GRUB2 bootloader හි ඇති දුර්වලතා දෙකක් පිළිබඳව තොරතුරු අනාවරණය කර ඇත, එය විශේෂයෙන් නිර්මාණය කරන ලද අකුරු භාවිතා කරන විට සහ ඇතැම් යුනිකෝඩ් අනුක්රම සැකසීමේදී කේත ක්රියාත්මක වීමට හේතු විය හැක. UEFI Secure Boot සත්යාපිත ඇරඹුම් යාන්ත්රණය මඟ හැරීමට අවදානම් භාවිතා කළ හැක.
හඳුනාගත් දුර්වලතා:
- CVE-2022-2601 - max_glyph_size පරාමිතිය වැරදි ලෙස ගණනය කිරීම සහ පැහැදිලිවම අවශ්ය ප්රමාණයට වඩා කුඩා මතක ප්රදේශයක් වෙන් කිරීම හේතුවෙන් pf2 ආකෘතියෙන් විෙශේෂෙයන් නිර්මාණය කරන ලද අකුරු සැකසීමේදී grub_font_construct_glyph() ශ්රිතයේ බෆර පිටාර ගැලීම සිදුවේ. Glyphs වලට ඉඩ සලසන්න.
- CVE-2022-3775 සමහර යුනිකෝඩ් අනුක්රමික විශේෂයෙන් මෝස්තර සහිත අකුරු විදැහුම් කිරීමේදී සීමාවෙන් පිටත ලිවීමක් සිදුවේ. ගැටළුව ඇත්තේ අකුරු සැකසුම් කේතයේ වන අතර ග්ලයිෆ්හි පළල සහ උස පවතින බිට්මැප් ප්රමාණයට ගැළපෙන බව සහතික කිරීම සඳහා නිසි පරීක්ෂාවන් නොමැතිකම නිසා ඇතිවේ. ප්රහාරකයෙකුට දත්තවල වලිගය වෙන් කරන ලද බෆරයට පිටතින් ලිවීමට හේතු වන ආකාරයෙන් ආදානය සකස් කළ හැක. අවදානම සූරාකෑමේ සංකීර්ණත්වය තිබියදීත්, කේත ක්රියාත්මක කිරීම සඳහා ගැටළුව ගෙන ඒම බැහැර නොකරන බව සටහන් වේ.
නිවැරදි කිරීම පැච් එකක් ලෙස ප්රකාශයට පත් කර ඇත. බෙදාහැරීම් වල දුර්වලතා ඉවත් කිරීමේ තත්ත්වය මෙම පිටු වලින් තක්සේරු කළ හැක: Ubuntu, SUSE, RHEL, Fedora, Debian. GRUB2 හි ගැටළු නිරාකරණය කිරීම සඳහා, පැකේජය යාවත්කාලීන කිරීම පමණක් ප්රමාණවත් නොවේ; ඔබට නව අභ්යන්තර ඩිජිටල් අත්සන් උත්පාදනය කිරීමට සහ ස්ථාපකයන්, ඇරඹුම් කාරක, කර්නල් පැකේජ, fwupd ස්ථිරාංග සහ shim ස්ථරය යාවත්කාලීන කිරීමට අවශ්ය වනු ඇත.
බොහෝ Linux බෙදාහැරීම් UEFI ආරක්ෂිත ඇරඹුම් මාදිලියේ සත්යාපිත ඇරඹුම් සඳහා මයික්රොසොෆ්ට් විසින් ඩිජිටල් ලෙස අත්සන් කරන ලද කුඩා ෂිම් ස්ථරයක් භාවිතා කරයි. මෙම ස්තරය GRUB2 එහිම සහතිකය සමඟින් සත්යාපනය කරයි, එමඟින් බෙදාහැරීමේ සංවර්ධකයින්ට සෑම කර්නලයක්ම සහ GRUB යාවත්කාලීන කිරීම් Microsoft විසින් සහතික කර නොතිබීමට ඉඩ සලසයි. GRUB2 හි ඇති දුර්වලතා ඔබට සාර්ථක ෂිම් සත්යාපනයකින් පසු අදියරේදී ඔබේ කේතය ක්රියාත්මක කිරීමට ඉඩ සලසයි, නමුත් මෙහෙයුම් පද්ධතිය පූරණය කිරීමට පෙර, ආරක්ෂිත ඇරඹුම් ප්රකාරය සක්රීය වන විට විශ්වාස දාමයට සම්බන්ධ වීම සහ වැඩිදුර ඇරඹුම් ක්රියාවලියේ පූර්ණ පාලනය ලබා ගැනීම ඇතුළුව. වෙනත් මෙහෙයුම් පද්ධතියක් පැටවීම, මෙහෙයුම් පද්ධති සංරචක පද්ධතිය වෙනස් කිරීම සහ අගුලු දැමීමේ ආරක්ෂාව මඟ හැරීම.
ඩිජිටල් අත්සන අවලංගු කිරීමකින් තොරව අවදානම අවහිර කිරීම සඳහා, බෙදාහැරීම් වලට SBAT (UEFI ආරක්ෂිත ඇරඹුම් උසස් ඉලක්ක කිරීම) යාන්ත්රණය භාවිතා කළ හැක, එය GRUB2, shim සහ fwupd සඳහා වඩාත් ජනප්රිය Linux බෙදාහැරීම් සඳහා සහය දක්වයි. SBAT මයික්රොසොෆ්ට් සමඟ එක්ව සංවර්ධනය කරන ලද අතර නිෂ්පාදකයා, නිෂ්පාදනය, සංරචකය සහ අනුවාදය පිළිබඳ තොරතුරු ඇතුළත් UEFI සංරචකවල ක්රියාත්මක කළ හැකි ගොනු වෙත අමතර පාර-දත්ත එකතු කිරීම ඇතුළත් වේ. නිශ්චිත පාර-දත්ත ඩිජිටල් අත්සනකින් සහතික කර ඇති අතර UEFI Secure Boot සඳහා අවසර ලත් හෝ තහනම් සංරචක ලැයිස්තුවට වෙන වෙනම ඇතුළත් කළ හැක.
SBAT ඔබට Secure Boot සඳහා යතුරු අවලංගු කිරීමකින් තොරව තනි සංරචක අනුවාද අංක සඳහා ඩිජිටල් අත්සන් භාවිතය අවහිර කිරීමට ඉඩ සලසයි. SBAT හරහා දුර්වලතා අවහිර කිරීම සඳහා UEFI සහතික අවලංගු කිරීමේ ලැයිස්තුවක් (dbx) භාවිතා කිරීම අවශ්ය නොවේ, නමුත් අත්සන් උත්පාදනය කිරීමට සහ බෙදාහැරීම් මගින් සපයන GRUB2, shim සහ අනෙකුත් ඇරඹුම් පුරාවස්තු යාවත්කාලීන කිරීමට අභ්යන්තර යතුර ප්රතිස්ථාපනය කිරීමේ මට්ටමින් සිදු කෙරේ. SBAT හඳුන්වාදීමට පෙර, සහතික අවලංගු කිරීමේ ලැයිස්තුව (dbx, UEFI අවලංගු කිරීමේ ලැයිස්තුව) යාවත්කාලීන කිරීම අවදානම සම්පූර්ණයෙන්ම අවහිර කිරීම සඳහා පූර්ව අවශ්යතාවයක් විය, මන්ද ප්රහාරකයෙකුට, භාවිතා කරන මෙහෙයුම් පද්ධතිය කුමක් වුවත්, GRUB2 හි පැරණි අවදානමට ලක්විය හැකි අනුවාදයක් සමඟ ආරම්භ කළ හැකි මාධ්ය භාවිතා කළ හැකිය. UEFI Secure Boot සම්මුතියක් ඇති කිරීම සඳහා ඩිජිටල් අත්සනකින් සහතික කර ඇත.
මූලාශ්රය: opennet.ru