Canonicalek ahultasuna aurkitu du GRUB2-n

Canonical ezagutzen ez dutenentzat Erresuma Batuan sortutako enpresa da, Mark Shuttleworth jatorri hegoafrikarra duen eta finantzatzen duen enpresa da. Konpainia ordenagailuetarako softwarea garatzeaz eta horretara bideratutako zerbitzuak merkaturatzeaz arduratzen da Ubuntu, Sistema eragilea Gnu / Linux eta software librean oinarritutako aplikazioak.

7 Logotipo_kanonikoa GRUB edo GRand Unified BootloaderOrdenagailu berarentzako sistema eragile bat edo gehiago abiarazteko erabiltzen dela esan dezakegu, abio kudeatzailea izenarekin ezagutzen dena da, guztiz irekia.

Orain, Zero-Day ahultasuna GRUB2-n. Hori Ismael Ripoll eta Hector Marco Espainiako Valentziako Unibertsitateko bi garatzaileek aurkitu zuten. Funtsean ezabatzeko teklaren erabilera okerra da, abioko konfigurazioa pasahitz segurtasuna ezartzen denean. Teklatu konbinazioen erabilera okerra da, edozein tekla sakatuta pasahitz sarrera saihestu daiteke. Arazo hau paketeetara dago lokalizatuta ibaian gora eta, jakina, ordenagailuan gordetako informazioa oso ahul bihurtzen dute.

sgd2_2.00s1b1_pantaila_nagusia Kasuan Ubuntu, hainbat bertsiok ahultasun akats hau aurkezten dute, horretan oinarritzen diren banaketa asko bezala.

Ubunturen kaltetutako bertsioen artean hauek ditugu:

  • Ubuntu 15.10
  • Ubuntu 15.04
  • Ubuntu LTS 14.04
  • Ubuntu LTS 12.04

Arazoa sistema pakete hauen bertsioetan eguneratuta konpondu daiteke:

  • Ubuntu 15.10: grub2-common a 2.02 ~ beta2-29ubuntu0.2
  • Ubuntu 15.04: grub2-common a 2.02 ~ beta2-22ubuntu1.4
  • Ubuntu 14.04 LTS: grub2-common a 2.02 ~ beta2-9ubuntu1.6
  • Ubuntu 12.04 LTS: grub2-common a 1.99-21ubuntu3.19

Eguneratzearen ondoren, beharrezkoa da ordenagailua berrabiaraztea dagozkion aldaketa guztiak egiteko.

Gogoratu ahultasun hori GRUB pasahitza saihesteko erabil litekeela, beraz, eguneratzea burutzea gomendatzen da zure burua seguru egon dadin.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

16 iruzkin, utzi zurea

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.

  1.   Alexander TorMar esan zuen

    Windows eta OS x-ak ez bezala, akats horiek urte batzutan zuzentzen direnean [http://www.cnnexpansion.com/tecnologia/2015/02/12/microsoft-corrige-falla-critica-en-windows-15-anos - ondoren], GNU / Linux-en ahultasunak minutu edo ordu gutxitan konpondu dira (ahultasuna aurkitu ondoren soilik konpondu dute)

    1.    paco22 esan zuen

      Badirudi ez duzula zure esteka irakurri ere egin.

      Ahultasuna 15 urtez egon zen, baina duela urtebete aurkitu zen.
      Linuxen hamarkadetan zehar ezkutuko ahultasunak ere egon dira, nahiz eta predikazioak ahultasunak azkarrago edo berehala aurkitu zirela ziurtatu zuen iturria irekita zegoelako.

      Ahultasuna jakinarazi bezain pronto, Microsoft irtenbide seguru eta eraginkor baten eta proben konplexutasuna dela eta irtengo den irtenbide bat lantzen hasi zen, eta ez zegoen premiarik erasotzaileek ez baitzekiten.
      Zerbait azkar konpontzeak adabakia egitea ez zela konplikatua edo kode aldaketarik askatzean ez da QA aplikatzen, ezer gehiago.

  2.   bai esan zuen

    Baina Canonical-ek ez du ezer aurkitu ...

  3.   Hugo esan zuen

    Zer? Nola?

    Mesedez, zuzendu izenburu hori izugarrizko gezurra baita ... gezurra albisteetan eta gezurra artikuluaren edukian ...

    GRUBen zaurgarritasuna aurkitu da, baina Canonicalek ez du zerikusirik izan. Ahultasun horrek Linux bezalako edozein banaketan eragiten du, ez bakarrik Ubuntu-n.

    Atzeko planoaz ari garela, ahultasun hori ez da hain arriskutsua, pasahitza GRUBen erabiltzea BIOSean pasahitza erabiltzea bezain segurua baita. Erabiltzaile batek segurtasuna nahi badu, jakina, erabiltzailearen pasahitza eta disko enkriptatzea izango ditu (erasotzaileak gailurako sarbidea badu).

    Hau ez da pasadizo bat baino gehiago bihurtuko.

    dagokionez

    1.    paco22 esan zuen

      Atzeko planoaz ari garela, ahultasun hori ez da hain arriskutsua, pasahitza GRUBen erabiltzea BIOSean pasahitza erabiltzea bezain segurua baita. Erabiltzaile batek segurtasuna nahi badu, jakina, erabiltzailearen pasahitza eta disko enkriptatzea izango ditu (erasotzaileak gailurako sarbidea badu).

      Ez da sinetsi nahi duzun bezain erraza.
      Hemen azaltzen dute zergatik den garrantzitsua pasahitza GRUBen eta ez dela konpontzen erabiltzaileen pasahitzekin edo enkriptatzeekin.
      https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/

      Hau ez da pasadizo bat baino gehiago bihurtuko.

      Zalantzarik gabe.
      Linuxen zerbait gertatzen den bakoitzean, berehala debaluatu egiten da eta gero ahaztu egiten da.

      PS: estutu al dute desdelinux-en zentsura bidaltzen direnean iruzkinak agertzen ez direnean?

      1.    Hugo esan zuen

        zer?. Sarrera irakurri duzu zure aurrekontuak ... ez duela ezer esaten diskoaren enkriptatzeari edo erabiltzailearen pasahitzari buruz, zertarako balio duen eta GRUB2-n pasahitza nola erabiltzen den bakarrik azaltzen du ... Gainera, sarbidea izan behar duzula baieztatzen du taldearen segurtasuna urratzeko gailua (GRUB bidez baino beste modu eraginkorrago asko daude ...)
        Edonola ere, GRUB bidez administratzaile gisa sartzen zaren neurrian, partizioen, erabiltzaile gakoen eta LUKS enkriptatzeen baimenak ondo finkatuta badituzu (besteak beste), ez dute zure datuetara sartuko (zure gailurako sarbidea baldin badute ).

        Hori dela eta, oraindik ez dut zentzua ikusten. (Zure datuak ziurtatzeko GRUB pasahitzarekin soilik fidatzen ez bazara).

      2.    paco22 esan zuen

        Erantzun berriarekin baieztatzen duzu arazoaren esanahia ez duzula ikusten, sinplea izaten jarraitzen duzulako eta hutsune horretatik aukera sinpleak ere ezin baitituzu imajinatu.

        Jakina irakurri dut, baina ulertu ere egin dut.
        Edo, agian, edozein hutsune irekitzearen ondorioak eta irismena konturatu ahal naiz.
        Hor egon behar ez lukeen hutsunea, zerbaiterako zegoen segurtasun mekanismoan hutsunea.

        Esteka irakurtzen baduzu jakingo duzu segurtasuneko saio-hasiera hori salta daitekeenez, posible dela sistemara root gisa sartzea, eta horrekin zure super erabiltzailearen pasahitza ez da ezer. Komentatzen ari zarenari buruz zerbait badakizu, ez nuke azaldu behar root gisa hasten zarenean pasahitzen hash-ak ikusi edo editatu, erabiltzaileak editatu, sistema aldatu erabiltzaile guztiak kontrolatzen dituzten prozesuak kargatzeko edo ordezkatzeko. jarduera autentifikatuta dagoenean. Pasahitzak harrapatzetik deszifratutako datuak hartu eta "etxera" guztiak bidaltzea izan litezke; zuhur bezalako jendeak baino ezagutza gehiago duen erasotzaileari gerta dakizkiokeen beste milaka gauzen artean, segurtasun faltsuetan, segurtasun faltsuetan eta "inoiz ez dute arrakasta izango ondo ezarri baduzu bla bla bla".
        Gauzak pentsatu ezin izateak ez du esan nahi gauzak ezin dituzunik egin.

        Era berean, ez du axola metodo "eraginkorragoak" daudenik, arazoa da orain metodo bat gehiago dagoela, ahultasun batengatik ez litzatekeela existitu behar.
        Eta oso metodo irisgarria eta erraza da, ahultasunak ebaluatzen dituzten pertsonek baloratua.
        Dagoeneko ez dituzu Livecdak, USBak, BIOS desblokeatzeko, kutxak irekitzeko, disko gogorrak kentzeko, kanpoko unitateak jartzeko, etab. jarri teklatuaren aurrean eta sakatu ONE tekla.

        Eta ez kezkatu, bihar berria denean zure LUKS super ahultasuna duela dioenean, zu bezalako jendea aterako dela esatera "benetako eskoziar serio bat" ez dela fidatzen diskoaren enkriptatzean baina beste gauza batzuetan (GRUB bezalakoetan ere).

        PS: editatu komatxoen css izugarria.
        ERRALDOIA.

  4.   Raul esan zuen

    Noski …. askotan titularra: "Canonical-ek ahultasuna aurkitu du GRUB2-n." Eta zer moduz berriak idazteko. Azkenean berri honekin, badirudi Canonical / Ubuntu direla software librearen alde gauzak egiten dituzten bakarrak. Paketea colin watson-ek mantentzen du Debian-erako, eta bide batez Ubuntura igo du, paketearen bertsioan adierazten den moduan. Era berean, ez dago ahultasuna nola aktibatzen den jakiterik, hau da, atzera tekla 28 aldiz sakatuta.

    Agurra.

    1.    paco22 esan zuen

      Niretzat salagarria dena komentatu izana da, eta bide batez behin eta berriro, ahultasuna "teklatuaren erabilera okerragatik" dela. Hala dirudi: "iPhone gaizki eusten diote".

      Ez, ahultasuna programazio txarraren ondorioz sortzen da, beti bezala, puntua. Ezin da justifikatu tekla bat X aldiz sakatzeak segurtasun saioa hastea.

  5.   HO2Gi esan zuen

    Izenburua, esango dute grub hasi zenean "e" sakatuz akats bat aurkitu zela, linux mint-en ere saiatu nintzela eta Ubuntun ez zela ezer gertatzen.

    1.    HO2Gi esan zuen

      PS: lehenik eta behin nire etxean sartu behar dute ahultasun hori erabiltzeko, lehenik eta behin menta desinstalatu eta Ubuntu instalatu.

      1.    Alexander TorMar esan zuen

        Zure ortografiak asko uzten du

      2.    paco22 esan zuen

        Tokiko ahultasunak ahultasunak dira azken finean.

        Laneko estazioetan, enpresetan eta beste ingurune kritikoetan ez zaie grazia egingo ahultasun hori izateari eta are gehiago "linux segurua" erabiliz. Baina ondo jolasten dut zure etxean sartzen ez direlako.

        E blokeatu beharreko arriskua ere bada. Ez dakit zuk jakin zenuen.

      3.    Hugo esan zuen

        Hahaha Paco22, nola defendatzen duzu ahultasun hori ...
        Sinets iezadazu enpresa serio batean segurtasun protokolo asko daudela a) gailu fisikora sartzeko b) datuetarako sarbidea babesteko.
        Eta zure interesa oraindik GRUB bada, errazagoa da blokeatzea, sarbidea izan ez dezazun ...

      4.    paco22 esan zuen

        @Hugo
        Ez da kontua "benetako eskoziar serio batek" beste segurtasun protokolo batzuk erabiliko lituzkeenik, baina hori protokolo horietako bat da. Eta bide batez, huts eginez gero gainerakoak arriskuan jar ditzakezu, zuk aipatu dituzunak bezala, bermerik handiena direla zin eginez.

        Ahultasun horrek ez du nire beharra defendatzeko, segurtasunari buruz dakiten espezialistek aurkitu eta kualifikatu baitute eta wannabeen debaluazioak ulertzen du distroa erabiliz asko dakitela ez duela garrantzirik.
        Ulertzen dut min ematen diela pixkanaka "linux segurua" mito hori urratzen ari dela, tekla bakarra sakatuta ere.
        Normalean, ez dira inoiz aldatzen, beti berdinak superlinux akatsak gutxitzeko.

  6.   izenik gabea esan zuen

    gizona ez da Ubuntun bakarrik bizi