AVIS CERTFR - 2020 - AVI - 477

AVIS CERT
CERT-FR

Publié le 30 juillet 2020 à 20h34 - Mis à jour le 30 juillet 2020 à 21h19

Objet : Multiples vulnérabilités dans Grub2

Référence : CERTFR-2020-AVI-477

Risque(s)

- Exécution de code arbitraire

Systèmes affectés

- Toute machine configurée avec Secure Boot pour sécuriser la séquence de démarrage de son système d'exploitation

Résumé

GRUB2 est le bootloader le plus couramment utilisé par les distributions Linux pour démarrer le système d'exploitation. De multiples vulnérabilités ont été découvertes dans GRUB2. Elles permettent à un attaquant, ayant la possibilité de modifier le fichier de configuration grub.cfg ou …

Solution

De multiples vulnérabilités ont été découvertes dans GRUB2. Elles permettent à un attaquant, ayant la possibilité de modifier le fichier de configuration grub.cfg ou de manipuler d'autres ressources utilisées par GRUB2, de provoquer une exécution de code arbitraire.

Documentation

Référence CVE CVE-2020-10713
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10713 

Référence CVE CVE-2020-14308
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14308 

Référence CVE CVE-2020-14309
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14309 

Référence CVE CVE-2020-14310
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14310 

Référence CVE CVE-2020-14311
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14311 

Référence CVE CVE-2020-15705
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15705 

Référence CVE CVE-2020-15706
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15706 

Référence CVE CVE-2020-15707
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15707 
Avis de sécurité Debian du 30 juillet 2020
https://www.debian.org/security/2020-GRUB-UEFI-SecureBoot/ 
Avis de sécurité Ubuntu du 30 juillet 2020
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass 
Avis de sécurité Red Hat du 29 juillet 2020
https://access.redhat.com/security/vulnerabilities/grub2bootloader 
Avis de sécurité SUSE du 29 juillet 2020
https://www.suse.com/support/kb/doc/?id=000019673 
Avis de sécurité HP du 27 juillet 2020
https://support.hp.com/us-en/document/c06707446 
Avis de sécurité HPE du 29 juillet 2020
https://techhub.hpe.com/eginfolib/securityalerts/Boot_Hole/boot_hole.html 
Avis de sécurité VMware du 29 juillet 2020
https://kb.vmware.com/s/article/80181 
Publication de la société Eclypsium du 29 juillet 2020
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/ 

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-477/

Qualité de la rédaction