GRUB2 bootloader හි ඇති දුර්වලතා දෙකක් පිළිබඳව තොරතුරු අනාවරණය කර ඇත, එය විශේෂයෙන් නිර්මාණය කරන ලද අකුරු භාවිතා කරන විට සහ ඇතැම් යුනිකෝඩ් අනුක්රම සැකසීමේදී කේත ක්රියාත්මක වීමට හේතු විය හැක. UEFI Secure Boot සත්යාපිත ඇරඹුම් යාන්ත්රණය මඟ හැරීමට අවදානම් භාවිතා කළ හැක.
හඳුනාගත් දුර්වලතා:
- CVE-2022-2601 - max_glyph_size පරාමිතිය වැරදි ලෙස ගණනය කිරීම සහ පැහැදිලිවම අවශ්ය ප්රමාණයට වඩා කුඩා මතක ප්රදේශයක් වෙන් කිරීම හේතුවෙන් pf2 ආකෘතියෙන් විෙශේෂෙයන් නිර්මාණය කරන ලද අකුරු සැකසීමේදී grub_font_construct_glyph() ශ්රිතයේ බෆර පිටාර ගැලීම සිදුවේ. Glyphs වලට ඉඩ සලසන්න.
- CVE-2022-3775 සමහර යුනිකෝඩ් අනුක්රමික විශේෂයෙන් මෝස්තර සහිත අකුරු විදැහුම් කිරීමේදී සීමාවෙන් පිටත ලිවීමක් සිදුවේ. ගැටළුව ඇත්තේ අකුරු සැකසුම් කේතයේ වන අතර ග්ලයිෆ්හි පළල සහ උස පවතින බිට්මැප් ප්රමාණයට ගැළපෙන බව සහතික කිරීම සඳහා නිසි පරීක්ෂාවන් නොමැතිකම නිසා ඇතිවේ. ප්රහාරකයෙකුට දත්තවල වලිගය වෙන් කරන ලද බෆරයට පිටතින් ලිවීමට හේතු වන ආකාරයෙන් ආදානය සකස් කළ හැක. අවදානම සූරාකෑමේ සංකීර්ණත්වය තිබියදීත්, කේත ක්රියාත්මක කිරීම සඳහා ගැටළුව ගෙන ඒම බැහැර නොකරන බව සටහන් වේ.
නිවැරදි කිරීම පැච් එකක් ලෙස ප්රකාශයට පත් කර ඇත. බෙදාහැරීම්වල අවදානම් නිවැරදි කිරීම් වල තත්ත්වය මෙම පිටුවලින් තක්සේරු කළ හැක: Ubuntu, SUSE, RHEL, ෆෙඩෝරා, DebianGRUB2 ගැටළු නිරාකරණය කිරීම සඳහා පැකේජය යාවත්කාලීන කිරීමට වඩා වැඩි යමක් අවශ්ය වේ; එයට නව අභ්යන්තර ඩිජිටල් අත්සන් ජනනය කිරීම සහ ස්ථාපක, ඇරඹුම් කාරක, කර්නල් පැකේජ, fwupd ස්ථිරාංග සහ shim ස්ථරය යාවත්කාලීන කිරීම ද අවශ්ය වේ.
බොහෝ LinuxUEFI ආරක්ෂිත ඇරඹුම් මාදිලියේ සත්යාපිත ඇරඹුම සඳහා බෙදාහැරීම්, මයික්රොසොෆ්ට් විසින් ඩිජිටල් ලෙස අත්සන් කරන ලද කුඩා ෂිම් ස්ථරයක් භාවිතා කරයි. මෙම ස්ථරය තමන්ගේම සහතිකයකින් GRUB2 සත්යාපනය කරයි, බෙදාහැරීමේ සංවර්ධකයින්ට සෑම කර්නලයක් සහ GRUB යාවත්කාලීනයක්ම Microsoft වෙත දැනුම් දීමේ අවශ්යතාවය ඉවත් කරයි. GRUB2 හි ඇති අවදානම්, සාර්ථක ෂිම් සත්යාපනයෙන් පසුව අත්තනෝමතික කේත ක්රියාත්මක කිරීමට ඉඩ සලසයි, නමුත් මෙහෙයුම් පද්ධතිය ආරම්භ වීමට පෙර. මෙය ආරක්ෂිත ඇරඹුම සක්රීය කළ විට ප්රහාරකයින්ට විශ්වාස දාමයට කඩා වැදීමට සහ වෙනත් මෙහෙයුම් පද්ධතියක් ආරම්භ කිරීම, මෙහෙයුම් පද්ධති සංරචක වෙනස් කිරීම සහ අගුළු දැමීමේ ආරක්ෂාව මඟ හැරීම ඇතුළුව පසුකාලීන ඇරඹුම් ක්රියාවලිය කෙරෙහි සම්පූර්ණ පාලනය ලබා ගැනීමට ඉඩ සලසයි.
ඩිජිටල් අත්සන අවලංගු නොකර අවදානම අවහිර කිරීම සඳහා, බෙදාහැරීම් වලට SBAT (UEFI Secure Boot Advanced Targeting) යාන්ත්රණය භාවිතා කළ හැකි අතර, ඒ සඳහා සහය බොහෝ ජනප්රිය බෙදාහැරීම් වල GRUB2, shim සහ fwupd සඳහා ක්රියාත්මක වේ. LinuxSBAT මයික්රොසොෆ්ට් සමඟ සහයෝගයෙන් සංවර්ධනය කරන ලද අතර නිෂ්පාදකයා, නිෂ්පාදනය, සංරචකය සහ අනුවාදය පිළිබඳ තොරතුරු ඇතුළුව UEFI සංරචක ක්රියාත්මක කළ හැකි ගොනු වලට අමතර පාර-දත්ත එකතු කිරීම ඇතුළත් වේ. මෙම පාර-දත්ත ඩිජිටල් ලෙස අත්සන් කර ඇති අතර UEFI ආරක්ෂිත ඇරඹුම සඳහා අවසර දී ඇති හෝ ප්රතික්ෂේප කරන ලද සංරචක ලැයිස්තුවලට වෙන වෙනම ඇතුළත් කළ හැකිය.
SBAT ඔබට Secure Boot සඳහා යතුරු අවලංගු කිරීමකින් තොරව තනි සංරචක අනුවාද අංක සඳහා ඩිජිටල් අත්සන් භාවිතය අවහිර කිරීමට ඉඩ සලසයි. SBAT හරහා දුර්වලතා අවහිර කිරීම සඳහා UEFI සහතික අවලංගු කිරීමේ ලැයිස්තුවක් (dbx) භාවිතා කිරීම අවශ්ය නොවේ, නමුත් අත්සන් උත්පාදනය කිරීමට සහ බෙදාහැරීම් මගින් සපයන GRUB2, shim සහ අනෙකුත් ඇරඹුම් පුරාවස්තු යාවත්කාලීන කිරීමට අභ්යන්තර යතුර ප්රතිස්ථාපනය කිරීමේ මට්ටමින් සිදු කෙරේ. SBAT හඳුන්වාදීමට පෙර, සහතික අවලංගු කිරීමේ ලැයිස්තුව (dbx, UEFI අවලංගු කිරීමේ ලැයිස්තුව) යාවත්කාලීන කිරීම අවදානම සම්පූර්ණයෙන්ම අවහිර කිරීම සඳහා පූර්ව අවශ්යතාවයක් විය, මන්ද ප්රහාරකයෙකුට, භාවිතා කරන මෙහෙයුම් පද්ධතිය කුමක් වුවත්, GRUB2 හි පැරණි අවදානමට ලක්විය හැකි අනුවාදයක් සමඟ ආරම්භ කළ හැකි මාධ්ය භාවිතා කළ හැකිය. UEFI Secure Boot සම්මුතියක් ඇති කිරීම සඳහා ඩිජිටල් අත්සනකින් සහතික කර ඇත.
මූලාශ්රය: opennet.ru
