发帖
雷达卡
发布日期与概述
2025年11月28日,官方发布了USN-7894-1安全通告。该更新原计划修复EDK II中的多个安全漏洞,但在实施过程中引入了新的回归问题,因此部分补丁已被临时回退。
受影响版本
- Ubuntu 24.04 LTS
- Ubuntu 22.04 LTS
edk2涉及软件包
本次更新主要影响虚拟机所使用的UEFI固件组件。
安全问题详情
尽管此次更新旨在解决EDK II中的一系列高危漏洞,但因在UEFI网络引导功能中触发了回归问题,目前针对CVE-2023-45236和CVE-2023-45237的修复已被暂时撤销,待进一步分析确认后重新发布。
以下是原本计划修复的安全漏洞汇总:
- CVE-2023-45236, CVE-2023-45237:EDK II存在TCP初始序列号可预测的问题,可能被攻击者利用以实现未授权访问。仅影响Ubuntu 22.04 LTS与24.04 LTS。
- CVE-2024-1298:EDK II对S3睡眠状态处理不当,可能导致系统拒绝服务。
- CVE-2024-38796:PE/COFF加载程序在处理特定内存操作时存在缺陷,可能引发拒绝服务、敏感信息泄露或任意代码执行。
- CVE-2024-38797:PE镜像哈希函数未能正确处理某些内存操作,可能导致拒绝服务或任意代码执行。
- CVE-2024-38805, CVE-2025-2295:BIOS模块在处理内存操作时出错,可能造成系统拒绝服务。
- CVE-2025-3770:MCE(机器检查异常)启用机制存在错误处理,攻击者可借此触发拒绝服务或执行任意代码。
- OpenSSL库相关漏洞:EDK II内嵌的OpenSSL版本包含多个已知漏洞(CVE-2021-3712, CVE-2022-0778, CVE-2022-4304, CVE-2022-4450, CVE-2023-0215, CVE-2023-0286, CVE-2023-0464, CVE-2023-0465, CVE-2023-0466, CVE-2023-2650, CVE-2023-3446, CVE-2023-3817, CVE-2023-5678, CVE-2023-6237, CVE-2024-0727, CVE-2024-13176, CVE-2024-2511, CVE-2024-41996, CVE-2024-4741, CVE-2024-5535, CVE-2024-6119, CVE-2024-9143, CVE-2025-9232),可能被用于拒绝服务、信息窃取或远程代码执行。
更新说明
完成标准系统的软件更新后,必须重启所有使用受影响UEFI固件的虚拟机,以确保变更完全生效。
修复版本信息
各Ubuntu发行版对应的已修复软件包版本如下:
| Ubuntu 版本 | 软件包 | 版本 |
|---|---|---|
| 24.04 LTS (noble) | |
2024.02-2ubuntu0.7 |
|
2024.02-2ubuntu0.7 | |
|
2024.02-2ubuntu0.7 | |
|
2024.02-2ubuntu0.7 | |
|
2024.02-2ubuntu0.7 | |
|
2024.02-2ubuntu0.7 | |
|
2024.02-2ubuntu0.7 | |
|
2024.02-2ubuntu0.7 | |
|
2024.02-2ubuntu0.7 | |
|
2024.02-2ubuntu0.7 | |
| 22.04 LTS (jammy) | |
2022.02-3ubuntu0.22.04.5 |
|
2022.02-3ubuntu0.22.04.5 | |
|
2022.02-3ubuntu0.22.04.5 | |
|
2022.02-3ubuntu0.22.04.5 | |
|
2022.02-3ubuntu0.22.04.5 |
参考链接
https://launchpad.net/bugs/2133157
京公网安备 11010802022788号
