O faʻamatalaga ua faʻaalia e uiga i le 8 faʻafitauli i le GRUB2 bootloader, lea e mafai ai ona e pasia le UEFI Secure Boot mechanism ma faʻatautaia le code unverified, mo se faʻataʻitaʻiga, faʻaogaina malware o loʻo taʻavale i le bootloader poʻo le kernel level.
Sei o tatou manatua i le tele o faʻasalalauga Linux, mo le faʻamaonia o le taʻavale i le UEFI Secure Boot mode, o loʻo faʻaaogaina se laʻititi laʻititi, saini numera e Microsoft. O lenei laulau e faʻamaonia ai le GRUB2 ma lana lava tusi faamaonia, lea e mafai ai e le au atinaʻe tufatufa ona le maua uma fatu ma GRUB faʻafouina faʻamaonia e Microsoft. Faʻafitauli i le GRUB2 faʻatagaina oe e ausia le faʻatinoina o lau code i le tulaga pe a maeʻa le faʻamaoniga faʻamaonia manuia, ae aʻo leʻi utaina le faiga faʻaogaina, faʻapipiʻi i le filifili o le faʻalagolago pe a faʻagaoioia Secure Boot mode ma maua le pule atoatoa i luga o le faʻagasologa o taʻavale, e aofia ai utaina o se isi OS, fa'aleleia le fa'aogaina o vaega vaega faiga ma alo ese Lockdown puipuiga.
E pei o le vaivai o le BootHole i le tausaga talu ai, e le lava le faʻafouina o le bootloader e poloka ai le faʻafitauli, talu ai o se tagata osofaʻi, e tusa lava po o le a le faʻaogaina o le faʻaogaina, e mafai ona faʻaogaina faʻasalalauga faʻapipiʻi ma se tuai, faʻailoga numera, faʻafitauli vaivai o le GRUB2 e faʻafefe ai le UEFI Secure Boot. O le faʻafitauli e mafai ona foia e ala i le faʻafouina o le tusi faʻamalo lisi lisi (dbx, UEFI Revocation List), ae i lenei tulaga o le a leiloa le mafai ona faʻaogaina faʻasalalauga tuai faʻapipiʻi ma Linux.
I luga o faiga ma firmware o loʻo i ai se lisi faʻamutaina o le tusi faamaonia, naʻo le faʻafouina o faʻasalalauga o Linux e mafai ona utaina i le UEFI Secure Boot mode. Fa'asoa e mana'omia le fa'afouina o mea fa'apipi'i, bootloaders, kernel packages, fwupd firmware ma shim layer, fa'atupuina saini numera fou mo i latou. E manaʻomia tagata faʻaoga e faʻafou ata faʻapipiʻi ma isi faʻasalalauga faʻapipiʻi, faʻapea foʻi ma le utaina o se lisi faʻaleaogaina tusi (dbx) i totonu o le firmware UEFI. Aʻo leʻi faʻafouina le dbx i le UEFI, o loʻo tumau pea le faʻaogaina o le polokalama e tusa lava po o le a le faʻapipiʻiina o faʻafouga i le OS. E mafai ona suʻesuʻeina le tulaga o faʻafitauli i luga o itulau nei: Ubuntu, SUSE, RHEL, Debian.
Ina ia foia faʻafitauli e tulaʻi mai pe a tufatufaina atu tusi pasi faʻaleaogaina, i le lumanaʻi o loʻo fuafua e faʻaaoga le SBAT (UEFI Secure Boot Advanced Targeting), lagolago lea na faʻatinoina mo GRUB2, shim ma fwupd, ma amata mai i le isi faʻafouga o le a fa'aaoga nai lo le fa'atinoga na tu'uina mai e le dbxtool package. SBAT na fausia fa'atasi ma Microsoft ma e aofia ai le fa'aopoopoina o metadata fou i faila fa'atino o vaega UEFI, lea e aofia ai fa'amatalaga e uiga i le gaosiga, oloa, vaega ma fa'asologa. O metadata fa'amaonia ua fa'amaonia i se saini numera ma e mafai ona fa'aopoopoina i totonu o lisi o vaega fa'atagaina pe fa'asaina mo le UEFI Secure Boot. O le mea lea, o le a faʻatagaina oe e le SBAT e faʻaogaina numera o vaega i le taimi o le faʻateʻaina e aunoa ma le manaʻomia e toe faʻafouina ki mo Secure Boot ma aunoa ma le fatuina o saini fou mo le fatu, shim, grub2 ma le fwupd.
Fa'ailoga fa'aletonu:
- CVE-2020-14372 - Faʻaaogaina le faʻatonuga acpi i le GRUB2, e mafai e se tagata faʻapitoa i luga o le faʻalapotopotoga faʻapitonuʻu ona utaina laulau ACPI faʻaleleia e ala i le tuʻuina o se SSDT (Secondary System Description Table) i le /boot/efi directory ma suia tulaga i grub.cfg. E ui lava o loʻo galue le Secure Boot mode, o le SSDT fuafuaina o le a faʻatinoina e le fatu ma e mafai ona faʻaoga e faʻamalo ai le puipuiga LockDown e poloka ai le UEFI Secure Boot ala ala. O se taunuuga, e mafai e le tagata osofaʻi ona ausia le utaina o lana kernel module poʻo le faʻaogaina o le code e ala i le kexec mechanism, e aunoa ma le siakiina o le saini numera.
- CVE-2020-25632 o se faʻaoga-pe a uma-leai se manatua avanoa i le faʻatinoga o le rmmod poloaiga, lea e tupu pe a faia se taumafaiga e aveese soʻo se module e aunoa ma le amanaia o faʻalagolago e fesoʻotaʻi ma ia. O le fa'aletonu e le'o fa'ate'aina ai le fa'atupuina o se fa'aoga e mafai ona ta'ita'i atu ai i le fa'atinoina o tulafono e ala i le fa'amaoniaina o le Secure Boot.
- CVE-2020-25647 O se tusi i fafo atu o tuaoi i le grub_usb_device_initialize() galuega e taʻua pe a amataina masini USB. O le faʻafitauli e mafai ona faʻaaogaina e ala i le faʻafesoʻotaʻi o se masini USB ua saunia faʻapitoa e maua ai faʻamaufaʻailoga e le tutusa le tele ma le tele o le paʻu ua tuʻuina atu mo fausaga USB. E mafai e se tagata osofaʻi ona ausia le faʻatinoina o le code e leʻo faʻamaonia i le Secure Boot e ala i le faʻaogaina o masini USB.
- CVE-2020-27749 o se faʻamaufaʻailoga faʻafefe i le grub_parser_split_cmdline() galuega, lea e mafai ona mafua mai i le faʻamaonia o fesuiaiga e sili atu i le 2 KB i luga ole laina ole GRUB1. O le fa'aletonu e mafai ai e le fa'atinoina o tulafono ona fa'aaloa le Secure Boot.
- CVE-2020-27779 - O le faʻatonuga cutmem e mafai ai e se tagata osofaʻi ona aveese le tele o tuatusi mai le manatua e faʻafefe ai Secure Boot.
- CVE-2021-3418 - Suiga i le shim_lock na fausia ai se vete faaopoopo e faʻaogaina ai le vaivai o le tausaga talu ai CVE-2020-15705. I le faʻapipiʻiina o le tusi faamaonia na faʻaaogaina e sainia ai le GRUB2 i le dbx, GRUB2 faʻatagaina soʻo se fatu e uta saʻo e aunoa ma le faʻamaonia o le saini.
- CVE-2021-20225 - Avanoa e tusia ai faʻamatalaga i fafo atu o tuaoi pe a faʻatautaia poloaiga ma se numera tele o filifiliga.
- CVE-2021-20233 - E mafai ona tusia faʻamatalaga i fafo atu o tuaoi ona o le le saʻo o le faʻatulagaina o le paʻu pe a faʻaaoga upusii. Pe a fa'atatauina le tele, sa fa'apea e tolu mataitusi e mana'omia e sola ese ai i se upusii e tasi, ae o le mea moni e fa e mana'omia.
puna: opennet.ru