Opravy zraniteľnosti v Grube spôsobujú problémy viacerým distribúciám

Značky: bezpečnosťLinux

DSL.sk, 3.8.2020

Opravy zraniteľnosti CVE-2020-10713 v štandardnom bootloaderi využívanom linuxovými distribúciami Grub vydané minulý týždeň spôsobujú problémy vo viacerých najpopulárnejších distribúciách.

Zraniteľnosť CVE-2020-10713 s označením BootHole zverejnená minulú stredu je chybou typu pretečenia buffera na heape. Nachádza sa v spracovaní konfiguračného súboru grub.cfg a útočník ju môže zneužiť podvrhnutím upraveného konfiguračného súboru.

Zraniteľnosť umožňuje spustiť ľubovoľný kód a umožňuje tak obísť ochranu bootovania Secure Boot, detailne sme o nej informovali v tomto článku.

UEFI Secure Boot pri štarte počítača overuje kryptograficky zabezpečený podpis spúšťaného kódu a dovoľuje spustenie iba autorizovaného kódu. Cieľom tejto technológie je tak najmä zabrániť škodlivému kódu alebo útočnikovi trvalo infikovať počítač a operačný systém. Secure Boot overuje spúšťaný bootloader a ten by zase mal spustiť iba podpísané jadro operačného systému a to by malo prípadne načítavať iba podpísané moduly.

Jednotlivé linuxové distribúcie minulý týždeň sprístupili aktualizácie Grubu s opravenou zraniteľnosťou BootHole, tie ale spôsobili alebo spôsobujú problémy s bootovaním vo viacerých najpopulárnejších linuxových distribúciách, upozornil Zdnet.

Problémy sa vyskytujú v Red Hat Enterprise Linux, príbuzných distribúciách CentOS a Fedora ale tiež v distribúciách Debian a Ubuntu. Presné technické príčiny problémov a okolnosti za ktorých sa vyskytujú nie sú jasné, nainštalovanie aktualizácií ale vo viacerých prípadoch vyústilo do nebootovateľných systémov.

Zraniteľnosť BootHole neznižuje bezpečnosť Secure Boot len na počítačoch s už inštalovaným Linuxom a umožňuje použiť zraniteľné verzie Grubu na obídenie Secure Boot aj na iných počítačoch používajúcich napríklad len Windows, keď na podpisovanie Grubu sa typicky využíva štandardná Microsoft UEFI CA.

Aktualizácie Grubu tak problém plne nevyriešia, keď staršie verzie Grubu by stále umožňovali obídenie Secure Boot. Tieto tak musia byť mechanizmami Secure Boot zneplatnené, čo sa bude realizovať napríklad v aktualizovaných firmvéroch a cez aktualizácie Windows Update.




Najnovšie články:



Diskusia:

SecureBoot len niekde Od: monopol | Pridané: 3.8.2020 10:01 Aj tak väčšina linuxových distribúcií nemá podpísané kľúče a na inštaláciu vyžaduje vypnutie secureboot v BIOSe. Takže trpia tým fakt len najpopulárnejšie edície, ktoré to majú. Jedine, že by aktualizovaný grub znefunkčnil aj bootovanie systémov bez secureboot. To sa nepíše. Ak chce niektorá distribúcia mať kryptograficky podpísaný kľúč, musí za to zaplatiť? Odpovedať Známka: 8.3 Hodnotiť:

ultraradikalny empaticizmus Od: syntaxterrorXXX,. X | Pridané: 3.8.2020 10:27 Všetky kryptografické úkony sú hradené priekazne výhradne z členských poplatkov fanklubu chronickej paranoie. Odpovedať Známka: -3.6 Hodnotiť:

Re: SecureBoot len niekde Od: qwertyuiop1 | Pridané: 3.8.2020 18:46 Nie priamo Microsoftu, ale musi mat EV Code Sign certifikat od niektorych CA, ktore s Microsoftom spolupracuju. To zadarmo nie je. Pozri: https://dopice.sk/oGt Odpovedať Známka: 10.0 Hodnotiť:

Re: SecureBoot len niekde Od: 0dee | Pridané: 5.8.2020 7:42 Prosím vás nepoužívajte dopice.sk nefunguje zo zahraničia Odpovedať Hodnotiť:

secureboot Od: Jerry19 | Pridané: 3.8.2020 10:14 Cely ten secureboot je kravina s ktorou su len problemy... Rovnako ako sifrovanie disku... Ked chce niekto mat najake veci zabezpecene tak nech si spravi cez napr. truecrypt subor sifrovany ktory si pripoji ako disk ked nieco tam potrebuje riesit... Naco secure boot ? A nac o sifrovat cely system a subory systemove ? Alebo ked riesi nieco tajne, nech sa pripoji cez SSH niekdam het kde to ma zabezpecene a nech to riesi tak... Odpovedať Známka: -5.2 Hodnotiť:

Re: secureboot Od: does_it_matter | Pridané: 3.8.2020 10:35 A tam to bude mat zabezpecene prave cez secure boot. Cize len odsunies problem o jeden hop dalej. Odpovedať Známka: 4.0 Hodnotiť:

Re: secureboot Od: jalala | Pridané: 3.8.2020 10:59 podla mna to myslel ako moznost mat na vyber, vetsina nepotrebuje riesit secure veci, tak preco by mala mat vetsina zajebany notas alebo comp secure picovinami? A kto chce riesit secure veci, nech si to potom odjebe na hopa lopa ssh, true crypt a pod. neee ? Odpovedať Známka: -0.9 Hodnotiť:

ultraradikalny optimalizatorizmus Od: syntaxterrorXXX,. X | Pridané: 3.8.2020 11:17 Bez dostupných raw cpu je riešiť obchádzanie nejakých doplnkových secure prkotín priekazne zbytočnné. Odpovedať Známka: -0.8 Hodnotiť:

Re: ultraradikalny optimalizatorizmus Od: Joskoooooooo | Pridané: 3.8.2020 23:21 Dal som ti plusko za spravny postreh Odpovedať Hodnotiť:

Re: secureboot Od: zizi kedlubna | Pridané: 3.8.2020 10:46 ty si kokot alebo picus. Neni ti pomoci kamarat. Odpovedať Známka: -5.0 Hodnotiť:

Re: secureboot Od: hfhff | Pridané: 3.8.2020 11:10 Bohuial v pripade apple je sifrovanie disku nevyhnutnost. Bez neho je otazka par minut zmenit uzivatelske heslo a dostat sa do systemu. Ked som to prvy krat videl nechapal som a neveril som, ze to ide tak lahko. No a fungovalo to tak lahko. Apple je plny kontrastov. Niektore veci ma super, ine uplne zle. Toto je jedna z nich. Odpovedať Známka: 3.3 Hodnotiť:

Re: secureboot Od reg.: aqwerko | Pridané: 3.8.2020 12:16 Nie som fanusik apple, ale zrovna tymto trpia vsetky systemy ;) Principialne, ked sa vie niekto dostat na disk, tak aky je rozdiel medzi tym a situaciou kedy sa dostane aj do systemu? Skoro ziaden. Odpovedať Známka: 10.0 Hodnotiť:

Re: secureboot Od: hfhff | Pridané: 3.8.2020 18:38 Netrpia tym vsetky systemy. Linux a ani Windows ti neponuka taky elegantny a jednoduchy sposob na reset hesla. V pripade macu sa nepotrebujes dostat na disk. Restart systemu, spravna kombinacia klaves, vyber spravnej polozky z menu. Zadanie noveho hesla a vybavene. S novym heslom sa prihlasis a fungujes akoby sa nic nestalo. Ziadne hackovanie, kontrolne otazky a neviem co. Ostatne OS o tomto mozu len snivat. Co-to som uz poadminoval a tak lahko som sa nedostal do ziadneho. Preto som ostal prekvapeny. Odpovedať Známka: 2.0 Hodnotiť:

Re: secureboot Od: qwertyuiop1 | Pridané: 3.8.2020 18:53 Ostatne systemy ti tiez ponukaju jednoduche sposoby resetu hesla. Vo Windows bud cez chntpw alebo nahradenim utilman.exe za cmd.exe. V Linuxe nabootujes live distro, urobis chroot a ako root zmenis userovi heslo. Odpovedať Známka: 10.0 Hodnotiť:

Re: secureboot Od: hfhff | Pridané: 4.8.2020 20:26 Neponukaju a na to sa snazim poukazat. Tebou uvedene sposoby niesu oficialne podporovane vyrobcom daneho OS a su o triedu narocnejsie. Apple to ma zabudovane v sebe, ofic. podporovane. Ziadne hackovanie s live distribuciami a utilitami tretich stran a u applu to podla ich navodu zvladne aj znacna cast BFU. Uplne trivialne to vies urobit. Osobne to povazujem za riziko a cudujem sa, ze to v dnesnej dobe este apple ma. Pri apple som cakal, ze to bude najtazsie zo vsetkych OS a, ze to bude bud poriadny jack alebo to vobec nepojde. Normalne som bol vyhukany, ze ake je to easy. Na druhej strane mi to zachranilo furu casu a hlavne koleginy. Odpovedať Hodnotiť:

Re: secureboot Od: Mek | Pridané: 3.8.2020 11:29 Az ti ukradnu notebook alebo ho niekde zabudnes, este budes rad, ze si ho mal zasifrovany... Odpovedať Známka: 10.0 Hodnotiť:

Re: secureboot Od: Roztopasniik | Pridané: 3.8.2020 13:29 Ano, historia browsovania sa neda na dialku vymazat.. Odpovedať Známka: -1.1 Hodnotiť:

Re: secureboot Od: thtdf | Pridané: 24.8.2020 11:22 neda, na nieco si zabudol :) Odpovedať Hodnotiť:

Re: secureboot Od reg.: bhawk | Pridané: 3.8.2020 12:06 Pozri, ja davam default na kazdy novy ntb - platnovy HDD truecrypt particiu na vsetky data. S kludnym svedomim potom notebook predam a disk dam do ntfs quick formatom a nemusim stresovat, ze niekto pouzije undelete a vykope co som tam mal. Odpovedať Známka: 6.0 Hodnotiť:

Re: secureboot Od: koumak | Pridané: 3.8.2020 13:27 staci mat zapnute heslo priamo v hdd/ssd a mas data slusne chranene pred odcudzenim. sifrovanie pokial neni hardwarove zbytocne spomaluje. Odpovedať Známka: -5.0 Hodnotiť:

Re: secureboot Od: hfhff | Pridané: 3.8.2020 18:41 Nestaci, da sa to lahko obist. Odpovedať Známka: 3.3 Hodnotiť:

Re: secureboot Od: Kexsica | Pridané: 5.8.2020 23:26 jako? Odpovedať Hodnotiť:

Re: secureboot Od: bzano | Pridané: 3.8.2020 12:30 a tam niekam het kam sa pripojí to majú ako zabezpečiť ? bez šifrovania a ochrany kontroly pri bootovaní ?? zato že sa nejaký amatér nevie vysporiadať so securebootom a šiforvaním disku, tak je to automaticky blbosť blbosť to je pre domáceho sledovača facebboku ale v korporátnej sfére to je nutnosť Odpovedať Známka: 6.7 Hodnotiť:

Re: secureboot Od: sandisxxx | Pridané: 3.8.2020 14:05 Sifrovanie disku je prave naopak velmi potrebne napriklad vo velkych firmach alebo organizaciach, kde sa vyzaduje vysoky stupen zabezpecenia dat. organizacie vacsinou vyuzivaju TPM cipy v pocitacoch + Bitlocker, ktory je vstavany v systeme a nie je potrebna nejaka treto-stranna utilita... Mozno z perspektivy domaceho honica kukurice pri Cornhube je sifrovanie celkom zbytocne, ale to nie je jediny sposob, ako sa pocitace vyuzivaju :) Suhlasim so secure boot - implementacia je uplne nachuja a castokrat sposobuje problemy. Navyse som kdesi parkrat cital, ze sa to da celkom v pohode obist (a toto je len dalsi sposob). Odpovedať Známka: 6.7 Hodnotiť:

Re: návrh a techn.nákres 737-MAX - úžastný príklad (a prípad) ozaj profi využitia totích počítačov Od: Sudájev - Erik Winkelmann | Pridané: 5.8.2020 23:22 ..a jako sa -ešte vôbec jinak, - teda používajú tie počítače ? (okrem stalkovania danky (v dobrom myslené), Hyuuny, Chloelock, Alizee, Amouranth, Pink_Sparkle, a dalších cutesweet heských devčat, - a hraní super-komplexných, zložitých grandstrategiíí HoI, Rulers class, a pod, od Paradox_games.) .. - teda jako sa používajú ešte totie počítače ? ..na návrhy, kconštrukcie CAD a CAM bezchybných a úspešných návrhov letadel 737 MAX ? ..alebo na poradu papalášov napr.v Bejrúte, pred 5 - 6 rokmi, (posielanie emailov, a smsiek, medzi členmi vedenia Hizballahu, Bejrútu a Libabnonu..) - čo reku s tým nákladom ~~2 ~ 3 tisic ton dusíkatých hnojív (explosivesä), čo tu zostal po tej skrachovanej, zvrakovanej starej ruskej nákladnej lodi ? "..nechajte to zatím tam v hale, v prístave, kdyžtak tam potom nekoho pošlite spravit poriadne bránu, zavarit, zámky.. (nech nám to nekdo (iný, cudzí) nevynáša pomaly het) Odpovedať Hodnotiť:

update otazky Od: Angel.. | Pridané: 3.8.2020 10:43 “aktualizacia firmware” znamena update biosu? a ako sa certifikaty daju aktualizovat cez windows update? os vie menit certifikaty v biose? a posledna vec, potom zrejme by trebalo nanovo stiahnut instalacky napr windowsu podpisane novym certifikatom, akebo instalacne obrazy sa nepodpisuju? dik Odpovedať Známka: 3.3 Hodnotiť:

Re: update otazky Od: hsgrsfg | Pridané: 3.8.2020 11:20 Ano Odpovedať Známka: 10.0 Hodnotiť:

Treba zapnúť mozgy... Od: Peter Pavol | Pridané: 3.8.2020 11:29 Načo je dobrý secure boot ? Tak napríklad, keď si správca IT v nejakej firme a riešiš bezpečnost seriózne. Na koncových zariadeniach, potrebuješ mať secure boot i kryptovaný disk. Lebo ako inak chceš zabezpečiť, že Ti uživateľ neprepíše admin heslo na notebooku cez linux utilitu ? Potom si môže s notebookom robiť čo chce. To je prvý krok ku kompromitácii celje firmy a to umyseľne alebo aj neúmyseľne... Odpovedať Známka: 5.6 Hodnotiť:

Re: Treba zapnúť mozgy... Od: monopol | Pridané: 3.8.2020 11:33 Preformátujem disk s OS, ktorý má secureboot a admin heslo mi je potom zbytočné :) Odpovedať Známka: -10.0 Hodnotiť:

Re: Treba zapnúť mozgy... Od: dwedwdw | Pridané: 3.8.2020 12:15 no ale potom nebudeš mať na disku žiadny host-key certifikát, takže po inštalácii sa zariadenie bude tváriť ako cudzie... toto si chcel soudruhu? ...na to nepotrebuješ ani nič formátovať, ale doniesť si svoje vlastné zariadenie... Odpovedať Známka: 8.0 Hodnotiť:

Re: Treba zapnúť mozgy... Od: monopol | Pridané: 3.8.2020 15:19 Jedine ak by som svoje zariadenie priekazne nemal. Certifikáty sa dajú exportovať Odpovedať Známka: -10.0 Hodnotiť:

ultraradikalny gamerizmus Od: syntaxterrorXXX,. X | Pridané: 3.8.2020 15:50 Tak ale poriadne firmy si môžu dovoliť kvalitného správcu IT, takže nemajú problém podporovať kľudne i úroveň BYOD. Odpovedať Známka: 6.0 Hodnotiť:

Re: Treba zapnúť mozgy... Od: qwertyuiop1 | Pridané: 3.8.2020 19:16 Lahko: zasahovanie do systemu je hrube porusenie pracovnej discipliny aj s prislusnymi nasledkami. Ci uz tam je secure boot alebo nie. Odpovedať Hodnotiť:

boot problem Od: mmmememe | Pridané: 3.8.2020 12:53 Aj mne to v sobotu zblblo, vypisalo chybu a nabehol rescue prikazovy riadok. A teraz som nevedel co spravit. Nastastie mam dva disky a omylom mam grub aj na tom druhom kde nebol aktualizovany, cize mi stacilo len nabootovat s toho druheho disku a hned po prihaseni ma cakala v ubuntu oprava, a dnes rano uz to bolo v poriadku. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár