Pro ty, kteří neznají Canonical, je to společnost založená ve Spojeném království, založená a financovaná Markem Shuttleworthem jihoafrického původu. Společnost má na starosti vývoj softwaru pro počítače a prodává služby orientované na Ubuntu, Operační systém GNU / Linux a aplikace založené na svobodném softwaru.
V případě GRUB nebo Unifikovaný zavaděč GRandMůžeme říci, že se používá ke spuštění jednoho nebo více operačních systémů pro stejný počítač, to je to, co je známé jako správce bootování, zcela otevřený zdroj.
Nyní si povíme o Zranitelnost nulového dne v GRUB2. Poprvé to našli Ismael Ripoll a Hector Marco, dva vývojáři z University of Valencia ve Španělsku. V zásadě se jedná o zneužití klíče mazání, když je v zaváděcí konfiguraci implementováno zabezpečení heslem. Jedná se o nesprávné použití klávesových kombinací, kdy stisknutí libovolné klávesy může ignorovat zadání hesla. Tento problém je lokalizován v balíčcích proti proudu a samozřejmě dělají informace uložené v počítači velmi zranitelnými.
V případě Ubuntu, několik verzí představuje tuto chybu zabezpečení, stejně jako mnoho distribucí, které jsou na něm založeny.
Mezi ovlivněné verze Ubuntu máme:
- ubuntu 15.10
- ubuntu 15.04
- Ubuntu LTS 14.04
- Ubuntu LTS 12.04
Problém lze napravit aktualizací systému ve verzích následujících balíčků:
- Ubuntu 15.10: grub2-common a 2.02 ~ beta2-29ubuntu0.2
- Ubuntu 15.04: grub2-common a 2.02 ~ beta2-22ubuntu1.4
- Ubuntu 14.04 LTS: grub2-common a 2.02 ~ beta2-9ubuntu1.6
- Ubuntu 12.04 LTS: grub2-common a 1.99-21ubuntu3.19
Po aktualizaci je nutné restartovat počítač a provést všechny příslušné změny.
Nezapomeňte, že tuto chybu zabezpečení lze použít k obejití hesla GRUB, proto doporučujeme provést aktualizaci, abyste se udrželi v bezpečí.
Na rozdíl od Windows a OS x, kde jsou tyto chyby opraveny během několika let [http://www.cnnexpansion.com/tecnologia/2015/02/12/microsoft-corrige-falla-critica-en-windows-15-anos - po] jsou chyby zabezpečení v GNU / Linuxu opraveny během několika minut nebo hodin (opravili je, když chybu zabezpečení objevili)
Zdá se, že jste nečetli ani svůj vlastní odkaz.
Tato chyba zabezpečení tu byla 15 let, ale byla objevena před 1 rokem.
V Linuxu také po celá desetiletí byly skryté chyby zabezpečení, i když kázání zajistilo, že chyby zabezpečení byly objeveny rychleji nebo okamžitě, protože zdroj byl otevřený.
Jakmile byla oznámena chyba zabezpečení, Microsoft začal pracovat na řešení, které se pomalu objevovalo kvůli složitosti bezpečného a efektivního řešení a testů, a neexistovala žádná naléhavost, protože to útočníkům nebylo známo.
To, že je něco rychle opraveno, znamená pouze to, že vytvoření patche nebylo komplikované nebo že se při uvolnění jakýchkoli změn kódu neaplikuje QA, nic víc.
Ale kanonický neobjevil nic ... .. Ovlivňuje to pouze jejich distribuce, nic jiného
Co jak?
Opravte prosím tento název, protože se jedná o obrovskou lež ... lež ve zprávě a lež v obsahu článku ...
V GRUBu byla objevena zranitelnost, ale Canonical s tím neměl nic společného. Tato chyba zabezpečení ovlivňuje jakoukoli distribuci podobnou systému Linux, nejen Ubuntu.
Když už mluvíme o pozadí, taková zranitelnost není tak nebezpečná, protože použití hesla v GRUBu je stejně bezpečné jako použití hesla v BIOSu. Pokud chce uživatel zabezpečení, bude mít samozřejmě uživatelské heslo a šifrování disku (v případě, že má útočník přístup k zařízení).
To se nestane více než anekdotou.
pozdravy
Není to tak jednoduché, jak chcete věřit.
Zde trochu vysvětlují, proč je heslo v GRUBu důležité a že se nevyřeší pomocí uživatelských hesel nebo šifrováním.
https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/
Není pochyb
Kdykoli se v Linuxu něco stane, je to okamžitě nejprve znehodnoceno a poté zapomenuto.
PS: zpřísnili cenzuru desdelinux že se komentáře již při odesílání nezobrazují?
že?. Přečetli jste si záznam, že vaše citace ... neříká nic o šifrování disku nebo uživatelském hesle, pouze vysvětluje, k čemu slouží a jak se heslo používá v GRUB2 ... Potvrzuje také, že musíte mít přístup k zařízení k narušení bezpečnosti týmu (existuje mnoho dalších efektivnějších způsobů než prostřednictvím GRUBu ...)
A bez ohledu na to, jak moc jako administrátor prostřednictvím GRUBu přistupujete, pokud máte oprávnění oddílů, uživatelské klíče a šifrování LUKS dobře zavedená (mimo jiné), nebudou mít přístup k vašim datům (pokud mají samozřejmě přístup k vašemu zařízení).
Proto v tom stále nevidím žádný smysl. (Pokud nedůvěřujete pouze heslu GRUB k zabezpečení svých dat).
Svou novou odpovědí potvrzujete, že nevidíte smysl problému, protože zůstáváte jednoduchí a nedokážete si ani představit jednoduché možnosti z této mezery.
Samozřejmě jsem to přečetl, ale také jsem tomu porozuměl.
Nebo je možné, že si uvědomím důsledky a rozsah otevření jakékoli mezery.
Mezera, která by tam neměla být, mezera v bezpečnostním mechanismu, který tam kvůli něčemu byl.
Pokud si přečtete odkaz, zjistíte, že jelikož je toto bezpečnostní přihlášení přeskočitelné, je možné přistupovat k systému jako root, takže vaše heslo superuživatele není nic. A pokud víte něco o tom, co komentujete, neměl bych vám vysvětlovat, že když se přihlásíte jako root, bude možné prohlížet nebo upravovat hash hesel, upravovat uživatele, upravovat systém tak, aby načítal nebo nahradil procesy, které monitorují veškerá aktivita uživatelů, pokud je ověřena. která by mohla jít od zachycení jejich hesel k převzetí jejich dešifrovaných dat a odeslání všech těchto „domů“; mezi tisíci dalších věcí, které se mohou stát útočníkovi, který má více znalostí než lidé jako vy, kteří žijí v bublinách sebeuspokojení, falešné bezpečnosti a „nikdy neuspějí, pokud máte dobře zavedené bla bla bla“.
Jen proto, že nemůžete myslet na věci, neznamená, že nemůžete dělat věci.
Nezáleží ani na tom, že existuje mnoho „účinnějších“ metod, problém je v tom, že nyní existuje ještě jedna metoda, která by tam kvůli zranitelnosti neměla být.
Jedná se o vysoce dostupnou a snadnou metodu, kterou hodnotí lidé, kteří posuzují zranitelnost.
Už nepotřebujete Livecds, USB, odemykání BIOSu, otevřené krabice, vyjímání pevných disků, vkládání externích disků atd .; stačí stát před klávesnicí a stisknout JEDNOU klávesu.
A nebojte se, že zítra, když se dozvíte, že vaše super LUKS má dnes zranitelnost, lidé jako vy vyjdou a řeknou, že „skutečný seriózní Skot“ nedůvěřuje šifrování disků, ale jiným věcem (jako dokonce GRUB).
Samozřejmě …. často nadpis: „Canonical objevuje zranitelnost v GRUB2.“ A jaký způsob, jak psát novinky. S touto novinkou se nakonec bude zdát, že Canonical / Ubuntu jsou jediné, které dělají věci pro svobodný software. Balíček spravuje colin watson pro Debian a mimochodem jej nahrál do Ubuntu, jak je uvedeno ve verzi balíčku. Neexistuje ani žádný komentář k tomu, jak je chyba zabezpečení spuštěna, což je 28krát stisknutí klávesy backspace.
Zdravím.
Co je pro mě zavrženíhodné, je to, že mimochodem je znovu a znovu komentováno, že zranitelnost je způsobena „zneužitím klávesnice“. Zní to tak: „drží iPhone špatně.“
Ne, zranitelnost je způsobena špatným programováním, jako vždy, období. Je neomluvitelné, že stisknutí klávesy X přeskočí bezpečnostní přihlášení.
Jaký titulek, také řeknou, že zatímco grub spustil chybu, byla objevena stiskem "e", také jsem to zkusil v linuxové mincovně a nic se nedělo jen v ubuntu.
PS: nejprve musí vstoupit do mého domu, aby mohli použít toto zranitelné oko, nejprve odinstalovat mincovnu a nainstalovat ubuntu.
Vaše pravopis zanechává mnoho přání
Místní chyby zabezpečení jsou koneckonců chyby zabezpečení.
Na pracovních stanicích, ve společnostech a v dalších kritických prostředích se nebude bavit, že mají tuto chybu zabezpečení a ještě více používají „zabezpečený linux“. Ale hraji dobře, protože nevstupují do tvého domu.
E je také riziko, které musí být blokováno. Nevím, jestli jsi to věděl.
Hahaha Paco22, jak bráníte tuto chybu zabezpečení ...
Věřte mi, že ve vážné společnosti existuje mnoho bezpečnostních protokolů k a) přístupu k fyzickému zařízení b) ochraně přístupu k datům.
A pokud je váš zájem stále GRUB, je snazší jej zablokovat, abyste k němu neměli přístup ...
@Hugo
Není otázkou, že by „skutečně vážný Skot“ používal jiné bezpečnostní protokoly, ale že je to jeden z těchto protokolů a JE TO FAILING, tečka. A mimochodem, jeho selhání může ohrozit ostatní, jako ti, které jste zmínili, přísahají, že jsou maximální zárukou.
Tato chyba zabezpečení mě nemusí bránit, protože ji objevili a kvalifikovali odborníci, kteří vědí o bezpečnosti, a devalvace rádoby chápou, že vědí toho hodně pomocí distribuce, je irelevantní.
Chápu, že je to bolí, že se kousek po kousku ten mýtus o „zabezpečeném linuxu“ trhá na kusy, dokonce i stisknutím jediné klávesy.
Typické je, že se nikdy nezmění, vždy stejné, aby se minimalizovaly chyby superlinuxu.
člověk nežije pouze na Ubuntu