INFSA-2024:3017: Устранение уязвимостей edk2
Информация о бюллетене
Идентификатор: INFSA-2024:3017
Тип: устранение уязвимостей
Дата публикации: 2024-08-23 19:46:25 UTC
Информация о пакете
EDK (Embedded Development Kit) — проект по включению поддержки UEFI для виртуальных машин. Этот пакет содержит образец 64-битной прошивки UEFI для QEMU и KVM.
Описание уязвимостей
- CVE-2022-36763
Уязвимость функции tcg2measuregpttable() библиотеки Tianocore EDK2 вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.
- CVE-2022-36764
Уязвимость функции tcg2measurepeimage() библиотеки Tianocore EDK2 вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.
- CVE-2022-36765
Уязвимость функции createhob() библиотеки Tianocore EDK2 вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.
- CVE-2023-45229
Уязвимость функции Dhcp6HandleAdvertiseMsg (NetworkPkg/Dhcp6Dxe/Dhcp6Io.c) библиотеки Tianocore edk2 связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.
- CVE-2023-45231
Уязвимость функции Ip6ProcessRedirect (NetworkPkg/Ip6Dxe/Ip6Nd.c) библиотеки Tianocore edk2 связана с переполнением буфера. Эксплуатация уязвимости позволяет нарушителю, действующему удалённо, получить несанкционированный доступ к конфиденциальным данным.
- CVE-2023-45232
Уязвимость компонента IPv6 Options Header Handler библиотеки Tianocore EDK2 связана с переполнением буфера. Эксплуатация уязвимости позволяет нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2023-45233
Уязвимость функции Ip6IsOptionValid() библиотеки Tianocore edk2 связана с выполнением цикла с недоступным условием выхода при обработке параметра PadN. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на доступность защищаемой информации или вызвать отказ в обслуживании.
- CVE-2023-45235
Уязвимость компонента DHCPv6 Proxy Advertise Message Handler библиотеки Tianocore EDK2 связана с переполнением буфера. Эксплуатация уязвимости позволяет нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность данных.
Уровень опасности
| CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
|---|---|---|---|
|
NIST — CVE-2022-36763
|
нет информации | 7.0 | нет информации |
|
NIST — CVE-2022-36764
|
нет информации | 7.0 | нет информации |
|
NIST — CVE-2022-36765
|
нет информации | 7.0 | нет информации |
|
NIST — CVE-2023-45229
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2023-45231
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2023-45232
|
нет информации | 7.5 | нет информации |
|
NIST — CVE-2023-45233
|
нет информации | 7.5 | нет информации |
|
NIST — CVE-2023-45235
|
нет информации | 8.8 | нет информации |
Обновлённые пакеты