ALT-PU-2026-8972-3

Severity:

Closed issues (14)

BDU:2025-14784

MEDIUM4.9

Уязвимость функции normal_exit() загрузчика операционных систем Grub2, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-11-27Modified: 2026-05-25

CVSS 3.xMEDIUM 4.9

CVSS:3.x/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0LOW 3.7

CVSS:2.0/AV:L/AC:H/Au:N/C:P/I:P/A:P

References

BDU:2025-14785

MEDIUM4.8

Уязвимость загрузчика операционных систем Grub2, связанная с неверным расчетом размера буфера при обработке получаемых пакетов, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-11-27Modified: 2026-05-25

CVSS 3.xMEDIUM 4.8

CVSS:3.x/AV:P/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H

CVSS 2.0MEDIUM 4.7

CVSS:2.0/AV:L/AC:H/Au:N/C:N/I:P/A:C

References

BDU:2025-14786

MEDIUM4.9

Уязвимость модуля gettext загрузчика операционных систем Grub2, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-11-27Modified: 2026-05-31

CVSS 3.xMEDIUM 4.9

CVSS:3.x/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0LOW 3.7

CVSS:2.0/AV:L/AC:H/Au:N/C:P/I:P/A:P

References

BDU:2025-14787

MEDIUM4.9

Уязвимость загрузчика операционных систем Grub2, связанная с разыменованием указателя с истекшим сроком действия, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-11-27Modified: 2026-05-25

CVSS 3.xMEDIUM 4.9

CVSS:3.x/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0LOW 3.7

CVSS:2.0/AV:L/AC:H/Au:N/C:P/I:P/A:P

References

BDU:2025-14788

MEDIUM4.9

Уязвимость загрузчика операционных систем Grub2, связанная с разыменованием указателя с истекшим сроком действия, позволяющая нарушителю вызвать отказ в обслуживании и получить несанкционированный доступ к системе

Published: 2025-11-27Modified: 2026-05-25

CVSS 3.xMEDIUM 4.9

CVSS:3.x/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0LOW 3.7

CVSS:2.0/AV:L/AC:H/Au:N/C:P/I:P/A:P

References

BDU:2025-14789

MEDIUM4.9

Уязвимость функции net_set_vlan() модуля Network загрузчика операционных систем Grub2, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-11-27Modified: 2026-04-14

CVSS 3.xMEDIUM 4.9

CVSS:3.x/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0LOW 3.7

CVSS:2.0/AV:L/AC:H/Au:N/C:P/I:P/A:P

References

BDU:2026-05547

MEDIUM5.3

Уязвимость функции grub_crypto_memcmp загрузчика операционной системы GNU GRUB (ранее Grub2), позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации

Published: 2026-04-16

CVSS 3.xMEDIUM 5.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0MEDIUM 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

References

CVE-2024-56738

MEDIUM5.3

GNU GRUB (aka GRUB2) through 2.12 does not use a constant-time algorithm for grub_crypto_memcmp and thus allows side-channel attacks.

Published: 2024-12-29Modified: 2026-06-17

CVSS 3.xMEDIUM 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

References

https://savannah.gnu.org/bugs/?66603

CVE-2025-54770

MEDIUM4.9

A vulnerability has been identified in the GRUB2 bootloader's network module that poses an immediate Denial of Service (DoS) risk. This flaw is a Use-after-Free issue, caused because the net_set_vlan command is not properly unregistered when the network module is unloaded from memory. An attacker who can execute this command can force the system to access memory locations that are no longer valid. Successful exploitation leads directly to system instability, which can result in a complete crash and halt system availability

Published: 2025-11-18Modified: 2026-06-25

CVSS 3.xMEDIUM 4.9

CVSS:3.x/CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

References

CVE-2025-54771

MEDIUM4.9

A use-after-free vulnerability has been identified in the GNU GRUB (Grand Unified Bootloader). The flaw occurs because the file-closing process incorrectly retains a memory pointer, leaving an invalid reference to a file system structure. An attacker could exploit this vulnerability to cause grub to crash, leading to a Denial of Service. Possible data integrity or confidentiality compromise is not discarded.

Published: 2025-11-18Modified: 2026-06-25

CVSS 3.xMEDIUM 4.9

CVSS:3.x/CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

References

CVE-2025-61661

MEDIUM4.8

A vulnerability has been identified in the GRUB (Grand Unified Bootloader) component. This flaw occurs because the bootloader mishandles string conversion when reading information from a USB device, allowing an attacker to exploit inconsistent length values. A local attacker can connect a maliciously configured USB device during the boot sequence to trigger this issue. A successful exploitation may lead GRUB to crash, leading to a Denial of Service. Data corruption may be also possible, although given the complexity of the exploit the impact is most likely limited.

Published: 2025-11-18Modified: 2026-06-25

CVSS 3.xMEDIUM 4.8

CVSS:3.x/CVSS:3.1/AV:P/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H

References

CVE-2025-61662

HIGH7.8

A Use-After-Free vulnerability has been discovered in GRUB's gettext module. This flaw stems from a programming error where the gettext command remains registered in memory after its module is unloaded. An attacker can exploit this condition by invoking the orphaned command, causing the application to access a memory location that is no longer valid. An attacker could exploit this vulnerability to cause grub to crash, leading to a Denial of Service. Possible data integrity or confidentiality compromise is not discarded.

Published: 2025-11-18Modified: 2026-06-25

CVSS 3.xHIGH 7.8

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

References

CVE-2025-61663

MEDIUM4.9

A vulnerability has been identified in the GRUB2 bootloader's normal command that poses an immediate Denial of Service (DoS) risk. This flaw is a Use-after-Free issue, caused because the normal command is not properly unregistered when the module is unloaded. An attacker who can execute this command can force the system to access memory locations that are no longer valid. Successful exploitation leads directly to system instability, which can result in a complete crash and halt system availability. Impact on the data integrity and confidentiality is also not discarded.

Published: 2025-11-18Modified: 2026-06-25

CVSS 3.xMEDIUM 4.9

CVSS:3.x/CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

References

CVE-2025-61664

MEDIUM4.9

A vulnerability in the GRUB2 bootloader has been identified in the normal module. This flaw, a memory Use After Free issue, occurs because the normal_exit command is not properly unregistered when its related module is unloaded. An attacker can exploit this condition by invoking the command after the module has been removed, causing the system to improperly access a previously freed memory location. This leads to a system crash or possible impacts in data confidentiality and integrity.

Published: 2025-11-18Modified: 2026-06-25

CVSS 3.xMEDIUM 4.9

CVSS:3.x/CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

References

Closed bugs (22)

Bug #36004

Опция загрузки "recovery" в GRUB просит failsafe, но systemd пытается загружать менеджер дисплея.

Bug #48768

Строка в бутменю "UEFI Firmware Settings" не переведена на русский язык (UEFI)

Bug #50525

Поддержка btrfs

Bug #51394

Не хватает зависимости на пакет mtools

Bug #51395

Не хватает зависимости на пакет xorriso

Bug #52193

error: sparse file not allowed при загрузке, когда корень на f2fs

Bug #52976

autoupdate: always pass --no-nvram

Bug #53710

Переименовать GRUB_CMDLINE_LINUX в sysconfig/grub2

Bug #54496

Добавить в подписанный образ grub efi бинарик probe

Bug #55546

grub-common: получать имя ОС из /etc/os-release вместо /etc/altlinux-release

Bug #56881

grub-btrfs + snapper система не грузится в подтом по умолчанию после snapper rollback

Bug #56911

Сломался grub-mkstandalone --format="i386-pc"

Bug #56960

FR: Подробности о пропущеном файле при автообновлении

Bug #57107

/usr/lib/rpm/grub.filetrigger не всегда обновляет меню при обновлении grub

Bug #58290

grub-efi: Загрузка приостанавливается из-за отсутствия модуля (aarch64)

Bug #58291

grub-efi: ошибка перед загрузкой меню

Bug #58426

grub 2.14 ломает кейс с полностью тихой загрузкой

Bug #58689

grub-common: пропали /boot/grub/fonts/unicode.pf2 и /boot/grub/unifont.pf2

Bug #58959

Package update grub in branch p11

Closed issues (14)

Уязвимость функции normal_exit() загрузчика операционных систем Grub2, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость модуля gettext загрузчика операционных систем Grub2, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции net_set_vlan() модуля Network загрузчика операционных систем Grub2, позволяющая нарушителю вызвать отказ в обслуживании

GNU GRUB (aka GRUB2) through 2.12 does not use a constant-time algorithm for grub_crypto_memcmp and thus allows side-channel attacks.

Closed bugs (22)

Локализованное название дистрибутива

grub-common depends on libfuse

grub-efi-autoupdate для removable

Опция загрузки "recovery" в GRUB просит failsafe, но systemd пытается загружать менеджер дисплея.

Строка в бутменю "UEFI Firmware Settings" не переведена на русский язык (UEFI)

Поддержка btrfs

Не хватает зависимости на пакет mtools

Не хватает зависимости на пакет xorriso

error: sparse file not allowed при загрузке, когда корень на f2fs

autoupdate: always pass --no-nvram

Переименовать GRUB_CMDLINE_LINUX в sysconfig/grub2

Добавить в подписанный образ grub efi бинарик probe

grub-common: получать имя ОС из /etc/os-release вместо /etc/altlinux-release

grub-btrfs + snapper система не грузится в подтом по умолчанию после snapper rollback

Сломался grub-mkstandalone --format="i386-pc"

FR: Подробности о пропущеном файле при автообновлении

/usr/lib/rpm/grub.filetrigger не всегда обновляет меню при обновлении grub

grub-efi: Загрузка приостанавливается из-за отсутствия модуля (aarch64)

grub-efi: ошибка перед загрузкой меню

grub 2.14 ломает кейс с полностью тихой загрузкой

grub-common: пропали /boot/grub/fonts/unicode.pf2 и /boot/grub/unifont.pf2

начальный адрес равен 0x9074 вместо 0x9000: ошибка в ld.gold?