Dau wendid yn GRUB2 sy'n eich galluogi i osgoi amddiffyniad Boot Diogel UEFI

Раскрыты сведения о двух уязвимостях в загрузчике GRUB2, которые могут привести к выполнению кода при использовании специально оформленных шрифтов и обработке определённых Unicode-последовательностей. Уязвимости могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot.

Gwendidau a nodwyd:

• CVE-2022-2601 — переполнение буфера в функции grub_font_construct_glyph() при обработке специально оформленных шрифтов в формате pf2, возникающее из-за неверного расчёта параметра max_glyph_size и выделения области памяти, заведомо меньшей, чем необходимо для размещения глифов.
• CVE-2022-3775 — запись за пределы выделенной области памяти при отрисовке некоторых последовательностей Unicode специально оформленным шрифтом. Проблема присутствует в коде обработки шрифтов и вызвана отсутствием должных проверок соответствия ширины и высоты глифа размеру имеющейся битовой карты. Атакующий может подобрать ввод таким образом, чтобы вызвать запись хвоста данных на пределами выделенного буфера. Отмечается, что несмотря на сложность эксплуатации уязвимости, доведение проблемы до выполнения кода не исключается.

Исправление опубликовано в виде патча. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Ubuntu, SUSE, RHEL, Fedora, Debian. Для устранения проблем в GRUB2 недостаточно просто обновить пакет, потребуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку.

Mae'r rhan fwyaf o ddosbarthiadau Linux yn defnyddio haen shim fach wedi'i llofnodi'n ddigidol gan Microsoft ar gyfer cychwyn wedi'i dilysu ym modd Cist Diogel UEFI. Mae'r haen hon yn gwirio GRUB2 gyda'i dystysgrif ei hun, sy'n caniatáu i ddatblygwyr dosbarthu beidio â chael pob diweddariad cnewyllyn a GRUB wedi'i ardystio gan Microsoft. Mae gwendidau yn GRUB2 yn caniatáu ichi gyflawni gweithrediad eich cod ar y cam ar ôl dilysu shim llwyddiannus, ond cyn llwytho'r system weithredu, gan ymuno â'r gadwyn ymddiriedaeth pan fydd modd Secure Boot yn weithredol ac ennill rheolaeth lawn dros y broses gychwyn bellach, gan gynnwys llwytho OS arall, addasu system cydrannau system weithredu a ffordd osgoi amddiffyniad Lockdown.

Er mwyn rhwystro'r bregusrwydd heb ddirymu'r llofnod digidol, gall dosbarthiadau ddefnyddio'r mecanwaith SBAT (Targedu Uwch Boot Diogel UEFI), a gefnogir ar gyfer GRUB2, shim a fwupd yn y dosbarthiadau Linux mwyaf poblogaidd. Datblygwyd SBAT ar y cyd â Microsoft ac mae'n golygu ychwanegu metadata ychwanegol at ffeiliau gweithredadwy cydrannau UEFI, sy'n cynnwys gwybodaeth am y gwneuthurwr, y cynnyrch, y gydran a'r fersiwn. Mae'r metadata penodedig wedi'i ardystio â llofnod digidol a gellir ei gynnwys ar wahân yn y rhestrau o gydrannau a ganiateir neu a waherddir ar gyfer UEFI Secure Boot.

SBAT позволяет блокировать использование цифровой подписи для отдельных номеров версий компонентов без необходимости отзыва ключей для Secure Boot. Блокирование уязвимостей через SBAT не требует использования списка отозванных сертификатов UEFI (dbx), а производится на уровне замены внутреннего ключа для формирования подписей и обновления GRUB2, shim и других поставляемых дистрибутивами загрузочных артефактов. До внедрения SBAT, обновление списка отозванных сертификатов (dbx, UEFI Revocation List) было обязательным условием полного блокирования уязвимости, так как атакующий, независимо от используемой операционной системы, мог для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью.

Ffynhonnell: opennet.ru