GRUB2 yuklash moslamasida NTFS fayl tizimi bilan ishlashni ta'minlovchi drayverda zaiflik (CVE-2023-4692) aniqlandi, bu maxsus ishlab chiqilgan fayl tizimi tasviriga kirishda uning kodini yuklash moslamasi darajasida bajarish imkonini beradi. Zaiflikdan UEFI Secure Boot tomonidan tasdiqlangan yuklash mexanizmini chetlab o'tish uchun foydalanish mumkin.
Zaiflik $ATTRIBUTE_LIST NTFS atributi (grub-core/fs/ntfs.c) uchun ajratilgan buferdan tashqari xotira maydoniga foydalanuvchi tomonidan boshqariladigan maβlumotlarni yozish uchun ishlatilishi mumkin boβlgan tahlil kodidagi xato bilan bogβliq. Maxsus ishlab chiqilgan NTFS tasvirini qayta ishlashda to'lib ketish GRUB xotirasining bir qismini qayta yozishga, shuningdek, ma'lum sharoitlarda UEFI mikrodastur xotirasi maydoniga zarar etkazishga olib keladi, bu sizning kodingizni yuklash yoki yuklovchida bajarilishini tashkil qilish imkonini beradi. proshivka darajasi.
Bundan tashqari, GRUB2 dan NTFS drayverida yana bir zaiflik (CVE-2023-4693) aniqlandi, bu maxsus ishlab chiqilgan NTFS tasviridagi β$DATAβ atributini tahlil qilishda ixtiyoriy xotira maydoni tarkibini o'qish imkonini beradi. Boshqa narsalar qatorida, zaiflik xotirada keshlangan nozik ma'lumotlarni olish yoki EFI o'zgaruvchilari qiymatlarini aniqlash imkonini beradi.
Muammolar hozirgacha faqat yamoq shaklida hal qilingan. Tarqatishlardagi zaifliklarni bartaraf etish holatini ushbu sahifalarda baholash mumkin: Debian, Ubuntu, SUSE, RHEL, Fedora. GRUB2-dagi muammolarni bartaraf etish uchun paketni yangilash kifoya emas, shuningdek, siz yangi ichki raqamli imzolarni yaratishingiz va o'rnatuvchilarni, yuklash moslamalarini, yadro paketlarini, fwupd proshivkasini va shim qatlamini yangilashingiz kerak.
Ko'pgina Linux distributivlari UEFI Secure Boot rejimida tasdiqlangan yuklash uchun Microsoft tomonidan raqamli imzolangan kichik shim qatlamidan foydalanadi. Ushbu qatlam GRUB2 ni o'z sertifikati bilan tasdiqlaydi, bu esa tarqatish ishlab chiquvchilariga Microsoft tomonidan sertifikatlangan har bir yadro va GRUB yangilanishiga ega bo'lmaslik imkonini beradi. GRUB2-dagi zaifliklar shimni muvaffaqiyatli tekshirish bosqichida kodingizning bajarilishiga erishish imkonini beradi, lekin operatsion tizimni yuklashdan oldin, Secure Boot rejimi faol bo'lganda ishonch zanjiriga qo'shiling va keyingi yuklash jarayoni ustidan to'liq nazoratni qo'lga kiriting. Masalan, boshqa operatsion tizimni yuklash, operatsion tizim komponentlarini o'zgartirish va Lockdown himoyasini chetlab o'tish.
Raqamli imzoni bekor qilmasdan zaiflikni blokirovka qilish uchun tarqatishlar SBAT (UEFI Secure Boot Advanced Targeting) mexanizmidan foydalanishi mumkin, bu esa eng mashhur Linux tarqatishlarida GRUB2, shim va fwupd uchun qo'llab-quvvatlanadi. SBAT Microsoft bilan birgalikda ishlab chiqilgan va ishlab chiqaruvchi, mahsulot, komponent va versiya haqidagi ma'lumotlarni o'z ichiga olgan UEFI komponentlarining bajariladigan fayllariga qo'shimcha metama'lumotlarni qo'shishni o'z ichiga oladi. Belgilangan metama'lumotlar raqamli imzo bilan tasdiqlangan va UEFI Secure Boot uchun ruxsat etilgan yoki taqiqlangan komponentlar ro'yxatiga alohida kiritilishi mumkin.
SBAT Secure Boot kalitlarini bekor qilmasdan alohida komponent versiya raqamlari uchun raqamli imzolardan foydalanishni bloklash imkonini beradi. SBAT orqali zaifliklarni bloklash UEFI sertifikatini bekor qilish roΚ»yxatidan (dbx) foydalanishni talab qilmaydi, lekin imzolarni yaratish va GRUB2, shim va tarqatishlar tomonidan taqdim etilgan boshqa yuklash artefaktlarini yangilash uchun ichki kalitni almashtirish darajasida amalga oshiriladi. SBAT joriy etilishidan oldin bekor qilish sertifikatlari roΚ»yxatini yangilash (dbx, UEFI Revocation List) zaiflikni toΚ»liq blokirovka qilishning zaruriy sharti edi, chunki qaysi operatsion tizimdan qatΚΌi nazar, tajovuzkor UEFI Secure Boot dasturini buzish uchun yuklashdan foydalanishi mumkin edi.
Manba: opennet.ru