Драйверде GRUB2 жүктөгүчүндө NTFS файл системасы менен иштөөнү камсыз кылган аялуу жери (CVE-2023-4692) аныкталган, ал атайын иштелип чыккан файл тутумунун сүрөтүнө жетүү учурунда анын кодун жүктөөчүнүн деңгээлинде аткарууга мүмкүндүк берет. Алсыздык UEFI Secure Boot текшерилген жүктөө механизмин айланып өтүү үчүн колдонулушу мүмкүн.
Аялуу $ATTRIBUTE_LIST NTFS атрибуту (grub-core/fs/ntfs.c) үчүн талдоо кодундагы мүчүлүштүккө байланыштуу, ал бөлүнгөн буферден тышкары эстутум аймагына колдонуучу башкарган маалыматты жазуу үчүн колдонулушу мүмкүн. Атайын иштелип чыккан NTFS сүрөтүн иштеп чыгууда, ашыкча GRUB эс тутумунун бир бөлүгүн кайра жазууга, ошондой эле белгилүү бир шарттарда UEFI микропрограммасынын эс тутумунун зонасына зыян келтирүүгө алып келет, бул жүктөгүчтө же кодуңуздун аткарылышын уюштурууга мүмкүндүк берет. микропрограмма деңгээли.
Мындан тышкары, GRUB2ден келген NTFS драйверинде дагы бир алсыздык (CVE-2023-4693) аныкталган, ал атайын иштелип чыккан NTFS сүрөтүндөгү “$DATA” атрибутун талдоодо ыктыярдуу эс аймагынын мазмунун окууга мүмкүндүк берет. Башка нерселер менен катар, аялуу эстутумда кэштелген купуя маалыматтарды алууга же EFI өзгөрмөлөрүнүн маанилерин аныктоого мүмкүндүк берет.
Көйгөйлөр азырынча жамак түрүндө гана чечилди. Бөлүштүрүүдө алсыздыктарды жок кылуу статусун бул баракчалардан баалоого болот: Debian, Ubuntu, SUSE, RHEL, Fedora. GRUB2деги көйгөйлөрдү чечүү үчүн пакетти жаңыртуу эле жетишсиз; сиз жаңы ички санариптик кол тамгаларды жаратып, орнотуучуларды, жүктөөчүлөрдү, ядро пакеттерин, fwupd микропрограммасын жана катмар катмарын жаңыртышыңыз керек.
Көпчүлүк Linux дистрибьюторлору UEFI Secure Boot режиминде текшерилген жүктөө үчүн Microsoft тарабынан санариптик кол коюлган кичинекей катмар катмарын колдонушат. Бул катмар GRUB2ди өзүнүн сертификаты менен текшерет, бул дистрибьютордук иштеп чыгуучуларга Microsoft тарабынан тастыкталган ар бир ядро жана GRUB жаңыртууларына ээ болбоого мүмкүндүк берет. GRUB2деги алсыздыктар сизге кодуңузду ийгиликтүү текшерүү баскычында аткарууга мүмкүндүк берет, бирок операциялык системаны жүктөөдөн мурун, Secure Boot режими активдүү болгондо ишеним чынжырына кирүү жана андан аркы жүктөө процессин толук көзөмөлдөө үчүн, мисалы, башка ОС жүктөө үчүн, операциялык системанын компоненттерин өзгөртүү жана Lockdown коргоону айланып өтүү.
Санариптик кол тамганы жокко чыгарбастан алсыздыкты бөгөттөө үчүн дистрибьюторлор SBAT (UEFI Secure Boot Advanced Targeting) механизмин колдоно алышат, ал GRUB2, shim жана fwupd үчүн колдоого алынган Linux дистрибьюторлорунун көпчүлүгүндө. SBAT Microsoft менен биргеликте иштелип чыккан жана UEFI компоненттеринин аткарылуучу файлдарына кошумча метаберилиштерди кошууну камтыйт, анда өндүрүүчү, продукт, компонент жана версия жөнүндө маалымат камтылган. Көрсөтүлгөн метадайындар санарип колтамгасы менен тастыкталган жана UEFI Secure Boot үчүн уруксат берилген же тыюу салынган компоненттердин тизмесине өзүнчө киргизилиши мүмкүн.
SBAT сизге Secure Boot үчүн ачкычтарды жокко чыгарбастан, жеке компоненттердин версия номерлери үчүн санарип кол тамгаларды колдонууга бөгөт коюуга мүмкүндүк берет. SBAT аркылуу алсыздыктарды бөгөттөө UEFI сертификатын жокко чыгаруу тизмесин (dbx) колдонууну талап кылбайт, бирок кол тамгаларды түзүү жана GRUB2, shim жана бөлүштүрүүлөр тарабынан берилген башка жүктөө артефакттарын жаңыртуу үчүн ички ачкычты алмаштыруу деңгээлинде аткарылат. SBAT киргизилгенге чейин жокко чыгаруу сертификаттарынын тизмесин жаңыртуу (dbx, UEFI Revocation List) алсыздыкты толугу менен бөгөттөө үчүн зарыл шарт болгон, анткени колдонулган операциялык тутумга карабастан, чабуулчу UEFI Secure Boot программасын бузуу үчүн жүктөөчү жүктөөнү колдоно алат.
Source: opennet.ru