GRUB2 abiarazlearen bi ahultasunei buruzko informazioa zabaldu da, eta horrek kodea exekutatu dezake bereziki diseinatutako letra-tipoak erabiltzean eta Unicode sekuentzia batzuk prozesatzen direnean. Ahultasunak UEFI Secure Boot egiaztatutako abio-mekanismoa saihesteko erabil daitezke.
Identifikatutako ahultasunak:
- CVE-2022-2601 - Grub_font_construct_glyph() funtzioaren buffer gainezka bat pf2 formatuan bereziki diseinatutako letra-tipoak prozesatzen direnean, max_glyph_size parametroaren kalkulu oker baten ondorioz eta, jakina, beharrezkoa baino txikiagoa den memoria-eremuaren esleipena dela eta. glifoak egokitu.
- CVE-2022-3775 Mugetatik kanpo idazketa bat gertatzen da Unicode sekuentzia batzuk estilo bereziko letra-tipo batean errendatzean. Arazoa letra-tipoa prozesatzeko kodean dago eta glifoaren zabalera eta altuera eskuragarri dagoen bitmaparen tamainarekin bat datozela ziurtatzeko egiaztapen egokien faltak eragiten du. Erasotzaile batek sarrera landu dezake datuen isatsa esleitutako buffer-aren kanpoaldean idazteko moduan. Nabarmentzen da ahultasuna ustiatzearen konplexutasuna izan arren, arazoa kodearen exekuziora eramatea ez dela baztertzen.
Konponketa adabaki gisa argitaratu da. Banaketan ahultasunak ezabatzearen egoera orri hauetan ebaluatu daiteke: Ubuntu, SUSE, RHEL, Fedora, Debian. GRUB2-n arazoak konpontzeko, ez da nahikoa paketea eguneratzea; barne sinadura digital berriak sortu eta instalatzaileak, abiarazleak, kernel paketeak, fwupd firmwarea eta shim geruza ere eguneratu beharko dituzu.
Linux-en banaketa gehienek Microsoft-ek digitalki sinatutako shim geruza txiki bat erabiltzen dute UEFI Secure Boot moduan egiaztatutako abiarazterako. Geruza honek GRUB2 bere ziurtagiriarekin egiaztatzen du, eta horrek aukera ematen die banaketa-garatzaileei Microsoft-ek nukleo eta GRUB eguneratze guztiak ez izatea. GRUB2-ko ahultasunek aukera ematen dute zure kodea exekutatzeko shim egiaztapen arrakastatsuaren ondoren, baina sistema eragilea kargatu aurretik, konfiantza-katean sartu zaitez Secure Boot modua aktibatuta dagoenean eta abiarazte prozesuaren kontrol osoa eskuratzea, besteak beste. beste OS bat kargatzea, sistema eragilearen osagaien sistema aldatzea eta blokeoaren babesa saihestea.
Sinadura digitala ezeztatu gabe ahultasuna blokeatzeko, banaketak SBAT (UEFI Secure Boot Advanced Targeting) mekanismoa erabil dezakete, zeina GRUB2, shim eta fwupd-ekin bateragarria den Linux banaketa ezagunenetan. SBAT Microsoft-ekin batera garatu zen eta UEFI osagaien fitxategi exekutagarriei metadatu gehigarriak gehitzea dakar, fabrikatzaile, produktu, osagai eta bertsioari buruzko informazioa barne. Zehaztutako metadatuak sinadura digital batekin ziurtatuta daude eta UEFI Secure Boot-erako baimendutako edo debekatutako osagaien zerrendetan bereiz daitezke.
SBAT-ek sinadura digitalaren erabilera blokeatzeko aukera ematen du osagai indibidualaren bertsio-zenbakietarako, Secure Boot-erako gakoak kendu beharrik gabe. SBAT bidez ahuleziak blokeatzeko ez da UEFI ziurtagirien baliogabetze-zerrenda (dbx) erabili behar, baina barne-gakoa ordezkatzeko mailan egiten da sinadurak sortzeko eta GRUB2, shim eta banaketak emandako beste abio artefaktuak eguneratzeko. SBAT sartu aurretik, ziurtagirien baliogabetzeen zerrenda eguneratzea (dbx, UEFI Revocation List) ezinbesteko baldintza zen ahultasuna erabat blokeatzeko, erasotzaile batek, erabilitako sistema eragilea edozein dela ere, abiarazte-euskarriak erabil zezakeen bertsio zaurgarri zahar batekin. GRUB2 sinadura digital baten bidez ziurtatua UEFI Secure Boot arriskuan jartzeko.
Iturria: opennet.ru