RHEL 9 : grub2 (RHSA-2025:6990)
medium Nessus プラグイン ID 237317
Language:
概要
リモートの Red Hat ホストに 1 つ以上の grub2 用セキュリティ更新プログラムがありません。説明
リモート Redhat Enterprise Linux 9 ホストに、RHSA-2025:6990 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。grub2 パッケージは、モジュラーアーキテクチャーで高度に設定およびカスタマイズ可能なブートローダーである Grand Unified Boot Loader (GRUB) のバージョン 2 を提供します。このパッケージは様々なカーネル形式、ファイルシステム、コンピューターアーキテクチャー、およびハードウェアデバイスをサポートします。
セキュリティ修正プログラム:
* grub2: reader/jpeg: JPEG 解析中のヒープ OOB 書き込み (CVE-2024-45774)
* grub2: commands/extcmd: 失敗した割り当てのチェックがありません (CVE-2024-45775)
* grub2: grub-core/gettext: 整数オーバーフローにより、ヒープ OOB 書き込みおよび読み取りが引き起こされます。(CVE-2024-45776)
* grub2: fs/ufs: ヒープでの OOB 書き込み (CVE-2024-45781)
* grub2: fs/hfs+: refcount が 2 回デクリメントされる可能性があります (CVE-2024-45783)
* grub2: command/gpg: モジュールのアンロードでフックが削除されないことによるメモリ解放後使用 (Use After Free) (CVE-2025-0622)
* grub2: UFS: シンボリックリンクを処理する際の整数オーバーフローにより、ヒープベースの領域外書き込みが発生する可能性があります (CVE-2025-0677)
* grub2: read: 整数オーバーフローにより、ヒープベースの領域外書き込みが発生する可能性があります (CVE-2025-0690)
影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。
追加の変更
このリリースの変更に関する詳細については、「参照」セクションからリンクされている Red Hat Enterprise Linux 9 リリースノートを参照してください。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
RHEL grub2 パッケージを、RHSA-2025:6990 のガイダンスに基づいて更新してください。参考資料
http://www.nessus.org/u?a7e51e86
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=2337461
https://bugzilla.redhat.com/show_bug.cgi?id=2337481
https://bugzilla.redhat.com/show_bug.cgi?id=2339182
https://bugzilla.redhat.com/show_bug.cgi?id=2345857
https://bugzilla.redhat.com/show_bug.cgi?id=2345863
https://bugzilla.redhat.com/show_bug.cgi?id=2345865
https://bugzilla.redhat.com/show_bug.cgi?id=2346116
https://bugzilla.redhat.com/show_bug.cgi?id=2346123
https://issues.redhat.com/browse/RHEL-25558
https://issues.redhat.com/browse/RHEL-61263
プラグインの詳細
深刻度: Medium
ID: 237317
ファイル名: redhat-RHSA-2025-6990.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
公開日: 2025/5/27
更新日: 2025/6/5
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Medium
基本値: 6.5
現状値: 4.8
ベクトル: CVSS2#AV:L/AC:L/Au:M/C:C/I:C/A:C
CVSS スコアのソース: CVE-2025-0690
CVSS v3
リスクファクター: Medium
基本値: 6.7
現状値: 5.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2024-45781
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:grub2-efi-aa64, p-cpe:/a:redhat:enterprise_linux:grub2-efi-x64-modules, p-cpe:/a:redhat:enterprise_linux:grub2-pc, p-cpe:/a:redhat:enterprise_linux:grub2-pc-modules, p-cpe:/a:redhat:enterprise_linux:grub2-tools-extra, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:grub2-efi-aa64-cdboot, p-cpe:/a:redhat:enterprise_linux:grub2-ppc64le, p-cpe:/a:redhat:enterprise_linux:grub2-efi-aa64-modules, p-cpe:/a:redhat:enterprise_linux:grub2-tools-efi, p-cpe:/a:redhat:enterprise_linux:grub2-tools, p-cpe:/a:redhat:enterprise_linux:grub2-tools-minimal, p-cpe:/a:redhat:enterprise_linux:grub2-efi-x64, p-cpe:/a:redhat:enterprise_linux:grub2, p-cpe:/a:redhat:enterprise_linux:grub2-efi-x64-cdboot, p-cpe:/a:redhat:enterprise_linux:grub2-ppc64le-modules, p-cpe:/a:redhat:enterprise_linux:grub2-common
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/5/13
脆弱性公開日: 2024/4/11
参照情報
CVE: CVE-2024-45774, CVE-2024-45775, CVE-2024-45776, CVE-2024-45781, CVE-2024-45783, CVE-2025-0622, CVE-2025-0677, CVE-2025-0690