Jbo

**Nome do software vulnerável e versões afetadas** GNU GRUB (também conhecido como GRUB2), versões 2.12 e anteriores **Descrição** O problema está relacionado ao uso de um algoritmo de tempo não constante para `grub crypto memcmp`, o que permite ataques de canal lateral. Isso significa que um invasor poderia potencialmente explorar a diferença no tempo que leva para a comparação ocorrer, obtendo acesso não autorizado a informações confidenciais. **Recomendações** Para as versões 2.12 e anteriores do GNU GRUB (também conhecido como GRUB2), considere atualizar para uma versão que utilize um algoritmo de tempo constante para `grub crypto memcmp`, a fim de prevenir ataques de canal lateral. Como solução temporária, restrinja o acesso a informações confidenciais que possam ser exploradas por meio de ataques de canal lateral até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** GNU GRUB (também conhecido como GRUB2) até a versão 2.12 **Descrição** A vulnerabilidade consiste em um estouro de buffer baseado em heap no arquivo fs/hfs.c, causado por dados sblock manipulados em um sistema de arquivos HFS. Isso pode permitir que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade de informações protegidas. A vulnerabilidade está relacionada ao componente HFS File System Handler do bootloader GRUB2. **Recomendações** Como solução temporária, considere desativar o módulo `fs/hfs.c` até que um patch esteja disponível. Restrinja o acesso a sistemas de arquivos HFS para minimizar o risco de exploração. Evite usar dados sblock manipulados em sistemas de arquivos HFS até que o problema seja resolvido. Atualize para uma versão posterior à 2.12 assim que estiver disponível.

**Name of the Vulnerable Software and Affected Versions** ncurses versions prior to 6.4 20230408 **Description** The issue is related to security-relevant memory corruption via malformed data in a terminfo database file. This can be triggered by local users when the software is used by a setuid application. The corruption can occur when the software accesses files found in $HOME/.terminfo or reached via the TERMINFO or TERM environment variables. The vulnerability may allow an attacker to impact the confidentiality, integrity, and availability of protected information. **Recommendations** For ncurses versions prior to 6.4 20230408, update to version 6.4 20230408 or later to resolve the issue. As a temporary workaround, consider restricting access to the terminfo database files and environment variables TERMINFO and TERM to minimize the risk of exploitation. Avoid using malformed data in the terminfo database files until the issue is resolved.