Se stai usando Grub2 come bootloader sul tuo computer lascia che ti dica che dovresti aggiornarlo orabene di recente Sono state rilevate 8 vulnerabilità in questo bootloader GRUB2 di cui uno è contrassegnato come critico.
Il più pericoloso di questi è quello catalogato con il nome in codice BootHole (CVE-2020 a 10713). Questa vulnerabilità rilevata rende possibile aggirare il meccanismo di avvio protetto UEFI e installare software dannoso senza verifica.
La particolarità di questa vulnerabilità è che, Per risolverlo, non è sufficiente aggiornare GRUB2 poiché un utente malintenzionato può utilizzare un supporto di avvio con una versione vulnerabile precedente certificato da una firma digitale. Un utente malintenzionato può compromettere il processo di verifica non solo per Linux, ma anche per altri sistemi operativi, incluso Windows.
E il problema è quello la maggior parte delle distribuzioni Linux usa un piccolo strato di shim per l'avvio verificato, firmato digitalmente da Microsoft.
Questo livello verifica GRUB2 con il proprio certificato, consentendo agli sviluppatori della distribuzione di non certificare ogni kernel GRUB e aggiornare a Microsoft.
La vulnerabilità consente, quando si modifica il contenuto di grub.cfg, ottenere l'esecuzione del codice nella fase dopo la corretta verifica dello shim, ma prima del caricamento del sistema operativo, inserirsi nella catena di fiducia quando Secure Boot è attivo e sta acquisendo il controllo Totale sul processo di avvio aggiuntivo, incluso l'avvio di un altro sistema operativo, la modifica dei componenti del sistema operativo e l'esclusione della protezione da crash.
La vulnerabilità è causata da un overflow del buffer che può essere sfruttato per eseguire codice arbitrario durante il processo di download. La vulnerabilità si manifesta durante l'analisi del contenuto del file di configurazione grub.cfg, che di solito si trova su una partizione ESP (EFI System Partition) e può essere modificato da un utente malintenzionato con diritti di amministratore, senza violare l'integrità dello shim firmato e degli eseguibili GRUB2.
Per errore nel codice del parser di configurazione, il gestore degli errori di analisi irreversibile YY_FATAL_ERROR ha mostrato solo un avviso, ma non ha terminato il programma. Il pericolo di vulnerabilità è ridotto dalla necessità di un accesso privilegiato al sistema; tuttavia, il problema potrebbe essere necessario per l'implementazione di rootkit nascosti in presenza di accesso fisico alla macchina (se è possibile eseguire l'avvio dal suo supporto).
Delle altre vulnerabilità rilevate:
- CVE-2020-14308: Overflow del buffer dovuto alla mancata verifica della dimensione dell'area di memoria allocata in grub_malloc.
- CVE-2020-14309: overflow di interi in grub_squash_read_symlink, che può causare la scrittura dei dati al di fuori del buffer allocato.
- CVE-2020-14310: overflow di numeri interi in read_section_from_string, che può causare la scrittura dei dati al di fuori del buffer allocato.
- CVE-2020-14311: overflow di interi in grub_ext2_read_link, che può causare la scrittura dei dati al di fuori del buffer allocato.
- CVE-2020-15705: consente l'avvio diretto di kernel non firmati in modalità di avvio sicuro senza uno strato intermedio interleaved.
- CVE-2020-15706: accesso a un'area di memoria già liberata (use-after-free) quando si interrompe una funzione in runtime.
- CVE-2020-15707: overflow di interi nel gestore delle dimensioni di initrd.
soluzioni
Anche se non tutto è perduto, da allora, risolvere questo problema, aggiorna solo l'elenco dei certificati revocati (dbx, UEFI Revocation List) sul sistema, ma in questo caso, la capacità di utilizzare il vecchio supporto di installazione con Linux andrà persa.
Alcuni produttori di hardware hanno già incluso un elenco aggiornato dei certificati revocati nel tuo firmware; Su tali sistemi, in modalità UEFI Secure Boot, è possibile caricare solo build aggiornate di distribuzioni Linux.
Per correggere la vulnerabilità nelle distribuzioni, anche i programmi di installazione, i bootloader, i pacchetti del kernel, il firmware fwupd e il livello di compatibilità dovranno essere aggiornati, generare nuove firme digitali per loro.
Gli utenti dovranno aggiornare le immagini di installazione e altri supporti di avvioe scarica l'elenco di revoche di certificati (dbx) nel firmware UEFI. Fino all'aggiornamento del dbx in UEFI, il sistema rimane vulnerabile indipendentemente dall'installazione degli aggiornamenti nel sistema operativo.
Infine è stato riferito che Sono stati rilasciati aggiornamenti del patch pack per Debian, Ubuntu, RHEL e SUSE, così come per GRUB2 è stata rilasciata una serie di patch.
Sarebbe bene chiarire se queste vulnerabilità possono essere sfruttate localmente o in remoto, ciò cambia la dimensione del problema.
Sarebbe più utile sapere come si risolvono queste cose. perché nel mio caso particolare non ho idea nemmeno da dove cominciare
Un giorno o due fa ho notato che ho ricevuto un aggiornamento di GRUB2, non so se fosse la patch, era solo un aggiornamento ... comunque ...
Parlano di aggiornamento del firmware, certificati digitali, download dell'elenco di revoche di certificati (dbx) nel firmware UEFI, dove o come viene fatto ...
Cioè, come informazione è buona, ma per un principiante è come se parlassero in cinese mandarino.
È una critica costruttiva.
Buon clickbait:
La vulnerabilità è un overflow del buffer relativo al modo in cui GRUB2 analizza il proprio file di configurazione grub.cfg. Un utente malintenzionato con privilegi di amministratore sul sistema di destinazione può modificare questo file in modo che il proprio codice dannoso venga eseguito nell'ambiente UEFI prima del caricamento del sistema operativo.
Smettila di spaventare le persone