清静预警-Linux Grub2 BootHole误差

服务器、存储、网络产品购置热线：400-860-6708 ERP、管理软件购置热线：400-018-7700云服务产品销售热线：400-607-6657

关于豪运国际

加入我们

相识豪运国际怎样资助企业开启数字未来

作为中国最具影响力的IT品牌之一，豪运国际借盘算之力，打造互联互通的数据生态，以数据之名，开启全新章程的天下文明。

审查更多视频 >

豪运国际云会计

豪运国际企业大数据: 主数据管理; 企业数据中台; 报表平台; 商务智能; 企业大脑

政府

豪运国际民政云平台解决计划

豪运国际民政云平台凭证天下民政辖档挽先、政府部分一流的标准妄想设计，平台融合民政营业管理、公共服务、大数据资源服务。

相识详情 >

企业

云数据中心解决计划

领域解决计划

系统服务

产品支持

豪运国际资料库^New

一起探索“云+数+AI”的智慧海洋

视频中心 >>

产品资讯 >>

服务支持

通用服务器 审查所有>

机架服务器: 2U双路服务器-NF5280M5; 1U双路服务器-NF5180M5; 4U四路服务器-NF8480M5; 审查所有

多节点服务器: 4U多节点服务器-i48; 2U多节点服务器-i24; 刀片式服务器-I9000; 审查所有

整机柜服务器: ODCC标准整机柜服务器-SR; OCP标准整机柜服务器-OR; 审查所有

塔式服务器与事情站: P8000事情站; 塔式服务器-NP5570M5; 塔式服务器NP3020M4; 审查所有

大规模云数据中心: ODCC标准整机柜服务器-SR; 2U多节点服务器-i24; 2U双路服务器-SA5212M5; 审查所有

海量数据存储: 4U双路存储服务器-NF5466M5; 2U双路存储服务器-NF5266M5; 审查所有

AI盘算加速: 2U双路AI服务器-NF5288M5(AGX-2); 审查所有

企业要害应用: 4U8路服务器-TS860M5; 审查所有

开放盘算: OCP标准整机柜服务器-OR; ODCC标准整机柜服务器-SR; 审查所有

K1 Power Systems 审查所有>

纵向扩展产品: K1 Power E980; K1 Power E950; K1 950; K1 910

横向扩展产品: FP5466G2; FP5295G2; FP5290G2; FP5280G2; K1 Power S914; K1 Power S922; K1 Power S924

存储 审查所有>

漫衍式存储: 漫衍式存储平台AS13000G5; 漫衍式存储AS13000G5-M; 漫衍式存储AS13000G5-C; 漫衍式存储AS13000G5-P

全闪存储: 全闪存储HF5000G5; 全闪存储AS5300/5500G2-F; 高端存储AS18000G5; 高端全闪存储HF18000G5; 中端全闪存储HF6000G5; 中端全闪存储HF5000G5

混闪存储: 混闪存储AS5500G2; 混闪存储AS5600G2; 高端存储AS18000G5; 中高端混闪存储AS5800G5; 中端混闪存储AS5500G5

固态硬盘: 高性能企业级固态硬盘NS8600G1

存储服务器: 存储服务器AS1300G2/1500G2/1600G2

数据管理与�；�: 备份一体机DP1000G5; 备份一体机DP1000G5-C; 智能统一存储管理平台InView

光纤交流机: 光纤交流机FS8500; 光纤导向器FS9610/FS9620

人工智能 审查所有>

盘算平台: AGX-5; AGX-2; NF5488M5; NF5468M5; NF5280M5; NF5280M5-V; F10A FPGA加速卡; F37X

资源平台: AIStation 训练平台; AIStation 推理平台; T-Eye

算法平台: AutoML Suite; TF2

高性能盘算 审查所有>

盘算节点: i48; i24; TS860M5

机柜HPC: InCloudRack; SR整机柜服务器

异构加速: AGX-5; AGX-2; F10A FPGA加速卡

并行存储: TStor3000; AS13000海量存储系统

高速网络: 高速融合的网络系统

集群管理: ClusterEngine

应用剖析: Teye

行业一体机: 豪运国际基因一体机

基础设施: 豪运国际S1050 KVM; 豪运国际新一代水冷机柜TS4280C

服务培训: 在线培训

负载平衡: 豪运国际天梭TS8650G3; 豪运国际天梭TS8650G2A

云海平台

云操作系统: 豪运国际云海容器云平台InCloud K8S; 豪运国际数据中心管理平台InCloud Manager; 豪运国际超融合一体机InCloud Rail; 豪运国际InCloud OpenStack云操作系统; 服务器虚拟化系统InCloud Sphere

集成系统 审查所有>

豪运国际inMerge1000超融合一体机

企业级数据库 审查所有>

豪运国际inData数据库一体机

豪运国际K-DB数据库系统

豪运国际K-DB集群数据库

数据中心基础设施 审查所有>

网络产品 审查所有>

豪运国际网络数据中心产品: Inspur CN12900 系列路由交流机; Inspur CN12700系列交流机; Inspur CN9000系列交流机; Inspur CN61108PC-V-H交流机; 豪运国际智能云引擎

豪运国际网络智慧园区网产品: Inspur SC9600系列交流机; 豪运国际IR12000-E系列智能路由器; 豪运国际IR12000-H系列智能路由器; Inspur IAP5820i无线接入点; Inspur IAC系列智能无线控制接入管理器

通讯软件产品 审查所有>

资产运营: 资源数据中心; 网络能力开放平台

营业运营: 无线网络优化平台; 掌上网优; 绿色数据中心一站式服务

服务运营: 流程平台; 应用质量管控; IMP移动应用平台; 知维

数据运营: 大数据能力开放平台; 数据交流共享平台; DevOps; 住民区4G&宽带网络能力全景剖析; 有线宽带端到端营业质量剖析

外洋营业: OSS Fulfillment Solution; OSS Assurance Solution; Inventory Management

税务云终端 审查所有>

自助办税终端产品: 豪运国际SOC芯片; 自助办税终端系统ARM

增值税开票终端: 增值税开票终端产品

自助服务终端产品: 多功效自助服务一体机; 自助填单机; 智能文件柜

金融智能终端 审查所有>

智慧柜员机系列: 豪运国际标准版智慧柜员机; 豪运国际打印版智慧柜员机; 豪运国际票据版智慧柜员机; 豪运国际包管版智慧柜员机; 豪运国际证券版智慧柜员机

边柜系列: 豪运国际大额现金边柜; 豪运国际票据边柜; 豪运国际回单边柜

轻型智能终端系列: 豪运国际壁挂式终端; 豪运国际分体式便携终端; 豪运国际桌面式智能终端

排队机系列: 豪运国际嵌入式排队机; 豪运国际立式排队机

现金自助装备: 豪运国际穿墙式自助取款机; 豪运国际大堂式自助取款机; 豪运国际穿墙式取款一体机; 豪运国际大堂式取款一体机

政务自助终端: 豪运国际e服务政务自助终端; 豪运国际社保通智能终端; 豪运国际社保即时制卡终端

教育自助终端: 豪运国际教育自助打印终端

企业自助终端: 豪运国际自助收银机

医疗智能终端 审查所有>

BCM1511TN(NHC)全功效自助终端

数字电视终端 审查所有>

豪运国际智能电视狗

豪运国际IPBS-9510智能超高清网络电视机顶盒

豪运国际HMG-2100C智能媒体网关

豪运国际STB-9712C智能超高清有线机顶盒

怎样购置

豪运国际官方商城

豪运国际云官方商城

天元数据网

云ERP官方商城

加入我们

首页 > 清静通告 > 所有通告 > 清静预警

清静预警-Linux Grub2 BootHole误差

预警编号：INSPUR-SA-202008-001

初始宣布时间：2020-08-12 16:49:57

更新宣布时间：2020-09-01 08:28:46

误差概述：

清静研究公司 Eclypsium曝光了Linux Grub2指导加载程序中一个名为“BootHole”（CVE-2020-10713）的误差。此误差允许攻击者挟制指导历程并在系统启动时代执行恶意代码，纵然使用UEFI Secure Boot的系统也可以使用此误差绕过。
Grub2 boot loader通过grub.cfg文件设置，该文件中包括多个tokens字符串。在初始指导加载程序（称为shim）加载之后，最先加载息争析grub.cfg设置文件。在剖析阶段，设置文件的内容被复制到内存的内部缓冲区中存储。当tokens长度大于内部缓冲区巨细时会导致缓冲区溢出问题。攻击者可以使用此误差执行恣意代码，进一步挟制盘算机的指导历程并绕过Secure Boot�；�。

已完成修复的产品版本：

产品名称	受影响产品版本	修复补丁包/升级包版本
AS13000	AS13000 > 3.5.0.1	grub2-2.02-0.65-AS13000-update.tar.gz
ICS	ICS<=5.8.1	V5.8.1版本通过补丁举行修复，补丁包名称： IncloudSphere-V5R08B017-b1-M001.hotfix.zip IncloudSphere-V5R08B017-b1-S001.hotfix.zip；小于V5.8.1版本产品，需要先升级到v5.8.1版本，再通过补丁举行修复。
ICOS	ICOS>=5.2,ICOS<=5.8	ICOS-CVE-2020-10713.rar
ISIB	ISIB-V2.1.1-20200605_1610-CN之前的版本	ISIB-v2.1.1-sp1-x86_64-20200831.rpm
ISPIM	1. ISPIM-V2.1.1-20200827_2041_CN之前的版本 2. ISPIM-V2.1.1-20200827_2112_EN之前的版本	1. ISPIM-V2.1.1-20200827_2041_CN 2. ISPIM-V2.1.1-20200827_2112_EN 3. 补丁包：ispimV2.1.1-sp1-x86_64-20200831.rpm

影响效果：

攻击者可以使用此误差执行恣意代码，进一步挟制盘算机的指导历程并绕过Secure Boot�；�, 控制受影响的装备。

误差得分：

CVE	V3.1 Vector(Base)	Base Score	V3.1 Vector(Temporal Score)	Temporal Score
CVE-2020-10713	AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	8.2	E:U/RL:O/RC:C	7.1

手艺细节：

误差缘故原由：GRUB2 在处置惩罚其自身的设置文件 grub.cfg 时保存缓冲区溢出误差。攻击者通过建设特制的 grub.cfg 文件，在下一次重启后攻击者可以不受限制的控制受影响的装备。
使用条件：远程root会见，可修改grub.cfg文件。

版本获取链接：

AS13000用户直接联系客户服务职员或发送邮件至sun.meng@inspur.com，获取补丁，以及相关的手艺协助。
ICOS、ICS用户直接联系支持职员获取补丁以及相关的手艺协助。
ISPIM:下载
ISIB:下载

规避步伐：

暂无针对此误差的缓解步伐

误差泉源：

清静研究公司 Eclypsium披露

更新纪录：

20200812-V1.0-Initial Release
20200831-V1.1-Update 增添受影响产品清单
20200901-V1.2-Update 增添受影响产品清单

FAQs：

无

豪运国际清静应急响应对外服务：

豪运国际一直主张尽全力包管产品用户的最终利益，遵照认真任的清静事务披露原则，并通过产品清静问题处置惩罚机制处置惩罚产品清静问题。
反响豪运国际相关的产品清静问题,请反响至豪运国际PSIRT邮箱sec@inspur.com，详情参考：/lcjtww/2312126/2432763/index.html

豪运国际官方商城

关于豪运国际

云服务

大数据

企业管理软件

政府

企业

云数据中心解决计划

领域解决计划

系统服务

产品支持

豪运国际资料库New

服务支持

云海平台

云盘算与数据中心

云服务

大数据资源与生意

行业软件

企业管理软件

行业终端

政府

企业

云数据中心解决计划

领域解决计划

系统服务

软件外包服务

产品支持

自助服务

豪运国际资料库New

豪运国际官方商城

关于豪运国际

新闻与活动

探索豪运国际

支持与服务

快速链接

拨打咨询电话

呼叫在线客服

豪运国际资料库^New

豪运国际资料库^New