Als u Grub2 als je bootloader op je computer laat me je vertellen dat je het nu moet updatengoed recent Er zijn 8 kwetsbaarheden onthuld in deze GRUB2 bootloader waarvan een van hen is gemarkeerd als kritiek.
Het gevaarlijkste van hen is degene die is gecatalogiseerd met de codenaam Bootgat (CVE-2020 tot 10713). Deze kwetsbaarheid is gedetecteerd maakt het mogelijk om het UEFI Secure-opstartmechanisme te omzeilen en kwaadaardige software te installeren zonder verificatie.
De eigenaardigheid van deze kwetsbaarheid is dat, Om het probleem op te lossen, is het niet voldoende om GRUB2 bij te werken, aangezien een aanvaller opstartbare media kan gebruiken met een kwetsbare versie vorig gecertificeerd door een digitale handtekening Een aanvaller kan het verificatieproces niet alleen voor Linux, maar ook voor andere besturingssystemen, waaronder Windows, in gevaar brengen.
En het probleem is dat de meeste Linux-distributies gebruiken een klein laagje shim voor geverifieerde boot, die digitaal is ondertekend door Microsoft.
Deze laag verifieert GRUB2 met zijn eigen certificaat, waardoor distributieontwikkelaars niet elke GRUB-kernel kunnen certificeren en updaten naar Microsoft.
De kwetsbaarheid maakt het mogelijk om de inhoud van grub.cfg te wijzigen, bereik de uitvoering van uw code in de fase na de succesvolle verificatie van shim, maar voordat het besturingssysteem wordt geladen, passend in de vertrouwensketen wanneer Secure Boot actief is en controle krijgt Totaal over het extra opstartproces, inclusief het opstarten van een ander besturingssysteem, het wijzigen van componenten van het besturingssysteem en het omzeilen van crashbescherming.
De kwetsbaarheid wordt veroorzaakt door een bufferoverloop die kan worden misbruikt om willekeurige code uit te voeren tijdens het downloadproces. De kwetsbaarheid manifesteert zich bij het analyseren van de inhoud van het configuratiebestand grub.cfg, die zich meestal op een ESP-partitie (EFI-systeempartitie) bevindt en kan worden bewerkt door een aanvaller met beheerdersrechten, zonder de integriteit van de ondertekende shim- en GRUB2-uitvoerbare bestanden te schenden.
Per ongeluk in de configuratie-parsercode toonde de fatale parser-fout-handler YY_FATAL_ERROR alleen een waarschuwing, maar beëindigde het programma niet. Het gevaar van kwetsbaarheid wordt verminderd door de behoefte aan geprivilegieerde toegang tot het systeem; Het probleem kan echter nodig zijn voor de implementatie van verborgen rootkits in aanwezigheid van fysieke toegang tot de machine (als het mogelijk is om vanaf de media op te starten).
Van de andere gevonden kwetsbaarheden:
- CVE-2020-14308: Bufferoverloop doordat de grootte van het toegewezen geheugengebied niet wordt geverifieerd in grub_malloc.
- CVE-2020-14309: integer-overflow in grub_squash_read_symlink, waardoor gegevens buiten de toegewezen buffer kunnen worden geschreven.
- CVE-2020-14310: integer-overflow in read_section_from_string, waardoor gegevens buiten de toegewezen buffer kunnen worden geschreven.
- CVE-2020-14311: integer-overflow in grub_ext2_read_link, waardoor gegevens buiten de toegewezen buffer kunnen worden geschreven.
- CVE-2020-15705: maakt direct opstarten mogelijk van niet-ondertekende kernels in veilige opstartmodus zonder een tussenlaag met tussenlagen.
- CVE-2020-15706: toegang tot een geheugengebied dat al vrij is (use-after-free) bij het afbreken van een functie tijdens runtime.
- CVE-2020-15707: integer overflow in initrd size handler.
oplossingen
Hoewel niet alles verloren is, sinds, om dit probleem op te lossen, alleen de lijst met ingetrokken certificaten bijwerken (dbx, UEFI Revocation List) op het systeem, maar in dit geval gaat de mogelijkheid om oude installatiemedia met Linux te gebruiken verloren.
Sommige hardwarefabrikanten hebben al een bijgewerkte lijst met ingetrokken certificaten toegevoegd in uw firmware; Op dergelijke systemen kunnen in de UEFI Secure Boot-modus alleen up-to-date builds van Linux-distributies worden geladen.
Om de kwetsbaarheid in de distributies op te lossen, installatieprogramma's, bootloaders, kernelpakketten, fwupd-firmware en compatibiliteitslaag moeten ook worden bijgewerkt, het genereren van nieuwe digitale handtekeningen voor hen.
Gebruikers moeten installatie-images en andere opstartmedia bijwerkenen download de Certificate Revocation List (dbx) in de UEFI-firmware. Tot de dbx-update in UEFI blijft het systeem kwetsbaar, ongeacht de installatie van updates in het besturingssysteem.
Ten slotte is gemeld dat patch pack-updates zijn vrijgegeven voor Debian, Ubuntu, RHEL en SUSE, evenals voor GRUB2 is een reeks patches uitgebracht.
Het zou goed zijn om duidelijk te maken of deze kwetsbaarheden lokaal of op afstand kunnen worden misbruikt, waardoor de dimensie van het probleem verandert.
Het zou nuttiger zijn om te weten hoe deze dingen worden opgelost. want in mijn specifieke geval heb ik zelfs geen idee waar ik moet beginnen
Een dag of twee geleden merkte ik dat ik een GRUB2-update kreeg, ik weet niet of het de patch was, het was maar een update ... hoe dan ook ...
Ze praten over het updaten van firmware, digitale certificaten, het downloaden van de Certificate Revocation List (dbx) in de UEFI-firmware, waar en hoe wordt dit gedaan ...
Dat wil zeggen, als informatie is het goed, maar voor een nieuweling is het alsof ze Mandarijn Chinees spreken.
Het is een opbouwende kritiek.
Goed Clickbait:
De kwetsbaarheid is een bufferoverloop die verband houdt met hoe GRUB2 zijn grub.cfg-configuratiebestand parseert. Een aanvaller met beheerdersrechten op het beoogde systeem kan dit bestand wijzigen zodat hun schadelijke code wordt uitgevoerd in de UEFI-omgeving voordat het besturingssysteem wordt geladen.
Stop met mensen bang te maken