neprihlásený Streda, 21. apríla 2021, dnes má meniny Ervín
V linuxovom bootloaderi Grub viacero zraniteľností, umožňujú obísť Secure Boot

Značky: bezpečnosťLinux

DSL.sk, 4.3.2021


V štandardnom bootloaderi využívanom linuxovými distribúciami Grub sa nachádza viacero bezpečnostných zraniteľností, pričom zrejme viaceré z nich umožňujú pri bootovaní chránenom technológiou Secure Boot spustiť ľubovoľný kód a tým obísť ochranu Secure Boot.

Na zraniteľnosti upozornili vývojári Grubu, opravené sú celkom 117 záplatami.

Bezpečnosť Grubu bola podľa oznámenia detailne preverovaná po minuloročnom objavení zraniteľnosti CVE-2020-10713 s označením BootHole, ktorá tiež umožňovala obísť ochranu Secure Boot.

Distribúcie aktuálne upozorňujú najmä na novú zraniteľnosť CVE-2020-14372 umožňujúcu pomocou acpi príkazu nastaviť ľubovoľné ACPI tabuľky a následne spustiť ľubovoľný aj nepodpísaný kód. Potrebný je k tomu fyzický prístup alebo root prístup.

UEFI Secure Boot pri štarte počítača overuje kryptograficky zabezpečený podpis spúšťaného kódu a dovoľuje spustenie iba autorizovaného kódu. Cieľom tejto technológie je tak najmä zabrániť škodlivému kódu alebo útočnikovi trvalo infikovať počítač a operačný systém. Secure Boot overuje spúšťaný bootloader a ten by zase mal spustiť iba podpísané jadro operačného systému a to by malo prípadne načítavať iba podpísané moduly.

Zraniteľnosti v Grube nemusia znižovať bezpečnosť Secure Boot len na počítačoch s už inštalovaným Linuxom a potenciálne umožňujú použiť zraniteľné verzie Grubu na obídenie Secure Boot aj na iných počítačoch používajúcich napríklad len Windows, keď na podpisovanie Grubu sa typicky využíva štandardná Microsoft UEFI CA.

Linuxové distribúcie a dalšie projekty používajúce Grub musia samozrejme vydať opravené verzie bootloadera. Staršie verzie Grubu by ale stále umožňovali obídenie Secure Boot a tieto tak musia byť mechanizmami Secure Boot zneplatnené. To sa bude realizovať napríklad v aktualizovaných firmvéroch a cez aktualizácie Windows Update.

Linuxová komunita a Microsoft zároveň vyvinuli nové riešenie pre efektívnejšie zneplatňovanie starších verzií s označením UEFI SBAT, Secure Boot Advanced Targeting.


      Zdieľaj na Twitteri



Najnovšie články:

Apple uviedla iMac s vlastným ARM procesorom
Analytici očakávajú výrazné zdraženie RAM pamätí
Tesco pridalo nekonečný hlasový predplatený balíček
Video prvého letu helikoptéry na Marse
Kúpa ARM-u Nvidiou bude preverená kvôli národnej bezpečnosti
Helikoptéra na Marse prvýkrát úspešne vzlietla
3G sieť vypne tento rok aj tretí český operátor T-Mobile
Telekom zvýšil počet podporovaných 5G smartfónov
Prvý let helikoptéry na Marse sa má uskutočniť v pondelok
Helikoptéra na Marse roztočila vrtule, nakoniec pomocou iného riešenia


Diskusia:
                               
 

117 záplat... to je ako napichnúť na bicykli ježka a brzdiť priekazne jeho pasírovaním kolesom o blatník.
Odpovedať Známka: -3.0 Hodnotiť:
 

Je to len číslo....
Odpovedať Známka: 5.4 Hodnotiť:
 

Ach, tento dojebany windowsacky bootloader. Zle, zle, zle...
Odpovedať Známka: -5.7 Hodnotiť:
 

sice nie som expert, ale vzdy som vnimal grub ako front-end k secure boot. podla mna je toto problem skor secure bootu nez grubu.
Odpovedať Známka: 5.0 Hodnotiť:
 

Systemd-boot namiesto grubu a nemusel by byť problém.
Odpovedať Známka: 6.4 Hodnotiť:
 

Tym nenabootujem Windows ... kokotina
Odpovedať Známka: -4.3 Hodnotiť:
 

A preco Windows mas bootovat grubom?
Odpovedať Hodnotiť:
 

Ako inak budeš mať na jednom zariadení spustiteľné rôzne operačné systémy?
Odpovedať Hodnotiť:
 

Viacero položiek v EFI.
Odpovedať Hodnotiť:
 

Veď ale keď niekto sám sebe vydá kryptograficky zabezpečený podpis, celá vec je už v gescii sféry kategorického imperatívu a tam ani secure boot priekazne žiadnymi kompetenciami neoplýva.
Odpovedať Známka: -4.0 Hodnotiť:
 

Hlavne ze google plati fulltime dvoch sasov co maju mat na starosti security okolo linuxu a toto im na totalku uslo. Smutne.
Odpovedať Známka: -5.8 Hodnotiť:
 

ti dvaja sasovia su tam na to aby tam mergovali vysoko sofistikovane chyby co im chlebodarcovia daju ..
Odpovedať Známka: -2.0 Hodnotiť:
 

Aj tebe uslo posledne slovo:

dsl.sk/article.php?article=24780
Google bude platiť dvoch vývojárov pracujúcich len na bezpečnosti linuxového JADRA

Odpovedať Známka: 10.0 Hodnotiť:
 

Pekne, a kolko rokov to tam bolo skovane?

V takomto zlom stave bol Windows mozno v 95tom.

A ano, mozte si pozriet statistiky - najhorsie je na tom Debian a Android ..

To je ten vas open source, kde toto by sa nikdy nemohlo stat ...

Odpovedať Známka: -6.6 Hodnotiť:
 

Najviac ma na tvojom prispevku vyrusuje, ze toto pisu ludia, ktori ani nevedia vytvorit odkaz na ploche a musia si otvarat support ticket. Mas plnu hubu security, Debianu a Androidu, ale v zivote si to ani nevidel a tvoj vrchol IT je vytvorenie kontigencnej tabulky.
Odpovedať Známka: 5.9 Hodnotiť:
 

Fundamentaly rozdiel medzi produktami Microsoft a open source komunitou (hlavne okolo jadra a pod. veci) nie je v tom, ze by jedna strana kurvila veci menej ako druha, ale v tom, ze ked sa na to prijde, tak sa na to Microsoft vyjebe na dalsich par rokov a open source komunita to opravi do tyzdna.

Chyby robime vsetci, ale na rozdiel od tvojeho uzasneho Microsoftu nie vsetci na ne jebeme, lebo nie pre vsetkych je primarnou motivaciou zisk.
Odpovedať Známka: 8.4 Hodnotiť:
 

áno, a pánko nám aj ukáže koľko netriviálnych fixov spravil v akomkoľvek open source projekte? Alebo ešte lepšie v linux kerneli?

aha, aha hneď mi bude potom jasné ...

Odpovedať Známka: -8.5 Hodnotiť:
 

Vies vobec co je kernel alebo si si to vvygooglil? :)
Odpovedať Známka: 8.3 Hodnotiť:
 

ty mas 13 rokov? inak si neviem vysvetlit tvoje komentare
Odpovedať Známka: 6.7 Hodnotiť:
 

Panko o com mele?
Odpovedať Hodnotiť:
 

A nie je to do tyzdna len lebo mesiáš bezpečnosti na záplate už par rokov sedel a čakal na svoj okamih slávy?
Odpovedať Známka: -2.0 Hodnotiť:
 

install macos
Odpovedať Známka: -8.7 Hodnotiť:
 

install makos z makos.sk
Odpovedať Známka: 5.6 Hodnotiť:
 

smrt linuxu
Odpovedať Známka: -0.3 Hodnotiť:
 

...v dohladnej dobe nastastie nehrozi.
Odpovedať Známka: 8.9 Hodnotiť:
 

Smrt tebe, tvojej rodine, tvojim rodicom. Okamzitu smrt. Predtym ta este rozstvrtit a vystavit na namesti. Cele to vysielat v prime-time v TV a na nete.
Odpovedať Známka: -9.1 Hodnotiť:
 

Dobre tomu rozumiem, že secure boot k správnej funkcii potrebuje spoluprácu boot loadera, takže je na zodpovednosti hackerov, aby používali boot loader, ktorý secure boot neobchádza?

Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár