Amazon Linux 2023:grub2-common、grub2-efi-aa64、grub2-efi-aa64-cdboot (ALAS2023-2025-1342)
medium Nessus 插件 ID 282374
语言:
简介
远程 Amazon Linux 2023 主机缺少安全更新。描述
因此,该软件受到 ALAS2023-2025-1342 公告中提及的多个漏洞影响。已在 GRUB2 引导加载程序的网络模块中发现一个漏洞可造成即时拒绝服务 (DoS) 风险。此缺陷为释放后重用问题原因是从内存中卸载网络模块时未正确取消注册 net_set_vlan 命令。可执行此命令的攻击者强制系统访问不再有效的内存位置。成功利用漏洞会直接导致系统不稳定进而可导致完全崩溃并停止系统可用性 (CVE-2025-54770)
在 GNU GRUB ( Grand Unified Bootloader ) 中发现一个释放后使用漏洞。出现该缺陷的原因是文件关闭进程未正确保留内存指针从而对文件系统结构留下无效引用。攻击者可利用此漏洞造成 grub 崩溃从而导致拒绝服务。未丢弃可能的数据完整性或机密性危害。
(CVE-2025-54771)
在 GRUB ( Grand Unified Bootloader ) 组件中发现一个漏洞。发生此缺陷的原因是引导加载程序从 USB 设备读取信息时错误处理字符串转换从而允许攻击者利用不一致的长度值。本地攻击者可以在引导序列期间连接恶意配置的 USB 设备以触发此问题。成功利用可导致 GRUB 崩溃从而导致拒绝服务。也可能造成数据损坏但考虑到利用的复杂性影响很可能有限。 (CVE-2025-61661)
在 GRUB 的 gettext 模块中发现一个释放后使用漏洞。此缺陷源于一个编程错误该错误中卸载其模块之后gettext 命令在内存中保持注册状态。攻击者可通过调用孤立的命令利用此情形造成应用程序访问不再有效的内存位置。攻击者可利用此漏洞造成 grub 崩溃从而导致拒绝服务。未丢弃可能的数据完整性或机密性危害。 (CVE-2025-61662)
在 GRUB2 引导加载程序的正常命令中发现一个漏洞可造成即时拒绝服务 (DoS) 风险。此缺陷是释放后重用问题原因是在卸载模块时未正确取消注册普通命令。可执行此命令的攻击者强制系统访问不再有效的内存位置。成功利用漏洞会直接导致系统不稳定从而导致完全崩溃并停止系统可用性。也未丢弃对数据完整性和机密性的影响。 (CVE-2025-61663)
在普通模块中GRUB2 引导加载程序中发现一个漏洞。此缺陷是一个内存释放后使用问题之所以发生是因为在卸载 normal_exit 命令的相关模块时未正确取消注册。攻击者可通过在删除模块后调用 命令来利用此情况造成系统无法正确访问之前已释放的内存位置。这会导致系统崩溃或者可能影响数据机密性和完整性。 (CVE-2025-61664)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“dnf update grub2 --releasever 2023.10.20260105”或“dnf update --advisory ALAS2023-2025-1342 --releasever 2023.10.20260105”以更新系统。另见
https://alas.aws.amazon.com//AL2023/ALAS2023-2025-1342.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2025-54770.html
https://explore.alas.aws.amazon.com/CVE-2025-54771.html
https://explore.alas.aws.amazon.com/CVE-2025-61661.html
https://explore.alas.aws.amazon.com/CVE-2025-61662.html
插件详情
严重性: Medium
ID: 282374
文件名: al2023_ALAS2023-2025-1342.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2026/1/8
最近更新时间: 2026/1/8
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Low
基本分数: 3.7
时间分数: 2.7
矢量: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2025-61664
CVSS v3
风险因素: Medium
基本分数: 4.9
时间分数: 4.3
矢量: CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2025-61662
漏洞信息
CPE: p-cpe:/a:amazon:linux:grub2-common, p-cpe:/a:amazon:linux:grub2-debuginfo, p-cpe:/a:amazon:linux:grub2-efi-aa64, p-cpe:/a:amazon:linux:grub2-efi-aa64-cdboot, p-cpe:/a:amazon:linux:grub2-efi-aa64-ec2, p-cpe:/a:amazon:linux:grub2-efi-aa64-modules, p-cpe:/a:amazon:linux:grub2-efi-x64, p-cpe:/a:amazon:linux:grub2-efi-x64-cdboot, p-cpe:/a:amazon:linux:grub2-efi-x64-ec2, p-cpe:/a:amazon:linux:grub2-efi-x64-modules, p-cpe:/a:amazon:linux:grub2-emu, p-cpe:/a:amazon:linux:grub2-emu-modules, p-cpe:/a:amazon:linux:grub2-pc, p-cpe:/a:amazon:linux:grub2-pc-modules, p-cpe:/a:amazon:linux:grub2-tools, p-cpe:/a:amazon:linux:grub2-tools-efi, p-cpe:/a:amazon:linux:grub2-tools-extra, p-cpe:/a:amazon:linux:grub2-tools-minimal, p-cpe:/a:amazon:linux:grub2-debugsource, p-cpe:/a:amazon:linux:grub2-emu-debuginfo, p-cpe:/a:amazon:linux:grub2-tools-debuginfo, p-cpe:/a:amazon:linux:grub2-tools-efi-debuginfo, p-cpe:/a:amazon:linux:grub2-tools-extra-debuginfo, p-cpe:/a:amazon:linux:grub2-tools-minimal-debuginfo, cpe:/o:amazon:linux:2023
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2026/1/7
漏洞发布日期: 2025/11/18
参考资料信息
CVE: CVE-2025-54770, CVE-2025-54771, CVE-2025-61661, CVE-2025-61662, CVE-2025-61663, CVE-2025-61664