neprihlásený Štvrtok, 1. októbra 2020, dnes má meniny Arnold
Opravy zraniteľnosti v Grube spôsobujú problémy viacerým distribúciám

Značky: bezpečnosťLinux

DSL.sk, 3.8.2020


Opravy zraniteľnosti CVE-2020-10713 v štandardnom bootloaderi využívanom linuxovými distribúciami Grub vydané minulý týždeň spôsobujú problémy vo viacerých najpopulárnejších distribúciách.

Zraniteľnosť CVE-2020-10713 s označením BootHole zverejnená minulú stredu je chybou typu pretečenia buffera na heape. Nachádza sa v spracovaní konfiguračného súboru grub.cfg a útočník ju môže zneužiť podvrhnutím upraveného konfiguračného súboru.

Zraniteľnosť umožňuje spustiť ľubovoľný kód a umožňuje tak obísť ochranu bootovania Secure Boot, detailne sme o nej informovali v tomto článku.

UEFI Secure Boot pri štarte počítača overuje kryptograficky zabezpečený podpis spúšťaného kódu a dovoľuje spustenie iba autorizovaného kódu. Cieľom tejto technológie je tak najmä zabrániť škodlivému kódu alebo útočnikovi trvalo infikovať počítač a operačný systém. Secure Boot overuje spúšťaný bootloader a ten by zase mal spustiť iba podpísané jadro operačného systému a to by malo prípadne načítavať iba podpísané moduly.

Jednotlivé linuxové distribúcie minulý týždeň sprístupili aktualizácie Grubu s opravenou zraniteľnosťou BootHole, tie ale spôsobili alebo spôsobujú problémy s bootovaním vo viacerých najpopulárnejších linuxových distribúciách, upozornil Zdnet.

Problémy sa vyskytujú v Red Hat Enterprise Linux, príbuzných distribúciách CentOS a Fedora ale tiež v distribúciách Debian a Ubuntu. Presné technické príčiny problémov a okolnosti za ktorých sa vyskytujú nie sú jasné, nainštalovanie aktualizácií ale vo viacerých prípadoch vyústilo do nebootovateľných systémov.

Zraniteľnosť BootHole neznižuje bezpečnosť Secure Boot len na počítačoch s už inštalovaným Linuxom a umožňuje použiť zraniteľné verzie Grubu na obídenie Secure Boot aj na iných počítačoch používajúcich napríklad len Windows, keď na podpisovanie Grubu sa typicky využíva štandardná Microsoft UEFI CA.

Aktualizácie Grubu tak problém plne nevyriešia, keď staršie verzie Grubu by stále umožňovali obídenie Secure Boot. Tieto tak musia byť mechanizmami Secure Boot zneplatnené, čo sa bude realizovať napríklad v aktualizovaných firmvéroch a cez aktualizácie Windows Update.


      Zdieľaj na Twitteri



Najnovšie články:

Microsoft zlepšuje podporu ARM, pridá emuláciu 64-bitových aplikácií
Uniknutý zdrojový kód je naozaj Windows XP, podarilo sa ho skompilovať
Orange pri včerajšom výpadku nastavoval cudzie DNS servery
Z ISS uniká vzduch z ruského modulu, kde sa pri testoch zdržiavala posádka
Vydaná beta Fedory 33, prešla na Btrfs
Orange má zase problémy s Internetom
Prvý let SpaceX s väčšou posádkou na konci októbra
Známy informatik predpovedá Windows postavený na Linuxe
NASA stanovila dátum odoberania vzorky z asteroidu
LineageOS vydaný pre skoro všetky Pixely


Diskusia:
                               
 

Aj tak väčšina linuxových distribúcií nemá podpísané kľúče a na inštaláciu vyžaduje vypnutie secureboot v BIOSe. Takže trpia tým fakt len najpopulárnejšie edície, ktoré to majú. Jedine, že by aktualizovaný grub znefunkčnil aj bootovanie systémov bez secureboot. To sa nepíše.

Ak chce niektorá distribúcia mať kryptograficky podpísaný kľúč, musí za to zaplatiť?
Odpovedať Známka: 8.3 Hodnotiť:
 

Všetky kryptografické úkony sú hradené priekazne výhradne z členských poplatkov fanklubu chronickej paranoie.
Odpovedať Známka: -3.6 Hodnotiť:
 

Nie priamo Microsoftu, ale musi mat EV Code Sign certifikat od niektorych CA, ktore s Microsoftom spolupracuju. To zadarmo nie je.

Pozri: https://dopice.sk/oGt
Odpovedať Známka: 10.0 Hodnotiť:
 

Prosím vás nepoužívajte dopice.sk nefunguje zo zahraničia
Odpovedať Hodnotiť:
 

Cely ten secureboot je kravina s ktorou su len problemy... Rovnako ako sifrovanie disku... Ked chce niekto mat najake veci zabezpecene tak nech si spravi cez napr. truecrypt subor sifrovany ktory si pripoji ako disk ked nieco tam potrebuje riesit... Naco secure boot ? A nac o sifrovat cely system a subory systemove ? Alebo ked riesi nieco tajne, nech sa pripoji cez SSH niekdam het kde to ma zabezpecene a nech to riesi tak...
Odpovedať Známka: -5.2 Hodnotiť:
 

A tam to bude mat zabezpecene prave cez secure boot. Cize len odsunies problem o jeden hop dalej.
Odpovedať Známka: 4.0 Hodnotiť:
 

podla mna to myslel ako moznost mat na vyber, vetsina nepotrebuje riesit secure veci, tak preco by mala mat vetsina zajebany notas alebo comp secure picovinami? A kto chce riesit secure veci, nech si to potom odjebe na hopa lopa ssh, true crypt a pod. neee ?
Odpovedať Známka: -0.9 Hodnotiť:
 

Bez dostupných raw cpu je riešiť obchádzanie nejakých doplnkových secure prkotín priekazne zbytočnné.
Odpovedať Známka: -0.8 Hodnotiť:
 

Dal som ti plusko za spravny postreh
Odpovedať Hodnotiť:
 

ty si kokot alebo picus. Neni ti pomoci kamarat.
Odpovedať Známka: -5.0 Hodnotiť:
 

Bohuial v pripade apple je sifrovanie disku nevyhnutnost. Bez neho je otazka par minut zmenit uzivatelske heslo a dostat sa do systemu.
Ked som to prvy krat videl nechapal som a neveril som, ze to ide tak lahko. No a fungovalo to tak lahko.
Apple je plny kontrastov. Niektore veci ma super, ine uplne zle. Toto je jedna z nich.
Odpovedať Známka: 3.3 Hodnotiť:
 

Nie som fanusik apple, ale zrovna tymto trpia vsetky systemy ;) Principialne, ked sa vie niekto dostat na disk, tak aky je rozdiel medzi tym a situaciou kedy sa dostane aj do systemu? Skoro ziaden.
Odpovedať Známka: 10.0 Hodnotiť:
 

Netrpia tym vsetky systemy.
Linux a ani Windows ti neponuka taky elegantny a jednoduchy sposob na reset hesla.
V pripade macu sa nepotrebujes dostat na disk. Restart systemu, spravna kombinacia klaves, vyber spravnej polozky z menu. Zadanie noveho hesla a vybavene. S novym heslom sa prihlasis a fungujes akoby sa nic nestalo. Ziadne hackovanie, kontrolne otazky a neviem co.
Ostatne OS o tomto mozu len snivat. Co-to som uz poadminoval a tak lahko som sa nedostal do ziadneho. Preto som ostal prekvapeny.
Odpovedať Známka: 2.0 Hodnotiť:
 

Ostatne systemy ti tiez ponukaju jednoduche sposoby resetu hesla. Vo Windows bud cez chntpw alebo nahradenim utilman.exe za cmd.exe. V Linuxe nabootujes live distro, urobis chroot a ako root zmenis userovi heslo.

Odpovedať Známka: 10.0 Hodnotiť:
 

Neponukaju a na to sa snazim poukazat.
Tebou uvedene sposoby niesu oficialne podporovane vyrobcom daneho OS a su o triedu narocnejsie.
Apple to ma zabudovane v sebe, ofic. podporovane. Ziadne hackovanie s live distribuciami a utilitami tretich stran a u applu to podla ich navodu zvladne aj znacna cast BFU.
Uplne trivialne to vies urobit. Osobne to povazujem za riziko a cudujem sa, ze to v dnesnej dobe este apple ma.
Pri apple som cakal, ze to bude najtazsie zo vsetkych OS a, ze to bude bud poriadny jack alebo to vobec nepojde.
Normalne som bol vyhukany, ze ake je to easy. Na druhej strane mi to zachranilo furu casu a hlavne koleginy.

Odpovedať Hodnotiť:
 

Az ti ukradnu notebook alebo ho niekde zabudnes, este budes rad, ze si ho mal zasifrovany...
Odpovedať Známka: 10.0 Hodnotiť:
 

Ano, historia browsovania sa neda na dialku vymazat..
Odpovedať Známka: -1.1 Hodnotiť:
 

neda, na nieco si zabudol :)
Odpovedať Hodnotiť:
 

Pozri, ja davam default na kazdy novy ntb - platnovy HDD truecrypt particiu na vsetky data. S kludnym svedomim potom notebook predam a disk dam do ntfs quick formatom a nemusim stresovat, ze niekto pouzije undelete a vykope co som tam mal.
Odpovedať Známka: 6.0 Hodnotiť:
 

staci mat zapnute heslo priamo v hdd/ssd a mas data slusne chranene pred odcudzenim.
sifrovanie pokial neni hardwarove zbytocne spomaluje.
Odpovedať Známka: -5.0 Hodnotiť:
 

Nestaci, da sa to lahko obist.
Odpovedať Známka: 3.3 Hodnotiť:
 

jako?
Odpovedať Hodnotiť:
 

a tam niekam het kam sa pripojí to majú ako zabezpečiť ? bez šifrovania a ochrany kontroly pri bootovaní ??

zato že sa nejaký amatér nevie vysporiadať so securebootom a šiforvaním disku, tak je to automaticky blbosť

blbosť to je pre domáceho sledovača facebboku ale v korporátnej sfére to je nutnosť
Odpovedať Známka: 6.7 Hodnotiť:
 

Sifrovanie disku je prave naopak velmi potrebne napriklad vo velkych firmach alebo organizaciach, kde sa vyzaduje vysoky stupen zabezpecenia dat.
organizacie vacsinou vyuzivaju TPM cipy v pocitacoch + Bitlocker, ktory je vstavany v systeme a nie je potrebna nejaka treto-stranna utilita...
Mozno z perspektivy domaceho honica kukurice pri Cornhube je sifrovanie celkom zbytocne, ale to nie je jediny sposob, ako sa pocitace vyuzivaju :)
Suhlasim so secure boot - implementacia je uplne nachuja a castokrat sposobuje problemy. Navyse som kdesi parkrat cital, ze sa to da celkom v pohode obist (a toto je len dalsi sposob).
Odpovedať Známka: 6.7 Hodnotiť:
 

..a jako sa -ešte vôbec jinak, - teda používajú tie počítače ?

(okrem stalkovania danky (v dobrom myslené), Hyuuny, Chloelock, Alizee, Amouranth, Pink_Sparkle, a dalších cutesweet heských devčat, - a hraní super-komplexných, zložitých grandstrategiíí HoI, Rulers class, a pod, od Paradox_games.)

.. - teda jako sa používajú ešte totie počítače ?

..na návrhy, kconštrukcie CAD a CAM bezchybných a úspešných návrhov letadel 737 MAX ?

..alebo na poradu papalášov napr.v Bejrúte, pred 5 - 6 rokmi, (posielanie emailov, a smsiek, medzi členmi vedenia Hizballahu, Bejrútu a Libabnonu..) - čo reku s tým nákladom ~~2 ~ 3 tisic ton dusíkatých hnojív (explosivesä), čo tu zostal po tej skrachovanej, zvrakovanej starej ruskej nákladnej lodi ?

"..nechajte to zatím tam v hale, v prístave,
kdyžtak tam potom nekoho pošlite spravit poriadne bránu, zavarit, zámky.. (nech nám to nekdo (iný, cudzí) nevynáša pomaly het)
Odpovedať Hodnotiť:
 

“aktualizacia firmware” znamena update biosu? a ako sa certifikaty daju aktualizovat cez windows update? os vie menit certifikaty v biose? a posledna vec, potom zrejme by trebalo nanovo stiahnut instalacky napr windowsu podpisane novym certifikatom, akebo instalacne obrazy sa nepodpisuju? dik
Odpovedať Známka: 3.3 Hodnotiť:
 

Ano
Odpovedať Známka: 10.0 Hodnotiť:
 

Načo je dobrý secure boot ?
Tak napríklad, keď si správca IT v nejakej firme a riešiš bezpečnost seriózne. Na koncových zariadeniach, potrebuješ mať secure boot i kryptovaný disk. Lebo ako inak chceš zabezpečiť, že Ti uživateľ neprepíše admin heslo na notebooku cez linux utilitu ? Potom si môže s notebookom robiť čo chce. To je prvý krok ku kompromitácii celje firmy a to umyseľne alebo aj neúmyseľne...
Odpovedať Známka: 5.6 Hodnotiť:
 

Preformátujem disk s OS, ktorý má secureboot a admin heslo mi je potom zbytočné :)
Odpovedať Známka: -10.0 Hodnotiť:
 

no ale potom nebudeš mať na disku žiadny host-key certifikát, takže po inštalácii sa zariadenie bude tváriť ako cudzie... toto si chcel soudruhu?
...na to nepotrebuješ ani nič formátovať, ale doniesť si svoje vlastné zariadenie...
Odpovedať Známka: 8.0 Hodnotiť:
 

Jedine ak by som svoje zariadenie priekazne nemal. Certifikáty sa dajú exportovať
Odpovedať Známka: -10.0 Hodnotiť:
 

Tak ale poriadne firmy si môžu dovoliť kvalitného správcu IT, takže nemajú problém podporovať kľudne i úroveň BYOD.
Odpovedať Známka: 6.0 Hodnotiť:
 

Lahko: zasahovanie do systemu je hrube porusenie pracovnej discipliny aj s prislusnymi nasledkami. Ci uz tam je secure boot alebo nie.
Odpovedať Hodnotiť:
 

Aj mne to v sobotu zblblo, vypisalo chybu a nabehol rescue prikazovy riadok. A teraz som nevedel co spravit. Nastastie mam dva disky a omylom mam grub aj na tom druhom kde nebol aktualizovany, cize mi stacilo len nabootovat s toho druheho disku a hned po prihaseni ma cakala v ubuntu oprava, a dnes rano uz to bolo v poriadku.
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár