Kui neid vigu ära kasutatakse, võivad ründajad pääseda volitamata juurde tundlikule teabele või põhjustada üldiselt probleeme
GRUB2 alglaaduri kahe haavatavuse üksikasjad on avalikustatud, et lkvõib viia koodi täitmiseni spetsiaalselt loodud fontide kasutamisel ja teatud Unicode'i järjestuste käsitlemisel.
Mainitakse, et avastatud haavatavused one saab kasutada UEFI Secure Boot kontrollitud alglaadimismehhanismist möödahiilimiseks. GRUB2 haavatavused võimaldavad koodi käivitada etapis pärast edukat vahekontrolli kinnitamist, kuid enne operatsioonisüsteemi laadimist, katkestades aktiivse turvalise alglaadimise režiimiga usaldusahela ja saavutades täieliku kontrolli alglaadimisjärgse protsessi üle, nt. teise operatsioonisüsteemi käivitamiseks, operatsioonisüsteemi komponentide muutmiseks ja lukukaitsest möödaviimiseks.
Seoses tuvastatud haavatavustega mainitakse järgmist:
- CVE-2022-2601: puhvri ületäitumine funktsioonis grub_font_construct_glyph() spetsiaalselt loodud fontide töötlemisel pf2-vormingus, mis tuleneb parameetri max_glyph_size valest arvutamisest ja glüüfide paigutamiseks vajalikust ilmselgelt väiksema mäluala eraldamisest.
- CVE-2022-3775: Piiramatu kirjutamine, kui renderdatakse mõned Unicode'i stringid kohandatud fondiga. Probleem esineb fondihalduskoodis ja selle põhjuseks on õigete juhtelementide puudumine, mis tagaksid glüüfi laiuse ja kõrguse vastavuse saadaoleva bitmapi suurusele. Ründaja võib koguda sisendit nii, et eraldatud puhvrist kirjutatakse välja andmete järjekord. Märgitakse, et hoolimata haavatavuse ärakasutamise keerukusest ei ole välistatud ka probleemi avamine koodikäivitamisele.
Kõigi CVE-de täielikuks leevendamiseks on vaja parandusi, mis on värskendatud uusima SBAT-iga (Secure Boot Advanced Targeting) ning distributsioonide ja tarnijate pakutavad andmed.
Seekord UEFI tühistamiste nimekirja (dbx) ei kasutata ja katkiste tühistamine
artefakte tehakse ainult SBAT-iga. Lisateavet selle kohta, kuidas taotleda
viimased SBAT tühistamised, vt mokutil(1). Tarnija parandused võivad selgesõnaliselt võimaldab käivitada vanemaid teadaolevaid alglaadimisartefakte.Värskendatakse kõigi mõjutatud tarnijate GRUB2, shim ja muid alglaadimisartefakte. see on saadaval pärast embargo tühistamist või mõnda aega pärast seda.
Mainitakse seda enamik linuxi distributsioone kasutab väikest paigakihti, Microsofti digitaalselt allkirjastatud, kontrollitud alglaadimiseks UEFI turvalise alglaadimise režiimis. See kiht kontrollib GRUB2 oma sertifikaadiga, mis võimaldab levitamise arendajatel mitte sertifitseerida iga kerneli ja GRUB-i värskendust Microsoftiga.
Haavatavuse blokeerimiseks ilma digiallkirja tühistamata, distributsioonid saab kasutada SBAT mehhanismi (UEFI Secure Boot Advanced Targeting), mida kõige populaarsemates Linuxi distributsioonides toetavad GRUB2, shim ja fwupd.
SBAT töötati välja koostöös Microsoftiga ja see hõlmab täiendavate metaandmete lisamist UEFI-komponendi täitmisfailidele, sealhulgas tootja-, toote-, komponendi- ja versiooniteavet. Määratud metaandmed on digitaalselt allkirjastatud ja neid saab lisada UEFI turvalise alglaadimise jaoks eraldi lubatud või keelatud komponentide loendisse.
SBAT võimaldab blokeerida digitaalallkirja kasutamist üksikute komponentide versiooninumbrite jaoks, ilma et oleks vaja turvalise alglaadimise võtmeid tühistada. Turvaaukude blokeerimine SBAT-i kaudu ei nõua UEFI CRL-i kasutamist (dbx), vaid seda tehakse pigem sisemise võtme asendamise tasemel, et genereerida allkirju ning värskendada GRUB2, shim ja muid distributsioonide pakutavaid alglaadimisartefakte.
Enne SBAT-i kasutuselevõttu oli haavatavuse täieliku blokeerimise eeltingimuseks sertifikaatide tühistamise loendi (dbx, UEFI tühistamisloend) värskendamine, kuna ründaja võis sõltumata kasutatavast operatsioonisüsteemist kasutada buutivat meediumit. GRUB2 on sertifitseeritud digitaalallkirjaga, et kahjustada UEFI turvalist alglaadimist.
Lõpuks Tasub mainida, et parandus on välja antud paigana.GRUB2 probleemide lahendamiseks ei piisa paketi värskendamisest, peate looma ka uued sisemised digitaalallkirjad ja värskendama installijaid, alglaadureid, kerneli pakette, fwupd-firmware ja shim-layeri.
Jaotuste haavatavuse parandamise olekut saab hinnata järgmistel lehtedel: Ubuntu, SUSE, RHEL, Fedora y Debian.
Selle kohta saate lähemalt vaadata järgmine link.