De opdagede to sårbarheder i GRUB2

Detaljer om to sårbarheder i GRUB2 boot loader er blevet afsløret, pkan føre til kodeudførelse ved brug af specialdesignede skrifttyper og håndtering af visse Unicode-sekvenser.

Det nævnes, at de opdagede sårbarheder ere kan bruges til at omgå den UEFI Secure Boot-verificerede boot-mekanisme. Sårbarheder i GRUB2 tillader, at kode udføres på stadiet efter den vellykkede shim-verifikation, men før operativsystemet indlæses, bryder tillidskæden med Secure Boot-tilstand aktiv og opnår fuld kontrol over post-boot-processen, f.eks. at starte et andet operativsystem, ændre operativsystemets komponenter og omgå låsebeskyttelse.

Med hensyn til de identificerede sårbarheder nævnes følgende:

• CVE-2022-2601: et bufferoverløb i funktionen grub_font_construct_glyph() ved behandling af speciallavede skrifttyper i pf2-format, hvilket opstår på grund af forkert beregning af parameteren max_glyph_size og allokering af et hukommelsesområde, der åbenlyst er mindre end nødvendigt for at placere glyffer.
• CVE-2022-3775: Skrift uden for grænserne ved gengivelse af nogle Unicode-strenge i en tilpasset skrifttype. Problemet er til stede i skrifttypehåndteringskoden og er forårsaget af mangel på korrekte kontroller for at sikre, at glyfens bredde og højde matcher den tilgængelige bitmapstørrelse. En angriber kan høste input på en sådan måde, at det forårsager, at en kø af data bliver skrevet ud af den tildelte buffer. Det bemærkes, at på trods af kompleksiteten i at udnytte sårbarheden, er det ikke udelukket at udsætte problemet for kodekørsel.

Fuld afbødning af alle CVE'er vil kræve rettelser opdateret med den seneste SBAT (Secure Boot Advanced Targeting) og data leveret af distributioner og leverandører.
Denne gang vil UEFI-tilbagekaldelseslisten (dbx) ikke blive brugt, og tilbagekaldelsen af ​​de ødelagte
artefakter vil kun blive lavet med SBAT. For information om, hvordan du anvender
seneste SBAT tilbagekaldelser, se mokutil(1). Leverandørrettelser kan eksplicit tillade opstart af ældre kendte boot-artefakter.

GRUB2, shim og andre boot-artefakter fra alle berørte leverandører vil blive opdateret. den vil være tilgængelig, når embargoen ophæves eller et stykke tid efter.

Det nævnes de fleste linux-distributioner bruger et lille patch-lag, digitalt signeret af Microsoft, til verificeret opstart i UEFI Secure Boot-tilstand. Dette lag verificerer GRUB2 med sit eget certifikat, som tillader distributionsudviklere ikke at certificere hver kerne- og GRUB-opdatering med Microsoft.

For at blokere sårbarheden uden at tilbagekalde den digitale signatur, distributioner kan bruge SBAT-mekanismen (UEFI Secure Boot Advanced Targeting), som understøttes af GRUB2, shim og fwupd på de fleste populære Linux-distributioner.

SBAT blev udviklet i samarbejde med Microsoft og involverer tilføjelse af yderligere metadata til UEFI-komponentens eksekverbare filer, herunder producent-, produkt-, komponent- og versionsoplysninger. De angivne metadata er digitalt signeret og kan inkluderes i separate tilladte eller forbudte komponentlister til UEFI Secure Boot.

SBAT tillader blokering af brugen af ​​en digital signatur for individuelle komponentversionsnumre uden behov for at tilbagekalde nøgler til sikker opstart. Blokering af sårbarheder via SBAT kræver ikke brug af en UEFI CRL (dbx), men det sker snarere på det interne nøgleudskiftningsniveau for at generere signaturer og opdatere GRUB2, shim og andre opstartsartefakter leveret af distributioner.

Før introduktionen af ​​SBAT var opdatering af certifikattilbagekaldelseslisten (dbx, UEFI Revocation List) en forudsætning for fuldt ud at blokere sårbarheden, da en angriber, uanset hvilket operativsystem der anvendes, kunne bruge opstartsmedier. med en sårbar ældre version af GRUB2 certificeret af en digital signatur for at kompromittere UEFI Secure Boot.

Endelig Det er værd at nævne, at rettelsen er blevet udgivet som en patch., for at løse problemer i GRUB2, er det ikke nok at opdatere pakken, du bliver også nødt til at oprette nye interne digitale signaturer og opdatere installationsprogrammer, bootloadere, kernepakker, fwupd-firmware og shim-lag.

Sårbarhedsafhjælpningsstatus i distributioner kan vurderes på disse sider: Ubuntu, SUSE, RHEL, Fedora y Debian.

Du kan tjekke mere om det i følgende link.