Bruger du Grub2? skal du opdatere nu, da de fandt omkring 8 sårbarheder

Darkcrizt

4 minutter

sårbarhed

Hvis du bruger Grub2 som din bootloader på din computer lad mig fortælle dig, at du skal opdatere det nugodt for nylig 8 sårbarheder blev afsløret i denne GRUB2-bootloader hvoraf en af ​​dem er markeret som kritisk.

Den farligste af dem er den, der er katalogiseret med kodenavnet Støvlehul (CVE-2020 til 10713). Denne sårbarhed blev fundet gør det muligt at omgå UEFI Secure boot-mekanismen og installere ondsindet software uden verifikation.

Denne sårbarheds ejendommelighed er, at For at rette det er det ikke nok at opdatere GRUB2, da en hacker kan bruge bootbart medie med en sårbar version tidligere certificeret af en digital signatur. En hacker kan kompromittere verificeringsprocessen ikke kun for Linux, men også for andre operativsystemer, inklusive Windows.

Og problemet er det de fleste Linux-distributioner bruger et lille lag af shim for verificeret boot, som er signeret digitalt af Microsoft.

Dette lag verificerer GRUB2 med sit eget certifikat, der tillader distributionsudviklere ikke at certificere hver GRUB-kerne og opdatere til Microsoft.

Sårbarheden tillader, når du ændrer indholdet af grub.cfg, opnå udførelsen af ​​din kode i fasen efter en vellykket verifikation af shim, men før operativsystemet indlæses, passer ind i kæden af ​​tillid, når Secure Boot er aktiv og får kontrol I alt om den ekstra opstartsproces, herunder opstart af et andet operativsystem, ændring af operativsystemkomponenter og omgå kollisionsbeskyttelse.

Sårbarheden skyldes et bufferoverløb som kan udnyttes til at udføre vilkårlig kode under downloadprocessen. Sårbarheden manifesterer sig ved analyse af indholdet af konfigurationsfilen grub.cfg, som normalt er placeret på en ESP-partition (EFI System Partition) og kan redigeres af en angriber med administratorrettigheder uden at krænke integriteten af ​​de underskrevne shim- og GRUB2-eksekverbare filer.

Ved en fejl i konfigurationsparserkoden viste den fatale parsefejlhåndterer YY_FATAL_ERROR kun en advarsel, men afsluttede ikke programmet. Faren for sårbarhed reduceres af behovet for privilegeret adgang til systemet; Problemet kan dog være nødvendigt for implementeringen af ​​skjulte rootkits i nærvær af fysisk adgang til maskinen (hvis det er muligt at starte fra dens medier).

Af de andre sårbarheder, der blev fundet:

  • CVE-2020-14308: Bufferoverløb på grund af størrelsen på det tildelte hukommelsesområde ikke er verificeret i grub_malloc.
  • CVE-2020-14309: heltalsoverløb i grub_squash_read_symlink, som kan få data til at blive skrevet uden for den tildelte buffer.
  • CVE-2020-14310: heltalsoverløb i read_section_from_string, som kan få data til at blive skrevet uden for den tildelte buffer.
  • CVE-2020-14311: heltalsoverløb i grub_ext2_read_link, hvilket kan få data til at blive skrevet uden for den tildelte buffer.
  • CVE-2020-15705: muliggør direkte opstart af usignerede kerner i sikker opstartstilstand uden et sammenflettet mellemlag.
  • CVE-2020-15706: adgang til et allerede frigivet hukommelsesområde (brug efter-frit), når en funktion afbrydes under kørsel.
  • CVE-2020-15707: heltal overløb i initrd størrelse handler.

løsninger

Selvom alt ikke er tabt, siden, for at løse dette problem, behøver kun at opdatere listen over tilbagekaldte certifikater (dbx, UEFI Revocation List) på systemet, men i dette tilfælde vil muligheden for at bruge gamle installationsmedier med Linux gå tabt.

Nogle hardwareproducenter har allerede inkluderet en opdateret liste over tilbagekaldte certifikater i din firmware På sådanne systemer, i UEFI Secure Boot-tilstand, kan kun opdaterede builds af Linux-distributioner indlæses.

For at rette sårbarheden i distributionerne, installatører, bootloadere, kernepakker, fwupd firmware og kompatibilitetslag skal også opdateres, generere nye digitale signaturer til dem.

Brugere skal opdatere installationsbilleder og andre opstartsmedier, og download Certificate Revocation List (dbx) i UEFI-firmwaren. Indtil dbx-opdateringen i UEFI forbliver systemet sårbart uanset installationen af ​​opdateringer i operativsystemet.

Endelig rapporteres det patch pack opdateringer er blevet frigivet til Debian, Ubuntu, RHEL og SUSE såvel som til GRUB2 er der frigivet et sæt patches.


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   Fernando sagde han
    siden 4 år

    Det ville være godt at afklare, om disse sårbarheder kan udnyttes lokalt eller eksternt, der ændrer problemets dimension.

    Svar til Fernando
  2.   Mario sagde han
    siden 4 år

    Det ville være mere nyttigt at vide, hvordan disse ting løses. for i mit særlige tilfælde har jeg ingen idé om, hvor jeg skal starte
    For en dag eller to siden bemærkede jeg, at jeg fik en GRUB2-opdatering, jeg ved ikke, om det var plasteret, det var bare en opdatering ... alligevel ...
    De taler om opdatering af firmware, digitale certifikater, download af Certificate Revocation List (dbx) i UEFI firmware, hvor eller hvordan gøres det ...
    Som information er det godt, men for en nybegynder er det som om de taler på mandarin-kinesisk.
    Det er en konstruktiv kritik.

    Svar til Mario
  3.   rhinestones sagde han
    siden 4 år

    God Clickbait:

    Sårbarheden er et bufferoverløb relateret til, hvordan GRUB2 parser sin grub.cfg-konfigurationsfil. En hacker med administratorrettigheder på det målrettede system kan ændre denne fil, så deres ondsindede kode udføres i UEFI-miljøet, før operativsystemet indlæses.

    Stop med at skræmme folk

    Svar på pedrete