GRUB2 жүктегішіндегі екі осалдық туралы ақпарат ашылды, бұл арнайы әзірленген қаріптерді пайдалану және Юникодтың белгілі бір реттіліктерін өңдеу кезінде кодтың орындалуына әкелуі мүмкін. Осалдықтарды UEFI Secure Boot тексерілген жүктеу механизмін айналып өту үшін пайдалануға болады.
Анықталған осалдықтар:
- CVE-2022-2601 - pf2 пішімінде арнайы әзірленген қаріптерді өңдеу кезінде grub_font_construct_glyph() функциясындағы буфердің толып кетуі, ол max_glyph_size параметрінің дұрыс есептелмеуіне және жад аймағын қажетінен анық кішірек бөлуге байланысты пайда болады. глифтерді орналастырыңыз.
- CVE-2022-3775 Шектен тыс жазу кейбір Юникод тізбегін арнайы стильдендірілген қаріппен көрсету кезінде орын алады. Мәселе қаріпті өңдеу кодында және глифтің ені мен биіктігі қол жетімді растрлық кескін өлшеміне сәйкес келетініне көз жеткізу үшін тиісті тексерулердің болмауынан туындайды. Шабуылдаушы кірісті деректердің жағы бөлінген буфердің сыртына жазылатындай етіп жасай алады. Бұл осалдықты пайдаланудың күрделілігіне қарамастан, мәселені кодты орындауға келтіру жоққа шығарылмағаны атап өтілген.
Түзету патч ретінде жарияланды. Таратулардағы осалдықтарды жою күйін мына беттерде бағалауға болады: Ubuntu, SUSE, RHEL, Fedora, Debian. GRUB2-дегі ақауларды жою үшін тек пакетті жаңарту жеткіліксіз; сонымен қатар жаңа ішкі цифрлық қолтаңбаларды жасау және орнатушыларды, жүктеушілерді, ядролық бумаларды, fwupd микробағдарламасын және шим қабатын жаңарту қажет.
Көптеген Linux дистрибутивтері UEFI Secure Boot режимінде тексерілген жүктеу үшін Microsoft корпорациясы цифрлық қолтаңбасы бар шағын жабын қабатын пайдаланады. Бұл деңгей GRUB2-ді өз сертификатымен тексереді, бұл тарату әзірлеушілеріне әрбір ядроны және GRUB жаңартуын Microsoft корпорациясымен растамауға мүмкіндік береді. GRUB2-дегі осалдықтар кодты панельді сәтті тексергеннен кейін, бірақ операциялық жүйені жүктемес бұрын, сенімді жүктеу режимі белсенді түрде сенім тізбегіне еніп, келесі жүктеу процесін толық бақылауға, соның ішінде басқасын жүктеуге мүмкіндік береді. ОЖ, операциялық жүйе құрамдастарының жүйесін өзгерту және бұғаттаудан қорғауды айналып өту.
Сандық қолтаңбаны жоймай осалдықты блоктау үшін дистрибутивтер ең танымал Linux дистрибутивтерінде GRUB2, shim және fwupd үшін қолдау көрсетілетін SBAT (UEFI Secure Boot Advanced Targeting) механизмін пайдалана алады. SBAT Microsoft корпорациясымен бірлесіп әзірленген және өндіруші, өнім, құрамдас және нұсқа туралы ақпаратты қамтитын UEFI құрамдастарының орындалатын файлдарына қосымша метадеректер қосуды қамтиды. Көрсетілген метадеректер сандық қолтаңбамен куәландырылған және UEFI Secure Boot үшін рұқсат етілген немесе тыйым салынған құрамдастардың тізіміне бөлек қосылуы мүмкін.
SBAT Secure Boot кілттерін қайтарып алмай, жеке құрамдас нұсқа нөмірлері үшін цифрлық қолтаңбаны пайдалануды блоктауға мүмкіндік береді. SBAT арқылы осалдықтарды блоктау UEFI сертификатын қайтарып алу тізімін (dbx) пайдалануды қажет етпейді, бірақ қолтаңбаларды жасау және GRUB2, shim және дистрибутивтермен қамтамасыз етілген басқа жүктеу артефактілерін жаңарту үшін ішкі кілтті ауыстыру деңгейінде орындалады. SBAT енгізілгенге дейін сертификатты қайтарып алу тізімін жаңарту (dbx, UEFI Revocation List) осалдықты толығымен блоктаудың міндетті шарты болды, өйткені шабуылдаушы қолданылатын амалдық жүйеге қарамастан, GRUB2 ескі осал нұсқасымен жүктелетін медианы пайдалана алады, UEFI Secure Boot мүмкіндігін бұзу үшін сандық қолтаңбамен куәландырылған.
Ақпарат көзі: opennet.ru