关于 EDK II 固件漏洞修复及版本回退的安全通告

概述

USN-7894-1 引入了 EDK II 的回归问题。

发布日期

2025 年 11 月 28 日

影响版本

• 24.04 LTS

• 22.04 LTS

软件包

edk2 - 虚拟机的 UEFI 固件

详情

USN-7894-1 修复了 EDK II 中的多个漏洞。该更新在 UEFI 网络引导功能中引入了一个回归问题。本次更新暂时回退了针对 CVE-2023-45236 和 CVE-2023-45237 的修复补丁，以待进一步调查。我们为此造成的不便表示歉意。

原始公告详情：

• 发现 EDK II 存在可预测的 TCP 初始序列号问题。攻击者可能利用此问题获得未授权访问。此问题仅影响 Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS。（CVE-2023-45236, CVE-2023-45237）

• 发现 EDK II 错误处理了 S3 睡眠状态。攻击者可能利用此问题造成拒绝服务。此问题仅影响 Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS。（CVE-2024-1298）

• 发现 EDK II 的 PE/COFF 加载程序错误处理了某些内存操作。攻击者可能利用此问题造成拒绝服务、获取敏感信息或执行任意代码。此问题仅影响 Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS。（CVE-2024-38796）

• 发现 EDK II 的 PE 镜像哈希函数错误处理了某些内存操作。攻击者可能利用此问题造成拒绝服务或执行任意代码。（CVE-2024-38797）

• 发现 EDK II BIOS 错误处理了某些内存操作。攻击者可能利用此问题造成拒绝服务。（CVE-2024-38805, CVE-2025-2295）

• 发现 EDK II 错误处理了 MCE（机器检查异常）的启用。攻击者可能利用此问题造成拒绝服务或执行任意代码。（CVE-2025-3770）

• 发现 EDK II 内嵌的 OpenSSL 库包含多个漏洞。攻击者可能利用这些问题造成拒绝服务、获取敏感信息或执行任意代码。（CVE-2021-3712, CVE-2022-0778, CVE-2022-4304, CVE-2022-4450, CVE-2023-0215, CVE-2023-0286, CVE-2023-0464, CVE-2023-0465, CVE-2023-0466, CVE-2023-2650, CVE-2023-3446, CVE-2023-3817, CVE-2023-5678, CVE-2023-6237, CVE-2024-0727, CVE-2024-13176, CVE-2024-2511, CVE-2024-41996, CVE-2024-4741, CVE-2024-5535, CVE-2024-6119, CVE-2024-9143, CVE-2025-9232）

更新说明

完成标准系统更新后，您需要重启使用受影响固件的虚拟机，以使所有必要的更改生效。了解如何获取修复程序的更多信息 ›

软件包版本

以下列出了 Ubuntu 各发行版对应的修复软件包版本：

参考链接

https://launchpad.net/bugs/2133157更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享