关于EDK II固件漏洞修复及版本回退的安全通告

概述

USN-7894-1引入了EDK II的回归问题。

发布日期

2025年11月28日

影响版本

• 24.04 LTS
• 22.04 LTS

软件包

edk2 - 虚拟机的UEFI固件

详情

USN-7894-1修复了EDK II中的多个漏洞。该更新在UEFI网络引导功能中引入了一个回归问题。本次更新暂时回退了针对CVE-2023-45236和CVE-2023-45237的修复补丁，以待进一步调查。我们为此造成的不便表示歉意。

原始公告详情：

• 发现EDK II存在可预测的TCP初始序列号问题。攻击者可能利用此问题获得未授权访问。此问题仅影响Ubuntu 22.04 LTS和Ubuntu 24.04 LTS。（CVE-2023-45236, CVE-2023-45237）
• 发现EDK II错误处理了S3睡眠状态。攻击者可能利用此问题造成拒绝服务。此问题仅影响Ubuntu 22.04 LTS和Ubuntu 24.04 LTS。（CVE-2024-1298）
• 发现EDK II的PE/COFF加载程序错误处理了某些内存操作。攻击者可能利用此问题造成拒绝服务、获取敏感信息或执行任意代码。此问题仅影响Ubuntu 22.04 LTS和Ubuntu 24.04 LTS。（CVE-2024-38796）
• 发现EDK II的PE镜像哈希函数错误处理了某些内存操作。攻击者可能利用此问题造成拒绝服务或执行任意代码。（CVE-2024-38797）
• 发现EDK II BIOS错误处理了某些内存操作。攻击者可能利用此问题造成拒绝服务。（CVE-2024-38805, CVE-2025-2295）
• 发现EDK II错误处理了MCE（机器检查异常）的启用。攻击者可能利用此问题造成拒绝服务或执行任意代码。（CVE-2025-3770）
• 发现EDK II内嵌的OpenSSL库包含多个漏洞。攻击者可能利用这些问题造成拒绝服务、获取敏感信息或执行任意代码。（CVE-2021-3712, CVE-2022-0778, CVE-2022-4304, CVE-2022-4450, CVE-2023-0215, CVE-2023-0286, CVE-2023-0464, CVE-2023-0465, CVE-2023-0466, CVE-2023-2650, CVE-2023-3446, CVE-2023-3817, CVE-2023-5678, CVE-2023-6237, CVE-2024-0727, CVE-2024-13176, CVE-2024-2511, CVE-2024-41996, CVE-2024-4741, CVE-2024-5535, CVE-2024-6119, CVE-2024-9143, CVE-2025-9232）

更新说明

完成标准系统更新后，您需要重启使用受影响固件的虚拟机，以使所有必要的更改生效。
了解如何获取修复程序的更多信息 ›

软件包版本

以下列出了Ubuntu各发行版对应的修复软件包版本：

Ubuntu 版本	软件包	版本
24.04 LTS (noble)	efi-shell-aa64	2024.02-2ubuntu0.7
	efi-shell-arm	2024.02-2ubuntu0.7
	efi-shell-ia32	2024.02-2ubuntu0.7
	efi-shell-riscv64	2024.02-2ubuntu0.7
	efi-shell-x64	2024.02-2ubuntu0.7
	ovmf	2024.02-2ubuntu0.7
	ovmf-ia32	2024.02-2ubuntu0.7
	qemu-efi-aarch64	2024.02-2ubuntu0.7
	qemu-efi-arm	2024.02-2ubuntu0.7
	qemu-efi-riscv64	2024.02-2ubuntu0.7
22.04 LTS (jammy)	ovmf	2022.02-3ubuntu0.22.04.5
	ovmf-ia32	2022.02-3ubuntu0.22.04.5
	qemu-efi	2022.02-3ubuntu0.22.04.5
	qemu-efi-aarch64	2022.02-3ubuntu0.22.04.5
	qemu-efi-arm	2022.02-3ubuntu0.22.04.5

参考链接

https://launchpad.net/bugs/2133157
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码