Bruker du Grub2? du bør oppdatere nå, siden de fant omtrent 8 sårbarheter

Darkcrizt

4 minutter

sårbarhet

Hvis du bruker Grub2 som bootloader på datamaskinen din la meg fortelle deg at du bør oppdatere den nåvel nylig 8 sårbarheter ble avslørt i denne GRUB2-opplasteren hvorav en av dem er merket som kritisk.

Den farligste av dem er den som er katalogisert med kodenavnet BootHole (CVE-2020 til 10713). Dette sikkerhetsproblemet ble oppdaget gjør det mulig å omgå UEFI Secure boot-mekanismen og installere skadelig programvare uten bekreftelse.

Det særegne ved denne sårbarheten er at, For å fikse dette er det ikke nok å oppdatere GRUB2 ettersom en angriper kan bruke oppstartsmedier med en sårbar versjon forrige sertifisert av en digital signatur. En angriper kan kompromittere bekreftelsesprosessen ikke bare for Linux, men også for andre operativsystemer, inkludert Windows.

Og problemet er at de fleste Linux-distribusjoner bruker et lite lag med shim for bekreftet oppstart, som er signert digitalt av Microsoft.

Dette laget bekrefter GRUB2 med sitt eget sertifikat, slik at distribusjonsutviklere ikke kan sertifisere hver GRUB-kjerne og oppdatering til Microsoft.

Sårbarheten tillater når du endrer innholdet i grub.cfg, oppnå utførelsen av koden din i fasen etter vellykket bekreftelse av shim, men før operativsystemet lastes, passer inn i kjeden av tillit når Secure Boot er aktiv og får kontroll Totalt om den ekstra oppstartsprosessen, inkludert oppstart av et annet operativsystem, endring av operativsystemkomponenter og omgå kollisjonsbeskyttelse.

Sårbarheten er forårsaket av bufferoverløp som kan utnyttes til å utføre vilkårlig kode under nedlastingsprosessen. Sårbarheten avsløres ved å analysere innholdet i konfigurasjonsfilen grub.cfg, som vanligvis er lokalisert på en ESP (EFI System Partition) -partisjon og kan redigeres av en angriper med administratorrettigheter, uten å krenke integriteten til den signerte shim- og GRUB2-kjørbarheten.

Ved en feil i konfigurasjonsparserkoden viste den fatale parsefeilbehandleren YY_FATAL_ERROR bare en advarsel, men avsluttet ikke programmet. Faren for sårbarhet reduseres av behovet for privilegert tilgang til systemet; Imidlertid kan problemet være nødvendig for implementering av skjulte rootkits i nærvær av fysisk tilgang til maskinen (hvis det er mulig å starte fra media).

Av de andre sårbarhetene som ble funnet:

  • CVE-2020-14308: Bufferoverløp på grunn av størrelsen på det tildelte minneområdet som ikke bekreftes i grub_malloc.
  • CVE-2020-14309: heltalloverløp i grub_squash_read_symlink, noe som kan føre til at data skrives utenfor den tildelte bufferen.
  • CVE-2020-14310: heltalloverløp i read_section_from_string, som kan føre til at data skrives utenfor den tildelte bufferen.
  • CVE-2020-14311: heltalloverløp i grub_ext2_read_link, noe som kan føre til at data skrives utenfor den tildelte bufferen.
  • CVE-2020-15705: muliggjør direkte oppstart av usignerte kjerner i sikker oppstartsmodus uten et sammenflettet mellomlag.
  • CVE-2020-15706: tilgang til et minneområde som allerede er frigjort (bruk etter-gratis) når du avbryter en funksjon i løpetid.
  • CVE-2020-15707: heltalloverløp i initrd-størrelsesbehandler.

løsninger

Selv om alt ikke er tapt, siden, for å løse dette problemet, bare oppdater listen over tilbakekalte sertifikater (dbx, UEFI Revocation List) på systemet, men i dette tilfellet vil muligheten til å bruke gamle installasjonsmedier med Linux gå tapt.

Noen maskinvareprodusenter har allerede tatt med en oppdatert liste over tilbakekalte sertifikater i fastvaren din; På slike systemer, i UEFI Secure Boot-modus, kan bare oppdaterte builds av Linux-distribusjoner lastes inn.

For å fikse sårbarheten i distribusjonene, installatører, bootloaders, kjernepakker, fwupd firmware og kompatibilitetslag må også oppdateres, generere nye digitale signaturer for dem.

Brukere må oppdatere installasjonsbilder og andre oppstartsmedier, og last ned Certificate Revocation List (dbx) i UEFI-firmware. Inntil dbx-oppdateringen i UEFI forblir systemet sårbart uansett installasjon av oppdateringer i operativsystemet.

Endelig er det rapportert at oppdateringer av oppdateringspakker er utgitt for Debian, Ubuntu, RHEL og SUSE, så vel som for GRUB2, har et sett med oppdateringer blitt utgitt.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   Fernando sa
    hace 4 år

    Det vil være greit å avklare om disse sårbarhetene kan utnyttes lokalt eller eksternt, som endrer dimensjonen til problemet.

    Svar til Fernando
  2.   Mario sa
    hace 4 år

    Det ville være mer nyttig å vite hvordan disse tingene blir løst. fordi i mitt spesielle tilfelle aner jeg ikke engang hvor jeg skal begynne
    For en dag eller to siden la jeg merke til at jeg fikk en GRUB2-oppdatering, jeg vet ikke om det var oppdateringen, det var bare en oppdatering ... uansett ...
    De snakker om oppdatering av fastvare, digitale sertifikater, nedlasting av Certificate Revocation List (dbx) i UEFI-firmware, hvor eller hvordan gjøres dette ...
    Som informasjon er det bra, men for en nybegynner er det som om de snakker mandarin-kinesisk.
    Det er en konstruktiv kritikk.

    Svar til Mario
  3.   rhinestones sa
    hace 4 år

    God Clickbait:

    Sårbarheten er et bufferoverløp relatert til hvordan GRUB2 parser konfigurasjonsfilen for grub.cfg. En angriper med administratorrettigheter på det målrettede systemet kan endre denne filen slik at den ondsinnede koden deres kjøres i UEFI-miljøet før operativsystemet lastes inn.

    Slutt å skremme folk

    Svar på pedrete