934eeb6fa8cfa
Примечания
© UBLinux. Все права защищены. Разработка и дизайн UB Group.