Canonical otkriva ranjivost u GRUB2

Za one koji ne znaju Canonical, ovo je kompanija osnovana u Ujedinjenom Kraljevstvu, koju je osnovao i finansirao Mark Shuttleworth južnoafričkog porijekla. Kompanija je zadužena za razvoj softvera za računare i prodaje usluge orijentisane na Ubuntu, Operativni sistem Gnu / Linux i aplikacije zasnovane na slobodnom softveru.

7 Canonical_logo U slučaju GRUB-a ili GR i Unified BootloaderMožemo reći da se koristi za pokretanje jednog ili više operativnih sistema za isti računar, to je ono što je poznato kao pokretač pokreta, potpuno otvorenog koda.

Sada ćemo razgovarati o Zero-Day ranjivost u GRUB2. To su prvi put otkrili Ismael Ripoll i Hector Marco, dva programera sa Univerziteta Valencia u Španiji. U osnovi se radi o zloupotrebi ključa za brisanje, kada se implementira konfiguracija pokretanja sigurnost lozinke. To je nepravilna upotreba kombinacija tastature, kada pritiskom bilo koje tipke možete zaobići unos lozinke. Ovaj problem je lokaliziran u paketima uzvodno i očito čine informacije pohranjene u računaru vrlo ranjivim.

sgd2_2.00s1b1_main_screen U slučaju Ubuntu, nekoliko verzija predstavlja ovu grešku ranjivosti, poput mnogih distribucija koje se temelje na njemu.

Među pogođenim verzijama Ubuntu-a imamo:

  • Ubuntu 15.10
  • Ubuntu 15.04
  • Ubuntu 14.04 LTS
  • Ubuntu 12.04 LTS

Problem se može ispraviti ažuriranjem sistema u verzijama sljedećih paketa:

  • Ubuntu 15.10: grub2-zajednički a 2.02 ~ beta2-29ubuntu0.2
  • Ubuntu 15.04: grub2-zajednički a 2.02 ~ beta2-22ubuntu1.4
  • Ubuntu 14.04 LTS: grub2-zajednički a 2.02 ~ beta2-9ubuntu1.6
  • Ubuntu 12.04 LTS: grub2-zajednički a 1.99-21ubuntu3.19

Nakon ažuriranja potrebno je ponovo pokrenuti računar da biste izvršili sve bitne promjene.

Imajte na umu da bi se ova ranjivost mogla koristiti za zaobilaženje GRUB lozinke, pa se preporučuje da izvršite ažuriranje kako biste se zaštitili.


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

16 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Alejandro TorMar rekao je

    Za razliku od Windows-a i OS-a x gdje se ove pogreške ispravljaju za nekoliko godina [http://www.cnnexpansion.com/tecnologia/2015/02/12/microsoft-corrige-falla-critica-en-windows-15-anos -nakon], ranjivosti u GNU / Linuxu popravljene su za nekoliko minuta ili sati (popravile su je kad su otkrile ranjivost)

    1.    paco22 rekao je

      Čini se da niste pročitali ni vlastiti link.

      Ranjivost je postojala 15 godina, ali je otkrivena prije godinu dana.
      U Linuxu također postoje skrivene ranjivosti desetljećima, iako je propovijed osiguravao da se ranjivosti otkrivaju brže ili odmah jer je izvor otvoren.

      Čim je prijavljena ranjivost, Microsoft je počeo raditi na rješenju koje je sporo izlazilo zbog složenosti sigurnog i efikasnog rješenja i testova, a nije bilo hitnosti jer napadačima nije bilo poznato.
      Da se nešto brzo popravi, samo znači da izrada zakrpe nije bila komplicirana ili da se ne primjenjuje QA prilikom objavljivanja bilo kakvih promjena koda, ništa više.

  2.   sli rekao je

    Ali Canonical nije otkrio ništa ... .. To samo ne utječe ni na što drugo

  3.   hugo rekao je

    Šta? Kako?

    Ispravite taj naslov jer je to strahovita laž ... laž u vijestima i laž u sadržaju članka ...

    U GRUB-u je otkrivena ranjivost, ali Canonical s njom nema nikakve veze. Ova ranjivost utječe na bilo koju distribuciju sličnu Linuxu, ne samo na Ubuntu.

    Kad smo već kod pozadine, takva ranjivost nije toliko opasna, jer je upotreba lozinke u GRUB-u sigurna koliko i upotreba lozinke u BIOS-u. Ako korisnik želi sigurnost, očito će imati korisničku lozinku i šifriranje diska (u slučaju da napadač ima pristup uređaju).

    Ovo neće postati više od anegdote.

    Saludos

    1.    paco22 rekao je

      Kad smo već kod pozadine, takva ranjivost nije toliko opasna, jer je upotreba lozinke u GRUB-u sigurna koliko i upotreba lozinke u BIOS-u. Ako korisnik želi sigurnost, očito će imati korisničku lozinku i šifriranje diska (u slučaju da napadač ima pristup uređaju).

      Nije tako jednostavno kao što želite da vjerujete.
      Ovdje objašnjavaju malo zašto je lozinka važna u GRUB-u i da se ona ne rješava korisničkim lozinkama ili šifriranjem stvari.
      https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/

      Ovo neće postati više od anegdote.

      Definitivno.
      Kad god se nešto dogodi u Linuxu, to se odmah obezvrijedi, a zatim zaboravi.

      PS: jesu li pooštrili cenzuru u desdelinuksu da se komentari više ne pojavljuju prilikom slanja?.

      1.    hugo rekao je

        to? Pročitali ste unos da vaši citati ... ne govore ništa o šifriranju diska ili korisničkoj lozinci, već samo objašnjava čemu služi i kako se lozinka koristi u GRUB2 ... Također potvrđuje da morate imati pristup uređaj za narušavanje sigurnosti tima (postoji mnogo drugih učinkovitijih načina nego putem GRUB-a ...)
        Bez obzira na to koliko pristupate kao administrator putem GRUB-a, ako imate dobro uspostavljene dozvole za particije, korisničke ključeve i LUKS enkripciju (između ostalog), oni neće pristupiti vašim podacima (ako naravno imaju pristup vašem uređaju).

        Stoga još uvijek ne vidim smisla u tome. (Osim ako samo vjerujete GRUB lozinci da biste zaštitili svoje podatke).

      2.    paco22 rekao je

        Svojim novim odgovorom potvrđujete da ne vidite smisao problema jer ostajete jednostavni i ne možete ni zamisliti jednostavne mogućnosti iz tog jaza.

        Naravno da sam ga pročitao, ali sam ga i razumio.
        Ili možda je to što mogu shvatiti implikacije i opseg otvaranja bilo koje praznine.
        Jaz koji ne bi trebao postojati, jaz u sigurnosnom mehanizmu koji je postojao zbog nečega.

        Ako pročitate vezu, saznat ćete da je, s obzirom da se ova sigurnosna prijava može preskočiti, moguće pristupiti sistemu kao root, s kojim vaša lozinka super korisnika nije ništa. A ako znate nešto o tome što iznosite svoje mišljenje, ne bih trebao objašnjavati da bi kada se prijavite kao root bilo moguće pregledavati ili uređivati ​​hasheve lozinki, uređivati ​​korisnike, modificirati sistem da učitava ili zamjenjuje procese koji nadgledaju sve korisnička aktivnost kada je ovjerena, koja bi mogla prijeći od hvatanja njihovih lozinki do uzimanja njihovih dešifriranih podataka i slanja svega tog "doma"; među hiljadama drugih stvari koje mogu pasti na pamet napadaču koji ima više znanja od ljudi poput vas koji žive u mjehurićima samozadovoljstva, lažne sigurnosti i "nikad neće uspjeti ako ste dobro utvrdili bla bla bla.
        To što ne možete razmišljati o stvarima ne znači da ne možete i raditi stvari.

        Niti je važno što postoji mnogo „učinkovitijih“ metoda, problem je što sada postoji još jedna metoda koja ne bi trebala postojati zbog ranjivosti.
        I to je vrlo pristupačna i laka metoda, koju ocjenjuju ljudi koji procjenjuju ranjivosti.
        Više vam nisu potrebni Livecds, USB, otključavanje BIOS-a, otvaranje kutija, uklanjanje tvrdih diskova, stavljanje eksternih diskova itd .; samo stanite ispred tastature i pritisnite JEDAN taster.

        I ne brinite, da će sutra, kada bude vijest da vaš super LUKS danas ima ranjivost, ljudi poput vas izaći da kažu da "stvarno ozbiljni Škot" ne vjeruje u šifriranje diska već u druge stvari (poput GRUB-a).

        PS: uredite css citata koji je OGROMAN.
        OGROMNO.

  4.   Raul rekao je

    Naravno …. često naslov: "Canonical otkriva ranjivost u GRUB2." I kakav način pisanja vijesti. Na kraju će se s ovim vijestima činiti da su Canonical / Ubuntu jedini koji rade stvari za besplatni softver. Colin watson održava paket za Debian i već ga je učitao u Ubuntu, kako je navedeno u verziji paketa. Takođe nema komentara o tome kako se pokreće ranjivost, to jest pritiskom na tipku za povratak 28 puta.

    Pozdrav.

    1.    paco22 rekao je

      Ono što mi je prekorno je da se komentariše, a usput i iznova, da je ranjivost nastala zbog "zloupotrebe tastature". To zvuči tako: "krivo drže iPhone."

      Ne, ranjivost je uzrokovana lošim programiranjem, kao i uvijek, tačkom. Neoprostivo je što pritiskom X tipke preskače sigurnosna prijava.

  5.   HO2Gi rekao je

    Kakav naslov, reći će i da je dok je grub započeo otkrivena greška pritiskom na "e", također sam pokušao u linux mint i ništa se ne događa samo u ubuntuu.

    1.    HO2Gi rekao je

      PS: prvo moraju ući u moju kuću kako bi koristili to oko ranjivosti, prvo deinstalirali mentu i instalirali ubuntu.

      1.    Alejandro TorMar rekao je

        Vaš pravopis ostavlja mnogo želja

      2.    paco22 rekao je

        Lokalne ranjivosti su ipak ranjivosti.

        Na radnim stanicama, kompanijama i drugim kritičnim okruženjima neće biti zabavno što imaju ovu ranjivost, a više što koriste "sigurni linux". Ali igram dobro jer ne ulaze u vašu kuću.

        E je i rizik koji se mora blokirati. Ne znam da li ste znali.

      3.    hugo rekao je

        Hahaha Paco22, kako braniš ovu ranjivost ...
        Vjerujte mi da u ozbiljnoj kompaniji postoji mnogo sigurnosnih protokola za a) pristup fizičkom uređaju b) za zaštitu pristupa podacima.
        A ako je vaš interes i dalje GRUB, lakše ga je blokirati tako da mu nemate pristup ...

      4.    paco22 rekao je

        @Hugo
        Nije pitanje da li bi se "stvarno ozbiljni Škot" koristio drugim sigurnosnim protokolima, već da je ovo jedan od tih protokola i NE POSTAJE, tačka. Usput, neuspjehom može ugroziti ostatak, poput onih koje ste spomenuli, zaklinjući se da su oni maksimalna garancija.

        Za ovu ranjivost ne trebam da je branim, jer su je otkrili i kvalificirali stručnjaci koji znaju za sigurnost, a devalvacije wannabesa shvataju da znaju mnogo toga koristeći distro, nebitno je.
        Razumijem da ih boli što se malo po malo razbija mit o "sigurnom linuxu", čak i pritiskom jedne tipke.
        Tipično je da se oni nikad ne mijenjaju, uvijek isti kako bi umanjili nedostatke superlinuxa.

  6.   neimenovan rekao je

    čovjek ne živi samo na Ubuntuu