ສອງຊ່ອງໂຫວ່ໃນ GRUB2 ທີ່ອະນຸຍາດໃຫ້ທ່ານຂ້າມ UEFI Secure Boot ປ້ອງກັນ

Раскрыты сведения о двух уязвимостях в загрузчике GRUB2, которые могут привести к выполнению кода при использовании специально оформленных шрифтов и обработке определённых Unicode-последовательностей. Уязвимости могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot.

ຊ່ອງໂຫວ່ທີ່ລະບຸໄວ້:

• CVE-2022-2601 — переполнение буфера в функции grub_font_construct_glyph() при обработке специально оформленных шрифтов в формате pf2, возникающее из-за неверного расчёта параметра max_glyph_size и выделения области памяти, заведомо меньшей, чем необходимо для размещения глифов.
• CVE-2022-3775 — запись за пределы выделенной области памяти при отрисовке некоторых последовательностей Unicode специально оформленным шрифтом. Проблема присутствует в коде обработки шрифтов и вызвана отсутствием должных проверок соответствия ширины и высоты глифа размеру имеющейся битовой карты. Атакующий может подобрать ввод таким образом, чтобы вызвать запись хвоста данных на пределами выделенного буфера. Отмечается, что несмотря на сложность эксплуатации уязвимости, доведение проблемы до выполнения кода не исключается.

Исправление опубликовано в виде патча. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Ubuntu, SUSE, RHEL, Fedora, Debian. Для устранения проблем в GRUB2 недостаточно просто обновить пакет, потребуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку.

ການແຈກຢາຍ Linux ສ່ວນໃຫຍ່ໃຊ້ຊັ້ນ shim ຂະຫນາດນ້ອຍລົງນາມໂດຍ Microsoft ສໍາລັບການກວດສອບການບູດໃນ UEFI Secure Boot mode. ຊັ້ນນີ້ກວດສອບ GRUB2 ດ້ວຍໃບຢັ້ງຢືນຂອງຕົນເອງ, ເຊິ່ງອະນຸຍາດໃຫ້ຜູ້ພັດທະນາການແຈກຢາຍບໍ່ໃຫ້ມີທຸກ kernel ແລະການປັບປຸງ GRUB ທີ່ໄດ້ຮັບການຢັ້ງຢືນໂດຍ Microsoft. ຊ່ອງໂຫວ່ໃນ GRUB2 ຊ່ວຍໃຫ້ທ່ານບັນລຸການປະຕິບັດລະຫັດຂອງທ່ານໃນຂັ້ນຕອນຫຼັງຈາກການກວດສອບ shim ສົບຜົນສໍາເລັດ, ແຕ່ກ່ອນທີ່ຈະໂຫລດລະບົບປະຕິບັດການ, wedging ເຂົ້າໄປໃນລະບົບຕ່ອງໂສ້ຂອງຄວາມໄວ້ວາງໃຈໃນເວລາທີ່ໂຫມດ Secure Boot ມີການເຄື່ອນໄຫວແລະໄດ້ຮັບການຄວບຄຸມຢ່າງເຕັມທີ່ກ່ຽວກັບຂະບວນການ boot ຕື່ມອີກ, ລວມທັງ. ການໂຫຼດ OS ອື່ນ, ປັບປຸງລະບົບອົງປະກອບຂອງລະບົບປະຕິບັດການ ແລະຜ່ານການປ້ອງກັນ Lockdown.

ເພື່ອສະກັດຊ່ອງໂຫວ່ໂດຍບໍ່ມີການຖອນລາຍເຊັນດິຈິຕອນ, ການແຈກຢາຍສາມາດນໍາໃຊ້ກົນໄກ SBAT (UEFI Secure Boot Advanced Targeting) ເຊິ່ງສະຫນັບສະຫນູນສໍາລັບ GRUB2, shim ແລະ fwupd ໃນການແຈກຢາຍ Linux ທີ່ນິຍົມຫຼາຍທີ່ສຸດ. SBAT ໄດ້ຖືກພັດທະນາຮ່ວມກັນກັບ Microsoft ແລະກ່ຽວຂ້ອງກັບການເພີ່ມ metadata ເພີ່ມເຕີມໃນໄຟລ໌ປະຕິບັດການຂອງອົງປະກອບ UEFI, ເຊິ່ງປະກອບມີຂໍ້ມູນກ່ຽວກັບຜູ້ຜະລິດ, ຜະລິດຕະພັນ, ອົງປະກອບແລະສະບັບ. metadata ທີ່ກໍານົດໄວ້ແມ່ນໄດ້ຮັບການຢັ້ງຢືນດ້ວຍລາຍເຊັນດິຈິຕອນແລະສາມາດຖືກລວມເຂົ້າແຍກຕ່າງຫາກໃນບັນຊີລາຍຊື່ຂອງອົງປະກອບທີ່ອະນຸຍາດຫຼືຫ້າມສໍາລັບ UEFI Secure Boot.

SBAT позволяет блокировать использование цифровой подписи для отдельных номеров версий компонентов без необходимости отзыва ключей для Secure Boot. Блокирование уязвимостей через SBAT не требует использования списка отозванных сертификатов UEFI (dbx), а производится на уровне замены внутреннего ключа для формирования подписей и обновления GRUB2, shim и других поставляемых дистрибутивами загрузочных артефактов. До внедрения SBAT, обновление списка отозванных сертификатов (dbx, UEFI Revocation List) было обязательным условием полного блокирования уязвимости, так как атакующий, независимо от используемой операционной системы, мог для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью.

ແຫຼ່ງຂໍ້ມູນ: opennet.ru