BDU:2025-03837
Novell Inc., ООО «Ред Софт», Сообщество свободного программного обеспечения, АО «НТЦ ИТ РОСА», Erich SUSE Manager Retail Branch Server, SUSE OpenStack Cloud Crowbar, SUSE Linux Enterprise Real Time, SU
2025-02-11
Уязвимость компонента tar Handler загрузчика операционных систем Grub2 связана с записью за границами буфера памяти. Эксплуатация уязвимости может позволить нарушителю обойти механизм безопасной загрузки
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: - использование средств межсетевого экранирования для ограничения удалённого доступа к загрузчику GRUB; - использование пароля для доступа к загрузчику GRUB в целях предотвращения попыток эксплуатации уязвимости; - использование функционала мониторинга и журналирования для отслеживания попыток доступа к загрузчику GRUB.
Использование рекомендаций: Для продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2024-45780.html
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-45780
Для grub2: https://lists.gnu.org/archive/html/grub-devel/2025-02/msg00024.html https://www.openwall.com/lists/oss-security/2025/02/18/3
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-3000
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/