En uppsÀttning patchar har publicerats som ÄtgÀrdar sex sÄrbarheter i GRUB2-bootloadern, varav de flesta leder till problem med use-after-free (UAF). Dessa potentiella problem kan anvÀndas för att kringgÄ den verifierade startmekanismen för UEFI Secure Boot. Statusen för dessa patchar i distributioner kan bedömas pÄ följande sidor: Debian, Ubuntu, SUSE, RHEL, Arch och Fedora. Att ÄtgÀrda GRUB2-problem krÀver mer Àn att bara uppdatera paketet; det krÀver ocksÄ att nya interna digitala signaturer genereras och att installationsprogram, bootloaders, kernelpaket, fwupd-firmware och shim-lagret uppdateras.
Identifierade sÄrbarheter:
- CVE-2025-61661 â En skrivning utanför grĂ€nserna i funktionen grub_usb_get_string() kan utnyttjas vid bearbetning av UTF-8- och UTF-16-kodade strĂ€ngar som överförs vid anslutning av USB-enheter. Problemet orsakas av att bufferten allokeras baserat pĂ„ strĂ€ngstorleken som anges i det första meddelandet frĂ„n USB-enheten, och storleken under kodningskonverteringen berĂ€knades baserat pĂ„ efterföljande lĂ€soperationer frĂ„n USB-enheten. Följaktligen kan en modifierad USB-enhet som initialt returnerar en underskattad storlek anvĂ€ndas för denna attack.
- CVE-2025-61663, CVE-2025-61664, CVE-2025-54770, CVE-2025-61662 â misslyckades med att rensa kommandohanterarna "normal", "normal_exit", "net_set_vlan" och "gettext" vid avlastning av modulerna "normal", "net" och "gettext". Detta skapar förutsĂ€ttningar för en use-after-free (UFS) sĂ„rbarhet nĂ€r ovannĂ€mnda kommandon körs efter att motsvarande moduler har avlastats. Liknande sĂ„rbarheter hittades ocksĂ„ för kommandona "functional_test" och "all_functional_test", men de har inte tilldelats CVE-identifierare eftersom dessa kommandon Ă€r en del av testbiblioteket och inte bör inkluderas i produktionsversioner.
- CVE-2025-54771 - Ett fel i referensrÀkningen av "fs"-strukturer i funktionen grub_file_close() leder till en use-after-free-funktion.
I de flesta LinuxDistributioner för verifierad start i UEFI Secure Boot-lÀge anvÀnder ett litet shim-lager, digitalt signerat av Microsoft. Detta lager verifierar GRUB2 med sitt eget certifikat, vilket eliminerar behovet för distributionsutvecklare att meddela Microsoft om varje kÀrn- och GRUB-uppdatering. SÄrbarheter i GRUB2 möjliggör godtycklig kodkörning efter lyckad shim-verifiering, men innan operativsystemet startar. Detta gör det möjligt för angripare att bryta sig in i förtroendekedjan nÀr Secure Boot Àr aktiverat och fÄ fullstÀndig kontroll över den efterföljande startprocessen, till exempel för att starta ett annat operativsystem, modifiera operativsystemkomponenter eller kringgÄ lÄsningsskydd.
För att blockera sÄrbarheten utan att Äterkalla den digitala signaturen kan distributioner anvÀnda SBAT-mekanismen (UEFI Secure Boot Advanced Targeting), vars stöd Àr implementerat för GRUB2, shim och fwupd i de flesta populÀra distributioner. LinuxSBAT utvecklades i samarbete med Microsoft och innebÀr att ytterligare metadata lÀggs till i UEFI-komponenters körbara filer, inklusive information om tillverkare, produkt, komponent och version. Dessa metadata Àr digitalt signerade och kan inkluderas separat i listorna över tillÄtna eller nekade komponenter för UEFI Secure Boot.
SBAT lÄter dig blockera anvÀndningen av digitala signaturer för individuella komponentversionsnummer utan att behöva Äterkalla nycklar för sÀker start. Blockering av sÄrbarheter via SBAT krÀver inte anvÀndning av en UEFI-certifikatÄterkallelselista (dbx), utan utförs pÄ nivÄn att ersÀtta den interna nyckeln för att generera signaturer och uppdatera GRUB2, shim och andra startartefakter som tillhandahÄlls av distributioner. Före introduktionen av SBAT var uppdatering av certifikatspÀrrlistan (dbx, UEFI Revocation List) en förutsÀttning för att helt blockera sÄrbarheten, eftersom en angripare, oavsett vilket operativsystem som anvÀnds, kunde anvÀnda startbara media med en gammal sÄrbar version av GRUB2, certifierad av en digital signatur för att Àventyra UEFI Secure Boot .
KĂ€lla: opennet.ru
