Tietoa Red Hatin valmisteleman GRUB2023-käynnistyslataimen korjaustiedostojen haavoittuvuudesta (CVE-4001-2) on paljastettu. Haavoittuvuuden ansiosta monet järjestelmät, joissa on UEFI, voivat ohittaa GRUB2:ssa asetetun salasanan tarkistuksen rajoittaakseen pääsyä käynnistysvalikkoon tai käynnistyslataimen komentoriville. Haavoittuvuuden aiheuttaa Red Hatin RHEL:n ja Fedora Linuxin mukana toimitettuun GRUB2-pakettiin lisäämä muutos. Ongelma ei esiinny GRUB2-pääprojektissa, ja se vaikuttaa vain jakeluihin, jotka ovat lisänneet Red Hat -korjauksia.
Ongelma johtuu virheestä siinä, miten käynnistyslatain käyttää UUID-tunnusta löytääkseen laitteen, jossa on salasanan sisältävä asetustiedosto (esimerkiksi "/boot/efi/EFI/fedora/grub.cfg"). hash. Ohitakseen todennuksen käyttäjä, jolla on fyysinen pääsy tietokoneeseen, voi liittää ulkoisen aseman, kuten USB-flash-muistin, ja asettaa sille UUID-tunnuksen, joka vastaa hyökkäyksen kohteena olevan järjestelmän käynnistysosion / käynnistyksen tunnistetta.
Monet UEFI-järjestelmät käsittelevät ensin ulkoiset asemat ja sijoittavat ne havaittujen laitteiden luetteloon ennen kiinteitä asemia, joten hyökkääjän valmistelemalla /boot-osiolla on korkeampi käsittelyprioriteetti, ja vastaavasti GRUB2 yrittää ladata asetustiedoston tästä osiosta. Kun haetaan osiota "search"-komennolla GRUB2:ssa, vain ensimmäinen UUID-osuma määritetään, minkä jälkeen haku pysähtyy. Jos pääasetustiedostoa ei löydy tietystä osiosta, GRUB2 antaa komentokehotteen, jonka avulla voit hallita täysimääräisesti muuta käynnistysprosessia.
"lsblk" -apuohjelmaa voi käyttää osion UUID:n määrittämiseen paikallinen etuoikeutettu käyttäjä, mutta ulkopuolinen käyttäjä, jolla ei ole pääsyä järjestelmään, mutta joka voi tarkkailla käynnistysprosessia, voi joissakin jakeluissa määrittää UUID:n diagnostiikasta. käynnistyksen aikana näkyvät viestit. Red Hat on korjannut haavoittuvuuden lisäämällä "search"-komentoon uuden argumentin, joka sallii UUID-skannaustoiminnon sitomisen vain estäviin laitteisiin, joita käytetään käynnistyksenhallinnan suorittamiseen (eli /boot-osion tulee olla vain samassa osiossa asema EFI-järjestelmäosiona ).
Lähde: opennet.ru