Ua hōʻike ʻia ka ʻike e pili ana i 8 mau nāwaliwali i ka bootloader GRUB2, e ʻae iā ʻoe e kāpae i ka mīkini UEFI Secure Boot a holo i ka code unverified, no ka laʻana, e hoʻokō i ka malware e holo ana ma ka bootloader a i ʻole ka pae kernel.
E hoʻomanaʻo kākou i ka hapa nui o nā māhele Linux, no ka hōʻoia ʻana i ka booting i ka mode UEFI Secure Boot, hoʻohana ʻia kahi papa shim liʻiliʻi, i kau inoa ʻia e Microsoft. Ke hōʻoia nei kēia papa iā GRUB2 me kāna palapala ponoʻī, e hiki ai i nā mea hoʻomohala hoʻolaha ke loaʻa ʻole kēlā me kēia kernel a me ka GRUB update i hōʻoia ʻia e Microsoft. ʻO nā mea palupalu i GRUB2 e ʻae iā ʻoe e hoʻokō i ka hoʻokō ʻana i kāu code ma ke kahua ma hope o ka hōʻoia shim kūleʻa, akā ma mua o ka hoʻouka ʻana i ka ʻōnaehana hana, hoʻopaʻa ʻia i ke kaulahao o ka hilinaʻi i ka wā e hoʻoikaika ai ke ʻano Secure Boot a loaʻa ka mana piha ma luna o ke kaʻina hana boot hou, me ka hoʻouka ʻana i kahi OS ʻē aʻe, hoʻololi i ka ʻōnaehana ʻōnaehana hana a kāpae i ka pale Lockdown.
E like me ka nāwaliwali o BootHole o ka makahiki i hala, ʻaʻole lawa ka hoʻonui ʻana i ka bootloader e pale i ka pilikia, no ka mea, hiki i ka mea hoʻouka, me ka nānā ʻole i ka ʻōnaehana hana i hoʻohana ʻia, hiki ke hoʻohana i ka media bootable me kahi mana kahiko o GRUB2 i hoʻopaʻa inoa ʻia, e hoʻololi i ka UEFI Secure Boot. Hiki ke hoʻoponopono ʻia ka pilikia ma ka hoʻonui ʻana i ka papa inoa hoʻopau palapala (dbx, UEFI Revocation List), akā i kēia hihia e nalowale ka hiki ke hoʻohana i ka media hoʻonohonoho kahiko me Linux.
Ma nā ʻōnaehana me ka firmware i loaʻa i kahi papa inoa hoʻopau palapala hōʻoia, hiki ke hoʻouka ʻia nā kūkulu hou o nā māhele Linux ma ke ʻano UEFI Secure Boot mode. Pono nā ʻāpana e hōʻano hou i nā mea hoʻokomo, bootloaders, kernel packages, fwupd firmware a me shim layer, e hana ana i nā inoa kikohoʻe hou no lākou. Pono nā mea hoʻohana e hōʻano hou i nā kiʻi hoʻonohonoho a me nā media bootable ʻē aʻe, a me ka hoʻouka ʻana i kahi papa inoa hoʻopau palapala (dbx) i loko o ka firmware UEFI. Ma mua o ka hoʻonui ʻana i ka dbx i ka UEFI, e hoʻomau ʻia ka ʻōnaehana me ka ʻole o ka hoʻokomo ʻana i nā mea hou i ka OS. Hiki ke loiloi ʻia ke kūlana o nā nāwaliwali ma kēia mau ʻaoʻao: Ubuntu, SUSE, RHEL, Debian.
No ka hoʻoponopono ʻana i nā pilikia e kū mai ana i ka hāʻawi ʻana i nā palapala hōʻoia, i ka wā e hiki mai ana ua hoʻolālā ʻia e hoʻohana i ka mīkini SBAT (UEFI Secure Boot Advanced Targeting), kākoʻo i hoʻokō ʻia no GRUB2, shim a me fwupd, a e hoʻomaka ana mai nā mea hou aʻe. hoʻohana ʻia ma kahi o ka hana i hāʻawi ʻia e ka pūʻolo dbxtool. Hoʻokumu pū ʻia ʻo SBAT me Microsoft a pili i ka hoʻohui ʻana i nā metadata hou i nā faila hiki ke hoʻokō ʻia o nā ʻāpana UEFI, e komo pū ana ka ʻike e pili ana i ka mea hana, huahana, ʻāpana a me ka mana. Ua hōʻoia ʻia ka metadata i ʻōlelo ʻia me kahi pūlima kikohoʻe a hiki ke hoʻokomo pū ʻia i loko o nā papa inoa o nā mea i ʻae ʻia a pāpā ʻia paha no ka UEFI Secure Boot. No laila, e ʻae ʻo SBAT iā ʻoe e hoʻoponopono i nā helu helu ʻāpana i ka wā o ka hoʻopau ʻana me ka ʻole o ka pono e hana hou i nā kī no Secure Boot a me ka hana ʻole ʻana i nā pūlima hou no ka kernel, shim, grub2 a me fwupd.
Nā mea nāwaliwali i ʻike ʻia:
- CVE-2020-14372 - Ke hoʻohana nei i ke kauoha acpi ma GRUB2, hiki i kahi mea hoʻohana pono ma ka ʻōnaehana kūloko ke hoʻouka i nā papa ACPI i hoʻololi ʻia ma ke kau ʻana i kahi SSDT (Secondary System Description Table) i ka papa kuhikuhi /boot/efi a me ka hoʻololi ʻana i nā hoʻonohonoho ma grub.cfg. ʻOiai ke ʻano o ka Secure Boot mode, e hoʻokō ʻia ka SSDT i manaʻo ʻia e ka kernel a hiki ke hoʻohana ʻia no ka hoʻopau ʻana i ka pale LockDown e ālai ana i nā ala hele ʻo UEFI Secure Boot. ʻO ka hopena, hiki i ka mea hoʻouka ke hoʻokō i ka hoʻouka ʻana i kāna module kernel a i ʻole ka holo ʻana i ke code ma o ka mīkini kexec, me ka nānā ʻole ʻana i ka pūlima kikohoʻe.
- ʻO CVE-2020-25632 kahi hoʻomanaʻo hoʻohana ma hope o ka hoʻohana ʻana i ke kauoha rmmod, e hana ʻia i ka wā e hoʻāʻo ai e wehe i kekahi module me ka ʻole e noʻonoʻo i nā hilinaʻi e pili ana me ia. ʻAʻole hoʻokaʻawale ka nāwaliwali i ka hana ʻana i kahi hoʻohana i hiki ke alakaʻi i ka hoʻokō code ma ke kāʻe ʻana i ka hōʻoia Secure Boot.
- CVE-2020-25647 Kākau i waho o ka palena ma ka hana grub_usb_device_initialize() i kapa ʻia i ka wā e hoʻomaka ai i nā polokalamu USB. Hiki ke hoʻohana ʻia ka pilikia ma ka hoʻopili ʻana i kahi hāmeʻa USB i hoʻomākaukau ʻia e hana i nā ʻāpana ʻaʻole i like ka nui me ka nui o ka buffer i hoʻokaʻawale ʻia no nā kūkulu USB. Hiki i ka mea hoʻouka ke hoʻokō i ke code i hōʻoia ʻole ʻia ma Secure Boot ma o ka hoʻohana ʻana i nā polokalamu USB.
- ʻO CVE-2020-27749 kahi mea hoʻoheheʻe i loko o ka hana grub_parser_split_cmdline(), hiki ke hana ʻia ma ke kuhikuhi ʻana i nā ʻano nui ma mua o 2 KB ma ka laina kauoha GRUB1. Hāʻawi ka nāwaliwali i ka hoʻokō code e kāpae iā Secure Boot.
- CVE-2020-27779 - ʻO ke kauoha cutmem e hiki ai i ka mea hoʻouka ke hoʻoneʻe i kahi ʻano o nā ʻōlelo mai ka hoʻomanaʻo e haʻalele iā Secure Boot.
- CVE-2021-3418 - Ua hoʻololi nā hoʻololi i shim_lock i kahi vector hou e hoʻohana i ka nāwaliwali o ka makahiki i hala CVE-2020-15705. Ma ka hoʻokomo ʻana i ka palapala hōʻoia i hoʻohana ʻia e kau inoa iā GRUB2 ma dbx, ua ʻae ʻo GRUB2 i kekahi kernel e hoʻouka pololei ʻia me ka ʻole o ka hōʻoia ʻana i ka pūlima.
- CVE-2021-20225 - Hiki ke kākau i ka ʻikepili ma waho o ka palena i ka wā e holo ana i nā kauoha me ka nui o nā koho.
- CVE-2021-20233 - Hiki ke kākau i ka ʻikepili ma waho o nā palena ma muli o ka helu ʻana i ka nui buffer hewa i ka wā e hoʻohana ai i nā huaʻōlelo. I ka helu ʻana i ka nui, ua manaʻo ʻia he pono ʻekolu mau huaʻōlelo e pakele i kahi ʻōlelo hoʻokahi, ʻoiai he ʻehā i koi ʻia.
Source: opennet.ru