Após dois anos de desenvolvimento, foi apresentada uma versão estável do gerenciador de inicialização modular multiplataforma GNU GRUB 2.06 (GRand Unified Bootloader). GRUB suporta uma ampla gama de plataformas, incluindo PCs convencionais com BIOS, plataformas IEEE-1275 (hardware baseado em PowerPC/Sparc64), sistemas EFI, RISC-V, hardware baseado em processador Loongson 2E compatível com MIPS, Itanium, ARM, ARM64 e ARCS (SGI), dispositivos que usam o pacote CoreBoot gratuito.
Principais inovações:
- Adicionado suporte para o mecanismo SBAT (UEFI Secure Boot Advanced Targeting), que resolve problemas com revogação de certificados usados para autenticar carregadores de inicialização para UEFI Secure Boot. O SBAT envolve a adição de novos metadados, que são assinados digitalmente e podem ser incluídos adicionalmente nas listas de componentes permitidos ou proibidos para UEFI Secure Boot. Os metadados especificados permitem manipular os números de versão dos componentes durante a revogação sem a necessidade de regenerar chaves para inicialização segura e sem gerar novas assinaturas.
- Adicionado suporte para o formato de criptografia de disco LUKS2, que difere do LUKS1 em um sistema de gerenciamento de chaves simplificado, a capacidade de usar setores grandes (4096 em vez de 512, reduz a carga durante a descriptografia), o uso de identificadores de partição simbólicos e meios de backup metadados com a capacidade de restaurá-los automaticamente a partir de uma cópia se forem detectados danos.
- O suporte para intervalos curtos de MBR foi descontinuado (a área entre o MBR e o início da partição do disco; no GRUB é usado para armazenar parte do bootloader que não cabe no setor MBR).
- Adicionado suporte para XSM (Módulos de Segurança Xen), que permitem definir restrições e permissões adicionais para o hipervisor Xen. máquinas virtuais e recursos relacionados.
- Реализован механизм lockdown, похожий на аналогичный набор ограничений в ядре Linux. Lockdown блокирует возможные пути обхода UEFI Secure Boot, например, запрещает доступ к некоторым интерфейсам ACPI и MSR-регистрам CPU, ограничивает использование DMA для PCI-устройств, блокирует импорт кода ACPI из переменных EFI, не допускаются манипуляции с портами ввода/вывода.
- Por padrão, o utilitário os-prober, que encontra partições de inicialização de outros sistemas operacionais e as adiciona ao menu de inicialização, está desabilitado.
- Бэкпортированы патчи, подготовленные различными дистрибутивами Linux.
- As vulnerabilidades BootHole e BootHole2 foram corrigidas.
- Implementada a capacidade de construir usando GCC 10 e Clang 10.
Fonte: opennet.ru
