Bulletin d'alerte Debian
DSA-4735-1 grub2 -- Mise à jour de sécurité
- Date du rapport :
- 29 juillet 2020
- Paquets concernés :
- grub2
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15706, CVE-2020-15707.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans le chargeur d'amorçage GRUB2.
- CVE-2020-10713
Un défaut dans le code d'analyse de grub.cfg a été découvert qui permettait de casser l'amorçage sécurisé (
Secure Boot
) avec UEFI et de charger du code arbitraire. Vous trouverez plus de détails à l'adresse https://www.eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/ - CVE-2020-14308
grub_malloc ne valide pas la taille de l'allocation permettant un dépassement de pointeur arithmétique et par la suite un dépassement de tas.
- CVE-2020-14309
Un dépassement d'entier dans grub_squash_read_symlink pourrait conduire à un dépassement de tas.
- CVE-2020-14310
Un dépassement d'entier dans read_section_from_string pourrait conduire à un dépassement de tas.
- CVE-2020-14311
Un dépassement d'entier dans grub_ext2_read_link pourrait conduire à un dépassement de tas.
- CVE-2020-15706
script : une utilisation de mémoire après libération évitée lors de la redéfinition d'une fonction durant l'exécution.
- CVE-2020-15707
Un défaut de dépassement d'entier a été découvert dans le traitement de la taille d'initrd.
Vous trouverez davantage d'informations détaillées à l'adresse https://www.debian.org/security/2020-GRUB-UEFI-SecureBoot.
Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 2.02+dfsg1-20+deb10u1.
Nous vous recommandons de mettre à jour vos paquets grub2.
Pour disposer d'un état détaillé sur la sécurité de grub2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/grub2.
- CVE-2020-10713