Otkrili su dvije ranjivosti u GRUB2

David Y. Naranjo

4 minuta

ranjivost

Ako se iskoriste, ovi nedostaci mogu omogućiti napadačima da dobiju neovlašteni pristup osjetljivim informacijama ili općenito uzrokovati probleme

Otkriveni su detalji o dvije ranjivosti u pokretačkom programu GRUB2 da pmože dovesti do izvršenja koda kada koristite posebno dizajnirane fontove i rukujete određenim Unicode sekvencama.

Spominje se da su otkrivene ranjivostie se može koristiti za zaobilaženje UEFI Secure Boot verifikovanog mehanizma pokretanja. Ranjivosti u GRUB2 omogućavaju izvršavanje koda u fazi nakon uspješne shim verifikacije, ali prije nego što se operativni sistem učita, prekidajući lanac povjerenja s aktivnim načinom sigurnog pokretanja i dobijanjem potpune kontrole nad procesom nakon pokretanja, npr. da pokrenete drugi operativni sistem, modifikujete komponente operativnog sistema i zaobiđete zaštitu od zaključavanja.

Što se tiče identifikovanih ranjivosti, navodi se sljedeće:

  • CVE-2022-2601: prelivanje bafera u funkciji grub_font_construct_glyph() prilikom obrade posebno izrađenih fontova u pf2 formatu, do čega dolazi zbog pogrešnog izračuna parametra max_glyph_size i dodjele memorijske površine koja je očito manja nego što je potrebno za postavljanje glifova.
  • CVE-2022-3775: Izvan granica pisanja prilikom prikazivanja nekih Unicode nizova u prilagođenom fontu. Problem je prisutan u kodu za rukovanje fontom i uzrokovan je nedostatkom odgovarajućih kontrola kako bi se osiguralo da širina i visina glifa odgovaraju dostupnoj veličini bitmape. Napadač može prikupiti ulazne podatke na takav način da izazove ispisivanje reda podataka iz dodijeljenog bafera. Napominje se da uprkos složenosti iskorištavanja ranjivosti, izlaganje problema izvršenju koda nije isključeno.

Potpuno ublažavanje svih CVE-a zahtijevat će popravke ažurirane najnovijim SBAT-om (Secure Boot Advanced Targeting) i podatke koje pružaju distribucije i dobavljači.
Ovaj put se neće koristiti UEFI lista opoziva (dbx), a opoziv neispravnih
artefakti će se praviti samo sa SBAT-om. Za informacije o tome kako primijeniti
najnoviji SBAT opoziv, vidi mokutil(1). Popravci dobavljača mogu eksplicitno dozvoljavaju dizanje starijih poznatih artefakata pokretanja.

GRUB2, podmetač i drugi artefakti pokretanja od svih pogođenih dobavljača će biti ažurirani. bit će dostupan kada embargo bude ukinut ili neko vrijeme nakon toga.

Spominje se to većina linux distribucija koristi mali sloj zakrpe, digitalno potpisan od strane Microsofta, za verifikovano pokretanje u UEFI Secure Boot modu. Ovaj sloj provjerava GRUB2 vlastitim certifikatom, što omogućava programerima distribucije da ne certificiraju svako ažuriranje kernela i GRUB-a kod Microsofta.

Za blokiranje ranjivosti bez opoziva digitalnog potpisa, distribucije može koristiti SBAT mehanizam (UEFI Secure Boot Advanced Targeting), koji podržavaju GRUB2, shim i fwupd na najpopularnijim Linux distribucijama.

SBAT je razvijen u saradnji sa Microsoftom i uključuje dodavanje dodatnih metapodataka u izvršne datoteke UEFI komponente, uključujući informacije o proizvođaču, proizvodu, komponenti i verziji. Navedeni metapodaci su digitalno potpisani i mogu biti uključeni u zasebne liste dozvoljenih ili zabranjenih komponenti za UEFI Secure Boot.

SBAT omogućava blokiranje upotrebe digitalnog potpisa za pojedinačne brojeve verzija komponente bez potrebe za opozivom ključeva za Secure Boot. Blokiranje ranjivosti putem SBAT-a ne zahtijeva korištenje UEFI CRL-a (dbx), već se radi na nivou interne zamjene ključa kako bi se generisali potpisi i ažurirali GRUB2, shim i drugi artefakti pokretanja koje obezbjeđuju distribucije.

Prije uvođenja SBAT-a, ažuriranje liste opoziva certifikata (dbx, UEFI Revocation List) je bio preduslov za potpuno blokiranje ranjivosti, budući da je napadač, bez obzira na operativni sistem koji koristi, mogao koristiti medij za pokretanje sa ranjivom starijom verzijom GRUB2 certificiran digitalnim potpisom da ugrozi UEFI Secure Boot.

Konačno Vrijedi napomenuti da je popravka objavljena kao zakrpa., da biste riješili probleme u GRUB2, nije dovoljno ažurirati paket, također ćete morati kreirati nove interne digitalne potpise i ažurirati instalatere, bootloadere, kernel pakete, fwupd-firmware i shim-layer.

Status otklanjanja ranjivosti u distribucijama može se procijeniti na ovim stranicama: Ubuntu, SUSE, RHELfedoraDebian.

Više o tome možete provjeriti u sljedeći link.