ProHoster > Blog > berita internet > 2 kelemahan ditemui dalam pemuat but GRUB21

2 kelemahan ditemui dalam pemuat but GRUB21

Butiran 21 kelemahan dalam pemuat but GRUB2 telah diterbitkan, yang kebanyakannya membawa kepada limpahan penimbal dan boleh digunakan untuk memintas mekanisme but yang disahkan UEFI Secure Boot. Masalahnya hanya diselesaikan dalam bentuk tampalan setakat ini. Status pembetulan kelemahan dalam pengedaran boleh dinilai pada halaman ini: Debian, Ubuntu, SUSE, RHEL, Fedora. Membetulkan masalah dalam GRUB2 memerlukan lebih daripada sekadar mengemas kini pakej; ia juga memerlukan penjanaan tandatangan digital dalaman baharu dan pengemaskinian pemasang, pemuat but, pakej kernel, perisian tegar fwupd dan lapisan shim.

Kelemahan yang dikenal pasti:

  • CVE-2024-45774: Tulis di luar sempadan apabila menghuraikan imej JPEG yang dibuat.
  • CVE-2024-45776, CVE-2024-45777: Integer melimpah apabila membaca fail mo yang dibuat khas, yang membawa kepada penulisan di luar sempadan.
  • CVE-2024-45778, CVE-2024-45779: Integer melimpah apabila bekerja dengan sistem fail BFS yang rosak, yang membawa kepada limpahan penimbal.
  • CVE-2024-45780: Limpahan integer apabila mengendalikan arkib tar yang dibuat khas membawa kepada penulisan di luar sempadan.
  • CVE-2024-45781, CVE-2025-0677: Penampan melimpah apabila bekerja dengan sistem fail UFS yang rosak.
  • CVE-2024-45782, CVE-2025-1125: Penampan melimpah apabila memasang partition HFS yang dibuat khas.
  • CVE-2025-0622: Ralat penggunaan selepas bebas semasa manipulasi modul boleh membawa kepada pelaksanaan kod penyerang.
  • CVE-2025-0624: Limpahan penimbal dalam but rangkaian.
  • CVE-2025-0678: Limpahan penimbal apabila mengendalikan sistem fail Squash4 yang rosak.
  • CVE-2025-0684: Penampan melimpah apabila memanipulasi pautan simbolik dalam Reiserfs.
  • CVE-2025-0685: Penampan melimpah apabila memanipulasi pautan simbolik dalam JFS.
  • CVE-2025-0685: Penampan melimpah apabila memanipulasi pautan simbolik dalam ROMFS.
  • CVE-2025-0689: Limpahan penimbal apabila mengendalikan bahagian UDF yang diubah suai khas.
  • CVE-2025-0690: Limpahan penimbal apabila menerima data yang dibuat khas daripada papan kekunci.
  • CVE-2025-1118: Pintasan Mod Pengasingan Lockdown dan Pengekstrakan Memori Arbitrari melalui Perintah Dump.
  • CVE-2024-45775: Kekurangan pemeriksaan kod ralat semasa memperuntukkan memori semasa menghuraikan argumen yang diluluskan boleh menyebabkan kerosakan data IVT (Jadual Vektor Interupsi).
  • CVE-2024-45783: Akses penuding NULL apabila memasang sistem fail HFS+ yang tidak sah.

Kebanyakan pengedaran Linux menggunakan lapisan shim kecil yang ditandatangani secara digital oleh Microsoft untuk but yang disahkan dalam mod UEFI Secure Boot. Lapisan ini mengesahkan GRUB2 dengan sijilnya sendiri, yang membenarkan pembangun pengedaran tidak mempunyai setiap kernel dan kemas kini GRUB yang diperakui oleh Microsoft. Kerentanan dalam GRUB2 membolehkan anda mencapai pelaksanaan kod anda pada peringkat selepas pengesahan shim berjaya, tetapi sebelum memuatkan sistem pengendalian, terikat ke dalam rantai kepercayaan apabila mod Secure Boot aktif dan mendapat kawalan penuh ke atas proses but selanjutnya, untuk contoh, untuk memuatkan OS lain, ubah suai komponen sistem pengendalian dan pintasan perlindungan Lockdown.

Untuk menyekat kelemahan tanpa membatalkan tandatangan digital, pengedaran boleh menggunakan mekanisme SBAT (UEFI Secure Boot Advanced Targeting), yang disokong untuk GRUB2, shim dan fwupd dalam kebanyakan pengedaran Linux yang popular. SBAT dibangunkan bersama Microsoft dan melibatkan penambahan metadata tambahan pada fail boleh laku komponen UEFI, yang merangkumi maklumat tentang pengilang, produk, komponen dan versi. Metadata yang ditentukan diperakui dengan tandatangan digital dan boleh dimasukkan secara berasingan dalam senarai komponen yang dibenarkan atau dilarang untuk UEFI Secure Boot.

SBAT membolehkan anda menyekat penggunaan tandatangan digital untuk nombor versi komponen individu tanpa perlu membatalkan kunci untuk Boot Selamat. Menyekat kelemahan melalui SBAT tidak memerlukan penggunaan senarai pembatalan sijil UEFI (dbx), tetapi dilakukan pada tahap menggantikan kunci dalaman untuk menjana tandatangan dan mengemas kini GRUB2, shim dan artifak but lain yang dibekalkan oleh pengedaran. Sebelum pengenalan SBAT, mengemas kini senarai pembatalan sijil (dbx, Senarai Pembatalan UEFI) merupakan prasyarat untuk menyekat sepenuhnya kerentanan, kerana penyerang, tanpa mengira sistem pengendalian yang digunakan, boleh menggunakan media boleh boot dengan versi rentan lama GRUB2 diperakui oleh tandatangan digital untuk menjejaskan UEFI Secure Boot .

Sumber: opennet.ru

Tambah komen