Wenn Sie Grub2 verwenden als Ihr Bootloader auf Ihrem Computer Lassen Sie mich Ihnen sagen, dass Sie es jetzt aktualisieren solltengut vor kurzem 8 Schwachstellen wurden aufgedeckt in diesem GRUB2 Bootloader von denen einer als kritisch markiert ist.
Das gefährlichste von ihnen ist diejenige, die mit dem Codenamen katalogisiert ist Stiefelloch (CVE-2020 bis 10713). Diese Sicherheitsanfälligkeit wurde erkannt ermöglicht es, den UEFI Secure-Startmechanismus zu umgehen und schädliche Software ohne Überprüfung zu installieren.
Die Besonderheit dieser Sicherheitsanfälligkeit ist, dass Um dies zu beheben, reicht es nicht aus, GRUB2 zu aktualisieren, da ein Angreifer bootfähige Medien mit einer anfälligen Version verwenden kann früher durch eine digitale Signatur zertifiziert. Ein Angreifer kann den Überprüfungsprozess nicht nur für Linux, sondern auch für andere Betriebssysteme, einschließlich Windows, gefährden.
Und das Problem ist das Die meisten Linux-Distributionen verwenden eine kleine Schicht von Shim für verifizierten Boot, die von Microsoft digital signiert ist.
Diese Schicht überprüft GRUB2 mit einem eigenen ZertifikatDadurch können Distributionsentwickler nicht jeden GRUB-Kernel zertifizieren und auf Microsoft aktualisieren.
Die Sicherheitsanfälligkeit ermöglicht beim Ändern des Inhalts von grub.cfg, erreichen Sie die Ausführung Ihres Codes in der Phase nach der erfolgreichen Überprüfung von Shim, aber bevor das Betriebssystem geladen wird, Anpassung an die Vertrauenskette, wenn Secure Boot aktiv ist und die Kontrolle erlangt Insgesamt über den zusätzlichen Startvorgang, einschließlich des Bootens eines anderen Betriebssystems, des Änderns der Betriebssystemkomponenten und des Umgehens des Absturzschutzes.
Die Sicherheitsanfälligkeit wird durch einen Pufferüberlauf verursacht Dies kann ausgenutzt werden, um während des Download-Vorgangs beliebigen Code auszuführen. Die Sicherheitsanfälligkeit tritt bei der Analyse des Inhalts der Konfigurationsdatei grub.cfg auf, die sich normalerweise auf einer ESP-Partition (EFI System Partition) befindet und von einem Angreifer mit Administratorrechten bearbeitet werden kann, ohne die Integrität der signierten Shim- und GRUB2-ausführbaren Dateien zu verletzen.
Aus Versehen im Konfigurationsparsercode zeigte der schwerwiegende Parsing-Fehlerbehandler YY_FATAL_ERROR nur eine Warnung an, beendete das Programm jedoch nicht. Die Gefahr einer Sicherheitsanfälligkeit wird durch die Notwendigkeit eines privilegierten Zugriffs auf das System verringert. Das Problem kann jedoch für die Implementierung versteckter Rootkits bei physischem Zugriff auf den Computer erforderlich sein (wenn es möglich ist, von dessen Medien zu booten).
Von den anderen gefundenen Schwachstellen:
- CVE-2020-14308: Pufferüberlauf aufgrund der Größe des zugewiesenen Speicherbereichs, der in grub_malloc nicht überprüft wird.
- CVE-2020-14309: Ganzzahlüberlauf in grub_squash_read_symlink, der dazu führen kann, dass Daten außerhalb des zugewiesenen Puffers geschrieben werden.
- CVE-2020-14310: Ganzzahlüberlauf in read_section_from_string, der dazu führen kann, dass Daten außerhalb des zugewiesenen Puffers geschrieben werden.
- CVE-2020-14311: Ganzzahlüberlauf in grub_ext2_read_link, der dazu führen kann, dass Daten außerhalb des zugewiesenen Puffers geschrieben werden.
- CVE-2020-15705: Ermöglicht das direkte Booten von nicht signierten Kerneln im sicheren Startmodus ohne verschachtelte Zwischenschicht.
- CVE-2020-15706: Zugriff auf einen Speicherbereich, der bereits freigegeben wurde (Use-After-Free), wenn eine Funktion zur Laufzeit abgebrochen wird.
- CVE-2020-15707: Ganzzahlüberlauf im initrd size handler.
Lösungen
Obwohl nicht alles verloren ist, da, um dieses Problem zu lösen, Aktualisieren Sie nur die Liste der widerrufenen Zertifikate (dbx, UEFI-Sperrliste) auf dem System, aber in diesem Fall geht die Fähigkeit verloren, alte Installationsmedien unter Linux zu verwenden.
Einige Hardwarehersteller haben bereits eine aktualisierte Liste der widerrufenen Zertifikate beigefügt in Ihrer Firmware; Auf solchen Systemen können im UEFI Secure Boot-Modus nur aktuelle Builds von Linux-Distributionen geladen werden.
Um die Sicherheitsanfälligkeit in den Distributionen zu beheben, Installer, Bootloader, Kernel-Pakete, fwupd-Firmware und Kompatibilitätsschicht müssen ebenfalls aktualisiert werden. Generieren neuer digitaler Signaturen für sie.
Benutzer müssen Installationsimages und andere Startmedien aktualisierenund laden Sie die Certificate Revocation List (dbx) in der UEFI-Firmware herunter. Bis zum DBX-Update in UEFI bleibt das System unabhängig von der Installation von Updates im Betriebssystem anfällig.
Schließlich wird das gemeldet Patchpack-Updates wurden veröffentlicht Für Debian, Ubuntu, RHEL und SUSE sowie für GRUB2 wurde eine Reihe von Patches veröffentlicht.
Es wäre gut zu klären, ob diese Schwachstellen lokal oder remote ausgenutzt werden können, wodurch sich die Dimension des Problems ändert.
Es wäre nützlicher zu wissen, wie diese Dinge gelöst werden. weil ich in meinem speziellen Fall keine Ahnung habe, wo ich anfangen soll
Vor ein oder zwei Tagen habe ich bemerkt, dass ich ein GRUB2-Update bekommen habe. Ich weiß nicht, ob es der Patch war, es war nur ein Update ... na ja ...
Sie sprechen über das Aktualisieren von Firmware, digitalen Zertifikaten, das Herunterladen der Certificate Revocation List (dbx) in der UEFI-Firmware, wo oder wie dies getan wird ...
Das heißt, als Information ist es gut, aber für einen Neuling ist es, als ob sie Mandarin sprechen.
Es ist eine konstruktive Kritik.
Guter Clickbait:
Die Sicherheitsanfälligkeit ist ein Pufferüberlauf, der damit zusammenhängt, wie GRUB2 seine Konfigurationsdatei grub.cfg analysiert. Ein Angreifer mit Administratorrechten auf dem Zielsystem kann diese Datei so ändern, dass ihr Schadcode in der UEFI-Umgebung ausgeführt wird, bevor das Betriebssystem geladen wird.
Hör auf, Leute zu erschrecken