TvÄ sÄrbarheter i GRUB2-bootloadern har avslöjats, vilka kan leda till kodkörning vid anvÀndning av specialskapade teckensnitt och hantering av vissa Unicode-sekvenser. SÄrbarheterna kan anvÀndas för att kringgÄ den verifierade startmekanismen för UEFI Secure Boot.
Identifierade sÄrbarheter:
- CVE-2022-2601 - BuffertöversvÀmning i grub_font_construct_glyph()-funktionen vid bearbetning av specialdesignade teckensnitt i pf2-format, orsakad av felaktig berÀkning av parametern max_glyph_size och allokering av minnesutrymme, vilket uppenbarligen Àr mindre Àn nödvÀndigt för att placera teckensnitt.
- CVE-2022-3775 â Skrivning utanför grĂ€nserna vid rendering av vissa Unicode-sekvenser med ett specialdesignat teckensnitt. Problemet finns i teckensnittsbearbetningskoden och orsakas av bristen pĂ„ korrekta kontroller av att teckensnittets bredd och höjd matchar storleken pĂ„ den tillgĂ€ngliga bitmappen. En angripare kan vĂ€lja indata pĂ„ ett sĂ„dant sĂ€tt att den sista delen av data skrivs bortom den allokerade bufferten. Det noteras att trots komplexiteten i att utnyttja sĂ„rbarheten Ă€r det inte uteslutet att problemet kan orsaka kodkörning.
Fixen har publicerats som en patch. Statusen för sÄrbarhetsfixar i distributioner kan bedömas pÄ dessa sidor: Ubuntu, SUSE, RHEL, Fedora, DebianAtt ÄtgÀrda GRUB2-problem krÀver mer Àn att bara uppdatera paketet; det krÀver ocksÄ att nya interna digitala signaturer genereras och att installationsprogram, bootloaders, kernelpaket, fwupd-firmware och shim-lagret uppdateras.
I de flesta LinuxDistributioner för verifierad start i UEFI Secure Boot-lÀge anvÀnder ett litet shim-lager, digitalt signerat av Microsoft. Detta lager verifierar GRUB2 med sitt eget certifikat, vilket eliminerar behovet för distributionsutvecklare att meddela Microsoft om varje kÀrn- och GRUB-uppdatering. SÄrbarheter i GRUB2 möjliggör godtycklig kodkörning efter lyckad shim-verifiering, men innan operativsystemet startar. Detta gör det möjligt för angripare att bryta sig in i förtroendekedjan nÀr Secure Boot Àr aktiverat och fÄ fullstÀndig kontroll över den efterföljande startprocessen, inklusive att starta ett annat operativsystem, modifiera operativsystemkomponenter och kringgÄ lÄsningsskydd.
För att blockera sÄrbarheten utan att Äterkalla den digitala signaturen kan distributioner anvÀnda SBAT-mekanismen (UEFI Secure Boot Advanced Targeting), vars stöd Àr implementerat för GRUB2, shim och fwupd i de flesta populÀra distributioner. LinuxSBAT utvecklades i samarbete med Microsoft och innebÀr att ytterligare metadata lÀggs till i UEFI-komponenters körbara filer, inklusive information om tillverkare, produkt, komponent och version. Dessa metadata Àr digitalt signerade och kan inkluderas separat i listorna över tillÄtna eller nekade komponenter för UEFI Secure Boot.
SBAT lÄter dig blockera anvÀndningen av digitala signaturer för individuella komponentversionsnummer utan att behöva Äterkalla nycklar för sÀker start. Blockering av sÄrbarheter via SBAT krÀver inte anvÀndning av en UEFI-certifikatÄterkallelselista (dbx), utan utförs pÄ nivÄn att ersÀtta den interna nyckeln för att generera signaturer och uppdatera GRUB2, shim och andra startartefakter som tillhandahÄlls av distributioner. Före introduktionen av SBAT var uppdatering av certifikatspÀrrlistan (dbx, UEFI Revocation List) en förutsÀttning för att helt blockera sÄrbarheten, eftersom en angripare, oavsett vilket operativsystem som anvÀnds, kunde anvÀnda startbara media med en gammal sÄrbar version av GRUB2, certifierad av en digital signatur för att Àventyra UEFI Secure Boot .
KĂ€lla: opennet.ru
