公告ID(KYSA-202208-1079)
公告ID:KYSA-202208-1079
公告摘要:fwupdate安全漏洞
等級:Moderate
發(fā)布日期:2022/8/15
詳細介紹
1.修復的CVE
·CVE-2020-10713
描述:grub2是GNU計劃的一款Linux系統(tǒng)引導程序��。grub2 2.06之前版本中存在安全漏洞�。攻擊者可利用該漏洞執(zhí)行任意代碼���,影響數(shù)據(jù)機密性和完整性以及系統(tǒng)可用性。
·CVE-2020-14308
描述:grub2是GNU社區(qū)的一款Linux系統(tǒng)引導程序��。grub2 2.06之前版本中存在輸入驗證錯誤漏洞�,該漏洞源于grub_malloc未驗證分配內(nèi)存的大小。攻擊者可利用該漏洞影響系統(tǒng)完整性���,機密性和可用性����。
·CVE-2020-14309
描述:grub2是GNU社區(qū)的一款Linux系統(tǒng)引導程序����。grub2 2.06之前版本中存在輸入驗證錯誤漏洞。該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品未對輸入的數(shù)據(jù)進行正確的驗證��。
·CVE-2020-14310
描述:grub2是GNU社區(qū)的一款Linux系統(tǒng)引導程序���。grub2 2.06之前版本中的‘read_section_as_string()’函數(shù)存在輸入驗證錯誤漏洞����。該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品未對輸入的數(shù)據(jù)進行正確的驗證。
·CVE-2020-14311
描述:grub2是GNU社區(qū)的一款Linux系統(tǒng)引導程序�。grub2 2.06之前版本中存在輸入驗證錯誤漏洞。該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品未對輸入的數(shù)據(jù)進行正確的驗證�����。
·CVE-2020-15705
描述:grub2是GNU社區(qū)的一款Linux系統(tǒng)引導程序�。GRUB2 2.04及之前版本中存在數(shù)據(jù)偽造問題漏洞。該漏洞源于當沒有shim直接啟動時����,程序未驗證內(nèi)核簽名。攻擊者可利用該漏洞繞過安全啟動�。
·CVE-2020-15706
描述:grub2是GNU社區(qū)的一款Linux系統(tǒng)引導程序。grub2 2.04及之前版本中的‘grub_script_function_create()’函數(shù)存在資源管理錯誤漏洞�。攻擊者可利用該漏洞執(zhí)行任意代碼并繞過安全啟動限制。
·CVE-2020-15707
描述:grub2是GNU社區(qū)的一款Linux系統(tǒng)引導程序�����。GRUB2 2.04及之前版本中的efilinux組件的‘grub_cmd_initrd’和‘grub_initrd_init’函數(shù)存在輸入驗證錯誤漏洞��。攻擊者可利用該漏洞執(zhí)行任意代碼并繞過UEFI安全啟動限制�����。
2.受影響的軟件包
·中標麒麟高級服務器操作系統(tǒng) V7
aarch64架構:
fwupdate、fwupdate-devel����、fwupdate-efi、fwupdate-libs
x86_64架構:
fwupdate����、fwupdate-devel�����、fwupdate-efi���、fwupdate-libs
3.軟件包修復版本
·中標麒麟高級服務器操作系統(tǒng) V7
fwupdate-12-6.el7_8
fwupdate-devel-12-6.el7_8
fwupdate-efi-12-6.el7_8
fwupdate-libs-12-6.el7_8
4.修復方法
方法一:配置源進行升級安裝
121.打開軟件包源配置文件�����,根據(jù)倉庫地址進行修改��。
倉庫源地址:
中標麒麟高級服務器操作系統(tǒng) V7
aarch64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/
122.配置完成后執(zhí)行更新命令進行升級�,命令如下:
yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包��,使用軟件包升級命令根據(jù)受影響的軟件包
列表進行升級安裝,命令如下:
yum install Packagename
123.升級完成后是否需要重啟服務或操作系統(tǒng):
·CVE-2020-10713:需要重啟操作系統(tǒng)以使漏洞修復生效�。
·CVE-2020-14308:需要重啟 fwupdate 以使漏洞修復生效。
·CVE-2020-14309:需要重啟 fwupdate 以使漏洞修復生效。
·CVE-2020-14310:需要重啟 fwupdate 以使漏洞修復生效�����。
·CVE-2020-14311:需要重啟 fwupdate 以使漏洞修復生效����。
·CVE-2020-15705:需要重啟 fwupdate 以使漏洞修復生效。
·CVE-2020-15706:需要重啟 fwupdate 以使漏洞修復生效���。
·CVE-2020-15707:需要重啟 fwupdate 以使漏洞修復生效��。
5.軟件包下載地址
·中標麒麟高級服務器操作系統(tǒng) V7
fwupdate(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/fwupdate-12-6.el7_8.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/fwupdate-devel-12-6.el7_8.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/fwupdate-efi-12-6.el7_8.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/fwupdate-libs-12-6.el7_8.aarch64.rpm
fwupdate(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/fwupdate-12-6.el7_8.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/fwupdate-devel-12-6.el7_8.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/fwupdate-efi-12-6.el7_8.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/fwupdate-libs-12-6.el7_8.x86_64.rpm
注:其他相關依賴包請到相同目錄下載
6.修復驗證
使用軟件包查詢命令���,查看相關軟件包版本是否與修復版本一致,如果版本一致����,則說明修復成功。
sudo rpm -qa | grep Packagename
安全漏洞補丁公告
