Japan
サイト内の現在位置
GRUB2 におけるバッファオーバーフローの脆弱性
掲載番号:NV22-002
脆弱性情報識別番号:JVNVU#98487886
概要
管理者権限を持ったユーザにより grub.cfg を細工され、OS が起動される前に任意のコードを実行される可能性があります。結果として、マルウェアの実行、ブートプロセスの変更、OS カーネルの改ざんなどが行われる可能性があります。
対象製品
NEC Cyber Security Platform
対象となる製品のバージョン
全バージョン
対処方法
YumでGRUB2関連モジュールをアップデートしてください。
UNIVERGE Integration Platform
対象となる製品のバージョン
2.0.4
対処方法
最新バージョンにて対応済みです。
ActSecureポータル
対象となる製品のバージョン
全バージョン
対処方法
最新バージョンにて対応済みです。
NEC 健診結果予測シミュレーション
対象となる製品のバージョン
全バージョン(RHEL7でgrub2をインストールしている場合)
対処方法
最新バージョンにて対応済みです。
参考情報
GNU GRUB
https://www.gnu.org/software/grub/
git@sv / grub.git / summary
https://git.savannah.gnu.org/gitweb/?p=grub.git&view=view+git+repository
THERE’S A HOLE IN THE BOOT
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
GRUB2 bootloader is vulnerable to buffer overflow
https://www.kb.cert.org/vuls/id/174059
ADV200011 | GRUB でのセキュリティ機能のバイパスに対処するためのマイクロソフト ガイダンス
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200011
JVNVU#98487886
https://jvn.jp/vu/JVNVU98487886/index.html
CVE-2020-10713
https://nvd.nist.gov/vuln/detail/CVE-2020-10713
更新情報
- 2023/03/27
-
NEC 健診結果予測シミュレーション を登録しました。
- 2022/12/09
-
ActSecureポータル を登録しました。
- 2022/08/05
-
UNIVERGE Integration Platform を登録しました。
- 2022/01/25
-
NEC Cyber Security Platform を登録しました。