Loro kerentanan ing GRUB2 sing ngidini sampeyan ngliwati proteksi Boot Aman UEFI

Раскрыты сведения о двух уязвимостях в загрузчике GRUB2, которые могут привести к выполнению кода при использовании специально оформленных шрифтов и обработке определённых Unicode-последовательностей. Уязвимости могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot.

Kerentanan sing diidentifikasi:

• CVE-2022-2601 — переполнение буфера в функции grub_font_construct_glyph() при обработке специально оформленных шрифтов в формате pf2, возникающее из-за неверного расчёта параметра max_glyph_size и выделения области памяти, заведомо меньшей, чем необходимо для размещения глифов.
• CVE-2022-3775 — запись за пределы выделенной области памяти при отрисовке некоторых последовательностей Unicode специально оформленным шрифтом. Проблема присутствует в коде обработки шрифтов и вызвана отсутствием должных проверок соответствия ширины и высоты глифа размеру имеющейся битовой карты. Атакующий может подобрать ввод таким образом, чтобы вызвать запись хвоста данных на пределами выделенного буфера. Отмечается, что несмотря на сложность эксплуатации уязвимости, доведение проблемы до выполнения кода не исключается.

Исправление опубликовано в виде патча. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Ubuntu, SUSE, RHEL, Fedora, Debian. Для устранения проблем в GRUB2 недостаточно просто обновить пакет, потребуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку.

Umume distribusi Linux nggunakake lapisan shim cilik sing ditandatangani kanthi digital dening Microsoft kanggo boot sing diverifikasi ing mode Boot Aman UEFI. Lapisan iki verifikasi GRUB2 kanthi sertifikat dhewe, sing ngidini pangembang distribusi ora duwe saben kernel lan nganyari GRUB sing disertifikasi dening Microsoft. Kerentanan ing GRUB2 ngidini sampeyan entuk eksekusi kode ing tataran sawise verifikasi shim sukses, nanging sadurunge mbukak sistem operasi, wedging menyang rantai kapercayan nalika mode Boot Aman aktif lan entuk kontrol lengkap babagan proses boot luwih lanjut, kalebu mbukak OS liyane, ngowahi sistem komponen sistem operasi lan ngliwati proteksi Lockdown.

Kanggo mblokir kerentanan tanpa mbatalake tandha digital, distribusi bisa nggunakake mekanisme SBAT (UEFI Secure Boot Advanced Targeting), sing didhukung kanggo GRUB2, shim lan fwupd ing distribusi Linux sing paling populer. SBAT dikembangake bebarengan karo Microsoft lan kalebu nambah metadata tambahan menyang file eksekusi komponen UEFI, sing kalebu informasi babagan pabrikan, produk, komponen lan versi. Metadata sing ditemtokake disertifikasi kanthi teken digital lan bisa dilebokake kanthi kapisah ing dhaptar komponen sing diidini utawa dilarang kanggo UEFI Secure Boot.

SBAT позволяет блокировать использование цифровой подписи для отдельных номеров версий компонентов без необходимости отзыва ключей для Secure Boot. Блокирование уязвимостей через SBAT не требует использования списка отозванных сертификатов UEFI (dbx), а производится на уровне замены внутреннего ключа для формирования подписей и обновления GRUB2, shim и других поставляемых дистрибутивами загрузочных артефактов. До внедрения SBAT, обновление списка отозванных сертификатов (dbx, UEFI Revocation List) было обязательным условием полного блокирования уязвимости, так как атакующий, независимо от используемой операционной системы, мог для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью.

Source: opennet.ru