Avaldatud on teavet GRUB2 alglaaduri kahe haavatavuse kohta, mis võivad spetsiaalselt loodud fontide kasutamisel ja teatud Unicode'i jadade töötlemisel viia koodi käivitamiseni. Turvaauke saab kasutada UEFI Secure Boot kontrollitud alglaadimismehhanismist mööda hiilimiseks.
Tuvastatud haavatavused:
- CVE-2022-2601 – puhvri ületäitumine funktsioonis grub_font_construct_glyph() spetsiaalselt loodud fontide töötlemisel pf2-vormingus, mis tuleneb parameetri max_glyph_size valest arvutamisest ja mäluala eraldamisest, mis on ilmselgelt väiksem kui vajalik. glüüfe ära mahutada.
- CVE-2022-3775 Piiramatu kirjutamine toimub mõne Unicode'i jada renderdamisel spetsiaalse stiiliga fondiga. Probleem on fondi töötlemiskoodis ja selle põhjuseks on nõuetekohaste kontrollide puudumine, et tagada glüüfi laiuse ja kõrguse vastavus saadaoleva bitmapi suurusele. Ründaja saab sisendi kujundada nii, et andmete saba kirjutatakse eraldatud puhvri välisküljele. Märgitakse, et hoolimata haavatavuse ärakasutamise keerukusest ei ole välistatud probleemi viimine koodi täitmiseni.
Parandus on avaldatud paigana. Distributsioonide haavatavuste kõrvaldamise olekut saab hinnata järgmistel lehtedel: Ubuntu, SUSE, RHEL, Fedora, Debian. GRUB2 probleemide lahendamiseks ei piisa ainult paketi värskendamisest, peate looma ka uued sisemised digitaalallkirjad ning värskendama installijaid, alglaadureid, kerneli pakette, fwupd püsivara ja vahekihti.
Enamik Linuxi distributsioone kasutab UEFI Secure Boot režiimis kontrollitud alglaadimiseks väikest Microsofti digitaalselt allkirjastatud vahekihti. See kiht kinnitab GRUB2 oma sertifikaadiga, mis võimaldab levitajate arendajatel mitte lasta kõigil kernelil ja GRUB-värskendustel Microsofti sertifitseerida. GRUB2 haavatavused võimaldavad teil saavutada koodi käivitamise etapis pärast edukat vahekontrolli, kuid enne operatsioonisüsteemi laadimist kiiludes usaldusahelasse, kui turvaline alglaadimisrežiim on aktiivne ja omandades täieliku kontrolli edasise alglaadimisprotsessi üle, sealhulgas teise OS-i laadimine, operatsioonisüsteemi komponentide süsteemi muutmine ja lukustuskaitse ümbersõit.
Haavatavuse blokeerimiseks ilma digiallkirja tühistamata saavad distributsioonid kasutada SBAT (UEFI Secure Boot Advanced Targeting) mehhanismi, mida enamikes populaarsetes Linuxi distributsioonides toetatakse GRUB2, shim ja fwupd jaoks. SBAT töötati välja koostöös Microsoftiga ja see hõlmab täiendavate metaandmete lisamist UEFI komponentide täitmisfailidele, mis sisaldavad teavet tootja, toote, komponendi ja versiooni kohta. Määratud metaandmed on sertifitseeritud digitaalallkirjaga ja neid saab eraldi lisada UEFI Secure Boot lubatud või keelatud komponentide loendisse.
SBAT võimaldab teil blokeerida üksikute komponentide versiooninumbrite digitaalallkirjade kasutamise, ilma et peaksite turvalise alglaadimise võtmeid tühistama. Turvaaukude blokeerimine SBAT-i kaudu ei nõua UEFI-sertifikaadi tühistamisloendi (dbx) kasutamist, vaid seda tehakse sisemise võtme asendamise tasemel, et genereerida allkirju ning värskendada GRUB2, shim ja muid distributsioonide pakutavaid alglaadimisartefakte. Enne SBAT-i kasutuselevõttu oli haavatavuse täieliku blokeerimise eeltingimuseks sertifikaatide tühistamise loendi (dbx, UEFI tühistamisloend) värskendamine, kuna ründaja võis olenemata kasutatavast operatsioonisüsteemist kasutada buutivat meediumit vana haavatava GRUB2 versiooniga, digitaalallkirjaga sertifitseeritud, et kahjustada UEFI turvalist alglaadimist.
Allikas: opennet.ru