V linuxovom bootloaderi Grub viacero zraniteľností, umožňujú obísť Secure Boot

Značky: bezpečnosťLinux

DSL.sk, 4.3.2021

V štandardnom bootloaderi využívanom linuxovými distribúciami Grub sa nachádza viacero bezpečnostných zraniteľností, pričom zrejme viaceré z nich umožňujú pri bootovaní chránenom technológiou Secure Boot spustiť ľubovoľný kód a tým obísť ochranu Secure Boot.

Na zraniteľnosti upozornili vývojári Grubu, opravené sú celkom 117 záplatami.

Bezpečnosť Grubu bola podľa oznámenia detailne preverovaná po minuloročnom objavení zraniteľnosti CVE-2020-10713 s označením BootHole, ktorá tiež umožňovala obísť ochranu Secure Boot.

Distribúcie aktuálne upozorňujú najmä na novú zraniteľnosť CVE-2020-14372 umožňujúcu pomocou acpi príkazu nastaviť ľubovoľné ACPI tabuľky a následne spustiť ľubovoľný aj nepodpísaný kód. Potrebný je k tomu fyzický prístup alebo root prístup.

UEFI Secure Boot pri štarte počítača overuje kryptograficky zabezpečený podpis spúšťaného kódu a dovoľuje spustenie iba autorizovaného kódu. Cieľom tejto technológie je tak najmä zabrániť škodlivému kódu alebo útočnikovi trvalo infikovať počítač a operačný systém. Secure Boot overuje spúšťaný bootloader a ten by zase mal spustiť iba podpísané jadro operačného systému a to by malo prípadne načítavať iba podpísané moduly.

Zraniteľnosti v Grube nemusia znižovať bezpečnosť Secure Boot len na počítačoch s už inštalovaným Linuxom a potenciálne umožňujú použiť zraniteľné verzie Grubu na obídenie Secure Boot aj na iných počítačoch používajúcich napríklad len Windows, keď na podpisovanie Grubu sa typicky využíva štandardná Microsoft UEFI CA.

Linuxové distribúcie a dalšie projekty používajúce Grub musia samozrejme vydať opravené verzie bootloadera. Staršie verzie Grubu by ale stále umožňovali obídenie Secure Boot a tieto tak musia byť mechanizmami Secure Boot zneplatnené. To sa bude realizovať napríklad v aktualizovaných firmvéroch a cez aktualizácie Windows Update.

Linuxová komunita a Microsoft zároveň vyvinuli nové riešenie pre efektívnejšie zneplatňovanie starších verzií s označením UEFI SBAT, Secure Boot Advanced Targeting.




Najnovšie články:



Diskusia:

ultraradikalny empaticizmus Od: syntaxterrorXXX,. X | Pridané: 4.3.2021 12:53 117 záplat... to je ako napichnúť na bicykli ježka a brzdiť priekazne jeho pasírovaním kolesom o blatník. Odpovedať Známka: -3.0 Hodnotiť:

Re: ultraradikalny empaticizmus Od: ParaNoik | Pridané: 4.3.2021 13:03 Je to len číslo.... Odpovedať Známka: 5.4 Hodnotiť:

Re: ultraradikalny empaticizmus Od reg.: Buržuj//// | Pridané: 4.3.2021 14:45 Ach, tento dojebany windowsacky bootloader. Zle, zle, zle... Odpovedať Známka: -5.7 Hodnotiť:

dkdjf Od: dkddk | Pridané: 4.3.2021 13:19 sice nie som expert, ale vzdy som vnimal grub ako front-end k secure boot. podla mna je toto problem skor secure bootu nez grubu. Odpovedať Známka: 5.0 Hodnotiť:

Re: dkdjf Od: Patres_ | Pridané: 4.3.2021 14:20 Systemd-boot namiesto grubu a nemusel by byť problém. Odpovedať Známka: 6.4 Hodnotiť:

Re: dkdjf Od reg.: Buržuj//// | Pridané: 4.3.2021 14:46 Tym nenabootujem Windows ... kokotina Odpovedať Známka: -4.3 Hodnotiť:

Re: dkdjf Od: spyje | Pridané: 5.3.2021 15:57 A preco Windows mas bootovat grubom? Odpovedať Hodnotiť:

Re: dkdjf Od: 0dee | Pridané: 6.3.2021 19:39 Ako inak budeš mať na jednom zariadení spustiteľné rôzne operačné systémy? Odpovedať Hodnotiť:

Re: dkdjf Od: ericek111 m | Pridané: 7.3.2021 1:43 Viacero položiek v EFI. Odpovedať Hodnotiť:

ultraumiernený pacifizmus Od: syntaxterrorXXX,. X | Pridané: 4.3.2021 15:32 Veď ale keď niekto sám sebe vydá kryptograficky zabezpečený podpis, celá vec je už v gescii sféry kategorického imperatívu a tam ani secure boot priekazne žiadnymi kompetenciami neoplýva. Odpovedať Známka: -4.0 Hodnotiť:

dnes má meniny Kazimír Od: Mashroomko | Pridané: 4.3.2021 13:38 Hlavne ze google plati fulltime dvoch sasov co maju mat na starosti security okolo linuxu a toto im na totalku uslo. Smutne. Odpovedať Známka: -5.8 Hodnotiť:

Re: dnes má meniny Kazimír Od: bootloader | Pridané: 4.3.2021 13:43 ti dvaja sasovia su tam na to aby tam mergovali vysoko sofistikovane chyby co im chlebodarcovia daju .. Odpovedať Známka: -2.0 Hodnotiť:

Re: dnes má meniny Kazimír Od: reg.: Houston | Pridané: 5.3.2021 10:06 Aj tebe uslo posledne slovo: dsl.sk/article.php?article=24780 Google bude platiť dvoch vývojárov pracujúcich len na bezpečnosti linuxového JADRA Odpovedať Známka: 10.0 Hodnotiť:

Super Od: teoticuan | Pridané: 4.3.2021 13:41 Pekne, a kolko rokov to tam bolo skovane? V takomto zlom stave bol Windows mozno v 95tom. A ano, mozte si pozriet statistiky - najhorsie je na tom Debian a Android .. To je ten vas open source, kde toto by sa nikdy nemohlo stat ... Odpovedať Známka: -6.6 Hodnotiť:

Re: Super Od: Mashroomko | Pridané: 4.3.2021 14:18 Najviac ma na tvojom prispevku vyrusuje, ze toto pisu ludia, ktori ani nevedia vytvorit odkaz na ploche a musia si otvarat support ticket. Mas plnu hubu security, Debianu a Androidu, ale v zivote si to ani nevidel a tvoj vrchol IT je vytvorenie kontigencnej tabulky. Odpovedať Známka: 5.9 Hodnotiť:

Re: Super Od: Jeseter Setersky | Pridané: 4.3.2021 15:36 Fundamentaly rozdiel medzi produktami Microsoft a open source komunitou (hlavne okolo jadra a pod. veci) nie je v tom, ze by jedna strana kurvila veci menej ako druha, ale v tom, ze ked sa na to prijde, tak sa na to Microsoft vyjebe na dalsich par rokov a open source komunita to opravi do tyzdna. Chyby robime vsetci, ale na rozdiel od tvojeho uzasneho Microsoftu nie vsetci na ne jebeme, lebo nie pre vsetkych je primarnou motivaciou zisk. Odpovedať Známka: 8.4 Hodnotiť:

Re: Super Od: teoticuan | Pridané: 4.3.2021 16:48 áno, a pánko nám aj ukáže koľko netriviálnych fixov spravil v akomkoľvek open source projekte? Alebo ešte lepšie v linux kerneli? aha, aha hneď mi bude potom jasné ... Odpovedať Známka: -8.5 Hodnotiť:

Re: Super Od: Mashroomko | Pridané: 4.3.2021 17:55 Vies vobec co je kernel alebo si si to vvygooglil? :) Odpovedať Známka: 8.3 Hodnotiť:

Re: Super Od: lubossss | Pridané: 5.3.2021 8:29 ty mas 13 rokov? inak si neviem vysvetlit tvoje komentare Odpovedať Známka: 6.7 Hodnotiť:

Re: Super Od: Jeseter Setersky | Pridané: 5.3.2021 21:57 Panko o com mele? Odpovedať Hodnotiť:

ultraradikalny fakticizmus Od: syntaxterrorXXX,. X | Pridané: 4.3.2021 17:26 A nie je to do tyzdna len lebo mesiáš bezpečnosti na záplate už par rokov sedel a čakal na svoj okamih slávy? Odpovedať Známka: -2.0 Hodnotiť:

Spoluobčania Od: Buržuj//./D | Pridané: 4.3.2021 14:04 install macos Odpovedať Známka: -8.7 Hodnotiť:

Re: Spoluobčania Od: neburzuj | Pridané: 4.3.2021 14:18 install makos z makos.sk Odpovedať Známka: 5.6 Hodnotiť:

smrt linuxu Od: zaba na prameni | Pridané: 4.3.2021 15:00 smrt linuxu Odpovedať Známka: -0.3 Hodnotiť:

Re: smrt linuxu Od: Odpovednik | Pridané: 4.3.2021 16:51 ...v dohladnej dobe nastastie nehrozi. Odpovedať Známka: 8.9 Hodnotiť:

Re: smrt linuxu Od reg.: Gebula | Pridané: 5.3.2021 10:14 Smrt tebe, tvojej rodine, tvojim rodicom. Okamzitu smrt. Predtym ta este rozstvrtit a vystavit na namesti. Cele to vysielat v prime-time v TV a na nete. Odpovedať Známka: -9.1 Hodnotiť:

............... Od: Mikeles | Pridané: 5.3.2021 13:42 Dobre tomu rozumiem, že secure boot k správnej funkcii potrebuje spoluprácu boot loadera, takže je na zodpovednosti hackerov, aby používali boot loader, ktorý secure boot neobchádza? Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár