Za one koji ne znaju Canonical, ovo je tvrtka osnovana u Ujedinjenom Kraljevstvu, koju je osnovao i financirao Mark Shuttleworth južnoafričkog podrijetla. Tvrtka je zadužena za razvoj softvera za računala i prodaje usluge usmjerene na Ubuntu, Operativni sustav Gnu / Linux i aplikacije temeljene na slobodnom softveru.
U slučaju GRUB-a ili GR i Unified BootloaderMožemo reći da se koristi za pokretanje jednog ili nekoliko operativnih sustava za isto računalo, to je ono što je poznato kao boot manager, potpuno otvoreni izvor.
Sada ćemo razgovarati o Nula-dnevna ranjivost u GRUB2. To su prvi pronašli Ismael Ripoll i Hector Marco, dva programera sa Sveučilišta Valencia u Španjolskoj. U osnovi se radi o zlouporabi tipke za brisanje, kada se provodi konfiguracija pokretanja, zaštita lozinkom. To je nepravilna upotreba kombinacija tipkovnice, gdje pritiskom bilo koje tipke možete zaobići unos lozinke. Taj je problem lokaliziran u paketima uzvodno i očito čine informacije pohranjene na računalu vrlo ranjivima.
U slučaju Ubuntu, nekoliko verzija predstavlja ovu grešku ranjivosti, poput mnogih distribucija koje se temelje na njemu.
Među pogođenim verzijama Ubuntu-a imamo:
- Ubuntu 15.10
- Ubuntu 15.04
- Ubuntu LTS 14.04
- Ubuntu LTS 12.04
Problem se može ispraviti ažuriranjem sustava u verzijama sljedećih paketa:
- Ubuntu 15.10: grub2-zajednički a 2.02 ~ beta2-29ubuntu0.2
- Ubuntu 15.04: grub2-zajednički a 2.02 ~ beta2-22ubuntu1.4
- Ubuntu 14.04 LTS: grub2-zajednički a 2.02 ~ beta2-9ubuntu1.6
- Ubuntu 12.04 LTS: grub2-zajednički a 1.99-21ubuntu3.19
Nakon ažuriranja potrebno je ponovno pokrenuti računalo da biste izvršili sve bitne promjene.
Imajte na umu da bi se ova ranjivost mogla koristiti za zaobilaženje GRUB lozinke, pa se preporučuje da izvršite ažuriranje kako biste se zaštitili.
Za razliku od Windows i OS x gdje se ove pogreške ispravljaju za nekoliko godina [http://www.cnnexpansion.com/tecnologia/2015/02/12/microsoft-corrige-falla-critica-en-windows-15-anos - nakon], ranjivosti u GNU / Linuxu popravljene su u nekoliko minuta ili sati (popravile su je tek nakon otkrivanja ranjivosti)
Čini se da niste ni pročitali vlastiti link.
Ranjivost je bila tamo 15 godina, ali otkrivena je prije godinu dana.
U Linuxu također postoje skrivene ranjivosti već desetljećima, iako je propovijed osiguravao da se ranjivosti otkrivaju brže ili odmah jer je izvor otvoren.
Čim je prijavljena ranjivost, Microsoft je počeo raditi na rješenju koje je sporo izlazilo zbog složenosti sigurnog i učinkovitog rješenja i testova, a nije bilo hitnosti jer napadačima nije bilo poznato.
Da se nešto brzo ispravi, samo znači da izvođenje zakrpe nije bilo komplicirano ili da se ne primjenjuje nikakav QA prilikom objavljivanja bilo kakvih promjena koda, ništa više.
Ali kanonski nije otkrio ništa ... .. To samo ne utječe na njihove distribucije ni na što drugo
Što kako?
Molimo ispravite taj naslov jer je to strahovita laž ... laž u vijestima i laž u sadržaju članka ...
U GRUB-u je otkrivena ranjivost, ali Canonical s njom nema nikakve veze. Ova ranjivost utječe na bilo koju distribuciju sličnu Linuxu, ne samo na Ubuntu.
Kad smo već kod pozadine, takva ranjivost nije toliko opasna, jer je upotreba lozinke u GRUB-u sigurna koliko i upotreba lozinke u BIOS-u. Ako korisnik želi sigurnost, očito će imati korisničku lozinku i šifriranje diska (u slučaju da napadač ima pristup uređaju).
Ovo neće postati više od anegdote.
pozdravi
Nije tako jednostavno kao što želite vjerovati.
Ovdje objašnjavaju malo zašto je lozinka važna u GRUB-u i da se ne rješava korisničkom lozinkom ili šifriranjem stvari.
https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/
Definitivno.
Kad god se nešto dogodi u Linuxu, prvo se to obezvrijedi, a zatim zaboravi.
PS: jesu li pooštrili cenzuru desdelinux da se više ne pojavljuju komentari pri slanju?
što?. Pročitali ste unos da vaši citati ... ne govore ništa o šifriranju diska ili korisničkoj lozinci, već samo objašnjava čemu služi i kako se lozinka koristi u GRUB2 ... Također potvrđuje da morate imati pristup uređaj za narušavanje sigurnosti tima (postoje mnogi drugi učinkovitiji načini nego putem GRUB-a ...)
Bez obzira na to koliko pristupate kao administrator putem GRUB-a, ako imate dobro uspostavljena dopuštenja za particije, korisničke ključeve i LUKS enkripciju (između ostalog), oni neće pristupiti vašim podacima (ako naravno imaju pristup vašem uređaju) ).
Stoga još uvijek ne vidim svrhu. (osim ako za zaštitu podataka ne vjerujete samo zaporci GRUB).
Novim odgovorom potvrđujete da ne vidite smisao problema jer ostajete jednostavni i iz tog jaza ne možete ni zamisliti jednostavne mogućnosti.
Naravno da sam ga pročitao, ali sam ga i razumio.
Ili možda je to što mogu shvatiti implikacije i opseg otvaranja bilo koje praznine.
Jaz koji ne bi trebao postojati, jaz u sigurnosnom mehanizmu koji je bio zbog nečega.
Ako pročitate vezu, saznat ćete da je, budući da se ova sigurnosna prijava može preskočiti, sustavu moguće pristupiti kao root, a s kojom vaša lozinka super korisnika nije ništa. A ako znate nešto o onome što komentirate, ne bih trebao objašnjavati da bi, kada se prijavite kao root, bilo moguće pregledavati ili uređivati hashove lozinki, uređivati korisnike, modificirati sustav za učitavanje ili zamjenu procesa koji nadziru sve aktivnosti korisnika kada je provjera autentičnosti. to bi moglo prijeći od hvatanja njihovih lozinki do uzimanja njihovih dešifriranih podataka i slanja svih tih "kuća"; među tisućama drugih stvari koje se mogu dogoditi napadaču koji ima više znanja od ljudi poput vas koji žive u mjehurićima samozadovoljstva, lažne sigurnosti i "nikad neće uspjeti ako ste dobro utvrdili bla bla bla."
To što ne možete razmišljati o stvarima ne znači da ne možete i raditi stvari.
Niti je važno što postoji mnogo "učinkovitijih" metoda, problem je što sada postoji još jedna metoda koja ne bi trebala postojati zbog ranjivosti.
I to je vrlo pristupačna i jednostavna metoda, koju ocjenjuju ljudi koji procjenjuju ranjivosti.
Više vam nisu potrebni Livecds, USB, otključavanje BIOS-a, otvaranje kutija, uklanjanje tvrdih diskova, stavljanje vanjskih pogona itd .; samo stanite ispred tipkovnice i pritisnite JEDNU tipku.
I ne brinite, sutra kad se vijesti da vaš super LUKS danas ima ranjivost ljudi poput vas izići će reći da "stvarno ozbiljni Škot" ne vjeruje u šifriranje diska već u druge stvari (poput GRUB-a) .
Naravno …. često naslov: "Canonical otkriva ranjivost u GRUB2." I kakav način pisanja vijesti. S ovom viješću na kraju će se činiti da su Canonical / Ubuntu jedini koji rade stvari za besplatni softver. Colin watson održava paket za Debian i već ga je prenio na Ubuntu, kako je naznačeno u verziji paketa. Ništa se ne govori o tome kako se aktivira ranjivost koja pritiska povratnu tipku 28 puta.
Pozdrav.
Ono što mi je prijekorno jest da se komentira, a usput iznova i iznova, da je ranjivost posljedica "zlouporabe tipkovnice". To zvuči tako: "krivo drže iPhone."
Ne, ranjivost je uzrokovana lošim programiranjem, kao i uvijek, razdobljem. Neoprostivo je što pritiskom X tipke preskače sigurnosna prijava.
Kakav naslov, reći će i da je dok je grub započeo otkrivena greška pritiskom na "e", također sam pokušao u linux mint i ništa se ne događa samo u ubuntuu.
PS: prvo moraju ući u moju kuću kako bi iskoristili tu ranjivost, prvo deinstalirati mentu i instalirati ubuntu.
Vaš pravopis ostavlja mnogo želja
Lokalne ranjivosti ipak su ranjivosti.
Na radnim stanicama, tvrtkama i drugim kritičnim okruženjima neće se zabavljati što imaju ovu ranjivost, a još više koristeći "sigurni linux". Ali dobro igram jer vam ne ulaze u kuću.
E je također rizik koji se mora blokirati. Ne znam jeste li znali.
Hahaha Paco22, kako braniš ovu ranjivost ...
Vjerujte mi da u ozbiljnoj tvrtki postoji mnogo sigurnosnih protokola za a) pristup fizičkom uređaju b) za zaštitu pristupa podacima.
A ako je vaš interes i dalje GRUB, lakše ga je blokirati kako ne biste imali pristup njemu ...
@Hugo
Nije pitanje da li bi se "istinski ozbiljni Škot" koristio drugim sigurnosnim protokolima, već da je ovo jedan od tih protokola i NE POSTAJE, točka. Usput, neuspjehom može ugroziti ostatak, poput onih koje ste spomenuli, zaklinjući se da su oni maksimalno jamstvo.
Ovu ranjivost ne trebam da je branim, jer su je otkrili i kvalificirali stručnjaci koji znaju za sigurnost, a devalvacije wannabesa razumiju da puno toga znaju koristeći distro, nije važno.
Razumijem da ih boli što se malo po malo razbija mit o "sigurnom linuxu", čak i pritiskom jedne tipke.
Tipično je da se nikad ne mijenjaju, uvijek su iste kako bi umanjili nedostatke superlinuxa.
čovjek ne živi samo na Ubuntuu