Dacă utilizați Grub2 ca bootloader pe computer permiteți-mi să vă spun că ar trebui să îl actualizați acumbine recent Au fost dezvăluite 8 vulnerabilități în acest bootloader GRUB2 dintre care unul dintre ei este marcat drept critic.
Cel mai periculos dintre ele este cel care este catalogat cu numele de cod BootHole (CVE-2020 până la 10713). Această vulnerabilitate a fost detectată face posibilă ocolirea mecanismului de pornire securizat UEFI și instalarea de software rău intenționat fără verificare.
Particularitatea acestei vulnerabilități este că, Pentru a remedia acest lucru, nu este suficient să actualizați GRUB2, deoarece un atacator poate folosi suporturi bootabile cu o versiune vulnerabilă precedent certificat printr-o semnătură digitală. Un atacator poate compromite procesul de verificare nu numai pentru Linux, ci și pentru alte sisteme de operare, inclusiv Windows.
Și problema este că majoritatea distribuțiilor Linux folosesc un strat mic de shim pentru boot verificat, care este semnat digital de Microsoft.
Acest strat verifică GRUB2 cu propriul certificat, permițând dezvoltatorilor de distribuție să nu certifice fiecare kernel GRUB și să actualizeze Microsoft.
Vulnerabilitatea permite, la schimbarea conținutului grub.cfg, realizați executarea codului dvs. în etapa după verificarea cu succes a shim, dar înainte de încărcarea sistemului de operare, încadrându-se în lanțul de încredere atunci când Secure Boot este activ și capătă control Total despre procesul de încărcare suplimentar, inclusiv pornirea unui alt sistem de operare, modificarea componentelor sistemului de operare și ocolirea protecției împotriva accidentelor.
Vulnerabilitatea este cauzată de o depășire a bufferului care poate fi exploatat pentru a executa cod arbitrar în timpul procesului de descărcare. Vulnerabilitatea se manifestă atunci când se analizează conținutul fișierului de configurare grub.cfg, care se află de obicei pe o partiție ESP (EFI System Partition) și poate fi editată de un atacator cu drepturi de administrator, fără a încălca integritatea executabilelor semnate shim și GRUB2.
Din greșeală în codul parserului de configurare, gestionarul de erori de analiză fatal YY_FATAL_ERROR a arătat doar un avertisment, dar nu a terminat programul. Pericolul vulnerabilității este redus de necesitatea accesului privilegiat la sistem; cu toate acestea, problema poate fi necesară pentru implementarea rootkit-urilor ascunse în prezența accesului fizic la mașină (dacă este posibil să porniți de pe suportul media).
Dintre celelalte vulnerabilități care au fost găsite:
- CVE-2020-14308: Depășirea bufferului din cauza dimensiunii zonei de memorie alocată care nu a fost verificată în grub_malloc.
- CVE-2020-14309: depășire întreagă în grub_squash_read_symlink, ceea ce poate face ca datele să fie scrise în afara bufferului alocat.
- CVE-2020-14310: depășire întreagă în read_section_from_string, care poate face ca datele să fie scrise în afara bufferului alocat.
- CVE-2020-14311: depășire de număr întreg în grub_ext2_read_link, care poate provoca scrierea datelor în afara bufferului alocat.
- CVE-2020-15705: permite bootarea directă a nucleelor nesemnate în modul de boot securizat fără un strat intermediar intercalat.
- CVE-2020-15706: acces la o zonă de memorie deja eliberată (utilizare-după-liberă) la întreruperea unei funcții în timpul rulării.
- CVE-2020-15707: depășire de număr întreg în handlerul dimensiunii initrd.
soluţii
Deși nu toate sunt pierdute, de atunci, Pentru a rezolva această problemă, trebuie doar să actualizați lista certificatelor revocate (dbx, UEFI Revocation List) pe sistem, dar în acest caz, capacitatea de a utiliza suporturi de instalare vechi cu Linux se va pierde.
Unii producători de hardware au inclus deja o listă actualizată de certificate revocate în firmware-ul dvs.; Pe astfel de sisteme, în modul UEFI Secure Boot, pot fi încărcate numai versiuni actualizate de distribuții Linux.
Pentru a remedia vulnerabilitatea în distribuții, instalatorii, bootloaderii, pachetele de nucleu, firmware-ul fwupd și stratul de compatibilitate vor trebui, de asemenea, să fie actualizate, generând noi semnături digitale pentru ei.
Utilizatorii vor trebui să actualizeze imaginile de instalare și alte suporturi de încărcareși descărcați lista de revocare a certificatului (dbx) în firmware-ul UEFI. Până la actualizarea dbx în UEFI, sistemul rămâne vulnerabil indiferent de instalarea actualizărilor în sistemul de operare.
În cele din urmă se raportează că actualizările pachetului de patch-uri au fost lansate pentru Debian, Ubuntu, RHEL și SUSE, precum și pentru GRUB2 au fost lansate un set de patch-uri.
Ar fi bine să clarificăm dacă aceste vulnerabilități pot fi exploatate local sau de la distanță, ceea ce schimbă dimensiunea problemei.
Ar fi mai util să știm cum se rezolvă aceste lucruri. pentru că, în cazul meu particular, habar n-am de unde să încep
Acum o zi sau două am observat că am primit o actualizare GRUB2, nu știu dacă a fost patch-ul, a fost doar o actualizare ... oricum ...
Vorbesc despre actualizarea firmware-ului, certificatelor digitale, descărcării Listei de revocare a certificatelor (dbx) în firmware-ul UEFI, unde sau cum se face acest lucru ...
Adică, ca informație este bună, dar pentru un începător este ca și cum ar vorbi chineza mandarină.
Este o critică constructivă.
Clickbait bun:
Vulnerabilitatea este o depășire a bufferului legată de modul în care GRUB2 își analizează fișierul de configurare grub.cfg. Un atacator cu privilegii de administrator pe sistemul vizat poate modifica acest fișier astfel încât codul lor rău intenționat să fie executat în mediul UEFI înainte ca sistemul de operare să fie încărcat.
Nu mai speria oamenii