Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 8 (30.06.21):
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates bereit, mit denen
die Schwachstellen in ‘fwupd’ adressiert werden.
Version 7 (18.06.21):
Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS
Sicherheitsupdates bereit, mit denen die Schwachstellen in GRUB 2
adressiert werden. Die Schwachstelle CVE-2020-25647 wird hier nicht
berücksichtigt, da Ubuntu das USB-Modul in ‘grub2-signed’ nicht paketiert.
Für ‘grub2-unsigned’ steht das Sicherheitsupdate zur Behebung dieser
Schwachstelle noch aus.
Version 6 (19.05.21):
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates bereit, mit denen
die Schwachstellen in ‘shim’ adressiert werden. Die Updates werden im
Kontext der Veröffentlichung von Red Hat Enterprise Linux 8.4
bereitgestellt.
Version 5 (08.04.21):
Für Fedora 32 und 33 stehen Sicherheitsupdates für die hauseigene Version
von Shim zur Behebung der Schwachstellen im Status ‘testing’ zu Verfügung.
Shim wird damit auf Version 15.4 aktualisiert. Darüber hinaus werden die
Schwachstellen mit einem Sicherheitsupdate für ‘grub2’ in Fedora 33
adressiert, das sich ebenfalls im Status ‘testing’ befindet.
Version 4 (22.03.21):
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für ‘grub2’ bereit, um
die sieben Schwachstellen und zwei weitere, nicht sicherheitsrelevante
Fehler zu beheben.
Version 3 (08.03.21):
Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für ‘grub2’
bereit, um die Schwachstellen zu beheben.
Version 2 (05.03.21):
Für Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates für ‘grub2’
bereit, um die Schwachstellen zu beheben.
Version 1 (03.03.21):
Neues Advisory
Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um
Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen.
Zudem kann ein Angreifer mit physischem Zugriff auf ein betroffenes System
eine Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen. Für
die Ausnutzung der meisten Schwachstellen sind erweiterte Privilegien
erforderlich. Die erfolgreiche Ausnutzung aller Schwachstellen kann Einfluss
auf andere Komponenten haben.
Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für ‘grub2’ in
Version 2.02+dfsg1-20+deb10u4 bereit, um die Schwachstellen zu beheben.
Für Oracle Linux 7 (aarch64, x86_64) und 8 (aarch64, x86_64) stehen
Sicherheitsupdates für ‘grub2’ zur Behebung der Schwachstellen zur
Verfügung.
Red Hat veröffentlicht für Red Hat Enterprise Linux 7 (Workstation, Server,
Desktop, for Scientific Computing), Server AUS 7.2 und 7.3, Server AUS / TUS
7.4 sowie 7.6 Extended Update Support, 7.7 Extended Update Support, 8, 8.1
Extended Update Support und 8.2 Extended Update Support Sicherheitsupdates
für ‘grub2’ zur Behebung der Schwachstellen.
Für die SUSE Linux Enterprise Produkte Server 12 SP2 BCL / LTSS, 12 SP3 BCL
/ LTSS, 12 SP4 LTSS, 12 SP5, 15 LTSS und 15 SP1 BCL / LTSS, Server for SAP
12 SP2, 12 SP3, 12 SP4, 15 und 15 SP1, High Performance Computing 15 und 15
SP1 jeweils ESPOS / LTSS, Module for Basesystem 15 SP2 und Module for Server
Applications 15 SP2 sowie für SUSE Enterprise Storage 6, die SUSE Manager
Produkte Proxy 4.0, Retail Branch Server 4.0 und Server 4.0, SUSE OpenStack
Cloud 7, 8, 9 und SUSE OpenStack Cloud Crowbar 8 und 9 stehen
Sicherheitsupdates für ‘grub2’ zur Behebung der Schwachstellen zur
Verfügung.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-0450]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
