FERRAMENTAS LINUX: Atualização moderada de segurança da Red Hat para o grub2 e atualização de correção de bug, aviso RedHat: RHSA-2020-3273: 01

segunda-feira, 3 de agosto de 2020

Atualização moderada de segurança da Red Hat para o grub2 e atualização de correção de bug, aviso RedHat: RHSA-2020-3273: 01



Confira !




Uma atualização para grub2, shim e shim-assinado está agora disponível para o Suporte de Atualização Avançada do Red Hat Enterprise Linux 7.2. A Red Hat Product Security classificou esta atualização como tendo um impacto de segurança Moderado. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS), que
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256

==================================================== ===================
                   Aviso de Segurança da Red Hat

Sinopse: Moderada: segurança do grub2 e atualização de correção de bug
ID do comunicado: RHSA-2020: 3273-01
Produto: Red Hat Enterprise Linux
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:3273
Data de emissão: 2020-08-03
Nomes do CVE: CVE-2020-10713 CVE-2020-14308 CVE-2020-14309
                   CVE-2020-14310 CVE-2020-14311 CVE-2020-15705
                   CVE-2020-15706
==================================================== ===================

1. Resumo:

Uma atualização para grub2, shim e shim-assinado está agora disponível para o Red Hat
Suporte para atualização avançada do Enterprise Linux 7.2.

A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
Moderado. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS), que
fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
os links CVE na seção Referências.

2. Versões / arquiteturas relevantes:

Servidor Red Hat Enterprise Linux AUS (v. 7.2) - noarch, x86_64
Servidor Red Hat Enterprise Linux AUS Opcional (v. 7.2) - noarch, x86_64

3. Descrição:

Os pacotes grub2 fornecem a versão 2 do Grand Unified Boot Loader
(GRUB), um carregador de inicialização altamente configurável e personalizável
arquitetura. Os pacotes suportam uma variedade de formatos de kernel, arquivos
sistemas, arquiteturas de computadores e dispositivos de hardware.

O pacote shim contém um carregador de inicialização UEFI de primeiro estágio que lida com
encadeamento para um carregador de inicialização completo confiável em ambientes de inicialização seguros.

Correção (s) de segurança:

* grub2: o arquivo grub.cfg criado pode levar à execução arbitrária de código durante
processo de inicialização (CVE-2020-10713)

* grub2: grub_malloc não valida o tamanho da alocação, permitindo
estouro aritmético e estouro de buffer subsequente baseado em heap
(CVE-2020-14308)

* grub2: Estouro de número inteiro em grub_squash_read_symlink pode levar a
estouro de buffer baseado em heap (CVE-2020-14309)

* grub2: estouro de número inteiro read_section_as_string pode levar a heap-based
estouro de buffer (CVE-2020-14310)

* grub2: Estouro de número inteiro no grub_ext2_read_link leva ao buffer baseado em heap
estouro (CVE-2020-14311)

* grub2: falha na validação do kernel sem protocolo shim (CVE-2020-15705)

* grub2: Use após livre redefinindo uma função enquanto a mesma função é
já em execução (CVE-2020-15706)

Para obter mais detalhes sobre os problemas de segurança, incluindo o impacto, um CVSS
pontuação, agradecimentos e outras informações relacionadas, consulte o CVE
páginas listadas na seção Referências.

Correção (s) de bug:

* grub2 deve ser ressincronizado com ramificação 7.8 (BZ # 1861861)

4. Solução:

Para detalhes sobre como aplicar esta atualização, que inclui as alterações
descrito neste comunicado, consulte:

https://access.redhat.com/articles/11258

5. Bugs corrigidos (https://bugzilla.redhat.com/):

1825243 - CVE-2020-10713 grub2: o arquivo grub.cfg criado pode levar à execução arbitrária de código durante o processo de inicialização
1852009 - CVE-2020-14308 grub2: grub_malloc não valida o tamanho da alocação, permitindo o estouro aritmético e o estouro de buffer subsequente baseado em heap
1852014 - CVE-2020-14311 grub2: estouro de número inteiro em grub_ext2_read_link leva ao estouro de buffer baseado em heap
1852022 - CVE-2020-14309 grub2: estouro de número inteiro em grub_squash_read_symlink pode levar ao estouro de buffer baseado em heap
1852030 - CVE-2020-14310 grub2: estouro de número inteiro read_section_as_string pode levar ao estouro de buffer baseado em heap
1860978 - CVE-2020-15705 grub2: falha na validação do kernel sem protocolo shim
1861118 - CVE-2020-15706 grub2: redefinição de uso após livre, enquanto uma mesma função já está sendo executada
1861861 - grub2 deve ser ressincronizado com ramificação 7.8

6. Lista de Pacotes:

Servidor Red Hat Enterprise Linux AUS (v. 7.2):

Fonte:
grub2-2.02-0.86.el7_2.src.rpm
shim-15-8.el7.src.rpm
shim-assinado-15-8.el7_2.src.rpm

noarch:
grub2-common-2.02-0.86.el7_2.noarch.rpm
grub2-efi-ia32-modules-2.02-0.86.el7_2.noarch.rpm
grub2-efi-x64-modules-2.02-0.86.el7_2.noarch.rpm
grub2-pc-modules-2.02-0.86.el7_2.noarch.rpm
grub2-ppc64-modules-2.02-0.86.el7_2.noarch.rpm
grub2-ppc64le-modules-2.02-0.86.el7_2.noarch.rpm
shim-unsigned-aa64-debuginfo-15-8.el7.noarch.rpm
shim-unsigned-x64-debuginfo-15-8.el7.noarch.rpm

x86_64:
grub2-2.02-0.86.el7_2.x86_64.rpm
grub2-debuginfo-2.02-0.86.el7_2.x86_64.rpm
grub2-efi-ia32-2.02-0.86.el7_2.x86_64.rpm
grub2-efi-x64-2.02-0.86.el7_2.x86_64.rpm
grub2-pc-2.02-0.86.el7_2.x86_64.rpm
grub2-tools-2.02-0.86.el7_2.x86_64.rpm
grub2-tools-extra-2.02-0.86.el7_2.x86_64.rpm
grub2-tools-minimal-2.02-0.86.el7_2.x86_64.rpm
mokutil-15-8.el7_2.x86_64.rpm
mokutil-debuginfo-15-8.el7_2.x86_64.rpm
shim-15-8.el7_2.x86_64.rpm

Servidor AUS Red Hat Enterprise Linux Opcional (v. 7.2):

Fonte:
grub2-2.02-0.86.el7_2.src.rpm
shim-15-8.el7.src.rpm

noarch:
grub2-efi-aa64-modules-2.02-0.86.el7_2.noarch.rpm
grub2-efi-ia32-modules-2.02-0.86.el7_2.noarch.rpm
grub2-efi-x64-modules-2.02-0.86.el7_2.noarch.rpm
grub2-pc-modules-2.02-0.86.el7_2.noarch.rpm
grub2-ppc-modules-2.02-0.86.el7_2.noarch.rpm
grub2-ppc64-modules-2.02-0.86.el7_2.noarch.rpm
grub2-ppc64le-modules-2.02-0.86.el7_2.noarch.rpm

x86_64:
grub2-debuginfo-2.02-0.86.el7_2.x86_64.rpm
grub2-efi-ia32-cdboot-2.02-0.86.el7_2.x86_64.rpm
grub2-efi-x64-cdboot-2.02-0.86.el7_2.x86_64.rpm
shim-unsigned-ia32-15-8.el7.x86_64.rpm
shim-unsigned-x64-15-8.el7.x86_64.rpm

Esses pacotes são GPG assinados pela Red Hat por segurança. Nossa chave e
detalhes sobre como verificar a assinatura estão disponíveis em
https://access.redhat.com/security/team/key/

7. Referências:

https://access.redhat.com/security/cve/CVE-2020-10713
https://access.redhat.com/security/cve/CVE-2020-14308
https://access.redhat.com/security/cve/CVE-2020-14309
https://access.redhat.com/security/cve/CVE-2020-14310
https://access.redhat.com/security/cve/CVE-2020-14311
https://access.redhat.com/security/cve/CVE-2020-15705
https://access.redhat.com/security/cve/CVE-2020-15706
https://access.redhat.com/security/updates/classification/#moderate
https://access.redhat.com/security/vulnerabilities/grub2bootloader

8. Contato:

O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/

Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1

iQIVAwUBXyftytzjgjWX9erEAQhJ3BAAjary2rWbJ8Ql2gYBdjcSYPErQtUTdYnw
abEzjMANIl9i5L / pe0I0hJIcyTtKDkSyOJDE6kZfr7YUBuAI9GsU4FIc6cbbn7HE
gqRb5A6bOtiUXwgZ5EvGYVJa4kt6C7 + DjjzmII8VHkcnzPpCeCfpDdlYTTfL8kiY
Cx1zdU6k54hyhbRvzZLjk74jsQh / cPa8yaPAK7jm2afOphdGVWH7fCrM0wmFm8OF
q431G + 2uscp2Pvh4H5wiKoj4SP4k7KDCnOQyIK2Uw4JsZqCp6evS0EuevaaT1GOW
0NSJxiPsst + y + iwAv8ADXP00exdMjWHavY2eDepHNMGodFJ5FDQEf0PjBuSta0dX
RAglsED3r4y + rwe2A8u97bKtZglGJxvf1Wt4u1bqSLX8RuydVMOo1YCuueqkuV9b
jFCPeY4jJ8hOXQ3bMQOAaQCAeAO8AJluNQFzmfKkl + LTCEBZs9Lqxwu3IzQLKVTY
/ qCe88eSnxcMqCRu / 3OnyghbA6JMKFiYrI51pu8FOXrYSPD1D5KWYFJQNdL1bWms
dqv06H1Y9Ho8Bh4uaHfdc7YKUU7gyCgoq7F4tMOHesoNLkAgsnt82rLlYSsImRca
udluevoSvRa4gySTSljYE48M6QbdVKx3w8fLLlIGmaPpsMtwBUCMRmQJDNVO1yr +
sDz5oTR0Hsk =
= 2uGL
----- TERMINAR ASSINATURA PGP -----

-
RHSA-anunciar lista de discussão
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce

Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário