Azok számára, akik nem ismerik a Canonical-t, ez egy az Egyesült Királyságban alapított vállalat, amelyet dél-afrikai származású Mark Shuttleworth alapított és finanszírozott. A vállalat feladata a számítógépek szoftverének fejlesztése és az erre orientált szolgáltatások forgalmazása Ubuntu Az operációs rendszer Gnu / Linux és ingyenes szoftvereken alapuló alkalmazások.
GRUB vagy GRand Egységes BootloaderMondhatjuk, hogy egy vagy több operációs rendszer indításához használják ugyanahhoz a számítógéphez, ez az úgynevezett boot manager, teljesen nyílt forráskódú.
Most beszélünk a Nulla napos sebezhetőség a GRUB2-ben. Ezt először Ismael Ripoll és Hector Marco, a spanyol Valencia Egyetem két fejlesztője találta meg. Alapvetően a törlés kulcs visszaéléséről van szó, amikor a rendszerindítási konfiguráció a jelszó biztonságával valósul meg. Ez a billentyűzetkombinációk helytelen használata, ahol bármelyik gomb megnyomásával figyelmen kívül hagyhatja a jelszó megadását. Ez a probléma csomagokban található upstream és nyilvánvalóan nagyon sebezhetővé teszik a számítógépen tárolt információkat.
Abban az esetben, Az Ubuntu számos verziója bemutatja ezt a biztonsági rést, mint sok azon alapuló disztribúció.
Az Ubuntu érintett verziói között van:
- Ubuntu 15.10
- Ubuntu 15.04
- Ubuntu LTS 14.04
- Ubuntu LTS 12.04
A probléma kijavítható a rendszer frissítésével a következő csomagok verzióiban:
- Ubuntu 15.10: grub2-common a 2.02 ~ beta2-29ubuntu0.2
- Ubuntu 15.04: grub2-common a 2.02 ~ beta2-22ubuntu1.4
- Ubuntu 14.04 LTS: grub2-common a 2.02 ~ beta2-9ubuntu1.6
- Ubuntu 12.04 LTS: grub2-common a 1.99-21ubuntu3.19
A frissítés után újra kell indítani a számítógépet az összes vonatkozó módosítás elvégzése érdekében.
Ne feledje, hogy ez a biztonsági rés felhasználható a GRUB jelszó megkerüléséhez, ezért ajánlatos a frissítés végrehajtása a biztonság érdekében.
Ellentétben a Windows és az OS x rendszerekkel, ahol ezeket a hibákat évek alatt kijavítják [http://www.cnnexpansion.com/tecnologia/2015/02/12/microsoft-corrige-falla-critica-en-windows-15-anos - után] a GNU / Linux sebezhetőségét percek vagy órák alatt kijavítják (csak a sebezhetőség felfedezése után javították ki)
Úgy tűnik, hogy nem is olvasta el a saját linkjét.
A sérülékenység 15 évig volt fenn, de 1 éve fedezték fel.
A Linuxban évtizedek óta rejtett biztonsági rések is vannak, bár az igehirdetés biztosította a sebezhetőségek gyorsabb vagy azonnali felfedezését, mert a forrás nyitva volt.
Amint jelentették a biztonsági rést, a Microsoft elkezdett dolgozni egy olyan megoldáson, amely a biztonságos és hatékony megoldás és a tesztek összetettsége miatt lassan jött ki, és nem volt sürgős, mivel a támadók nem ismerték.
Az, hogy valami gyorsan kijavításra kerül, csak azt jelenti, hogy a javítás elkészítése nem volt bonyolult, vagy hogy a kódváltozások kiadásakor semmilyen minőségbiztosítást nem alkalmaznak, semmi több.
De a Canonical nem fedezett fel semmit ... .. csak a disztribúcióikat érinti, semmi mást
Mit, hogyan?
Kérjük, javítsa ki ezt a címet, mivel ez óriási hazugság ... hazugság a hír tényben és hazugság a cikk tartalmában ...
Felfedeztek egy sebezhetőséget a GRUB-ban, de a Canonicalnak semmi köze nem volt ehhez. Ez a biztonsági rés minden Linux-szerű disztribúciót érint, nemcsak az Ubuntut.
A háttérről szólva egy ilyen biztonsági rés nem annyira veszélyes, mivel a GRUB-ban ugyanolyan biztonságos a jelszó, mint a BIOS-ban. Ha egy felhasználó biztonságot akar, nyilvánvalóan felhasználói jelszóval és lemez titkosítással rendelkezik (ha a támadónak hozzáférése van az eszközhöz).
Ez nem lesz több anekdotánál.
Üdvözlet
Ez nem olyan egyszerű, mint hinni akarsz.
Itt elmagyarázzák egy kicsit, miért fontos a jelszó a GRUB-ban, és hogy nem oldódik meg felhasználói jelszavakkal vagy titkosítással.
https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/
Nem kétséges
Amikor valami történik a Linuxban, először leértékelődik, majd elfelejtik.
PD: ¿han endurecido la censura en desdelinux que ya los comentarios no salen al enviar?.
mit?. Elolvasta azt a bejegyzést, hogy az idézetei ... nem mondanak semmit a lemez titkosításáról vagy a felhasználói jelszóról, csak elmagyarázza, hogy mire való és hogyan használják a jelszót a GRUB2-ben ... Megerősíti azt is, hogy hozzáférnie kell a eszköz a csapat biztonságának megsértésére (számos más hatékonyabb módszer létezik, mint a GRUB-on keresztül ...)
Nem számít, mennyit érsz el rendszergazdaként a GRUB-on keresztül, ha a partíciók, a felhasználói kulcsok és a LUKS-titkosítás engedélyei (többek között) jól meg vannak határozva, akkor nem fognak hozzáférni az adataidhoz (ha természetesen hozzáférnek az eszközödhöz) ).
Ezért továbbra sem látom értelmét. (Hacsak nem csak a GRUB jelszóval bízik meg az adatainak biztonságában).
Új válaszával megerősíti, hogy nem látja a probléma értelmét, mert egyszerű marad, és nem is tudja elképzelni az egyszerű lehetőségeket ebből a résből.
Természetesen elolvastam, de értettem is.
Vagy talán az, hogy rájövök a hiányosságok nyitásának következményeire és terjedelmére.
Rés, amelynek nem szabad ott lennie, hiányosság egy biztonsági mechanizmusban, amely valami miatt volt.
Ha elolvassa a linket, megtudja, hogy mivel ez a biztonsági bejelentkezés átugorható, rootként lehet hozzáférni a rendszerhez, amellyel a szuper felhasználói jelszó nem semmi. És ha tudsz valamit arról, amit kommentelsz, akkor nem szabad elmagyaráznom, hogy root felhasználóként bejelentkezve lehetőség nyílik a jelszó kivonatok megtekintésére vagy szerkesztésére, a felhasználók szerkesztésére, a rendszer módosítására az összes felhasználót figyelő folyamatok betöltéséhez vagy cseréjéhez tevékenység, amikor hitelesítve van, ami a jelszavak rögzítésétől kezdve a visszafejtett adatok elviteléig és az összes "házhoz" küldésig terjedhet; több ezer olyan dolog mellett, ami egy támadóval történhet, aki több tudással rendelkezik, mint a hozzád hasonló emberek, akik önelégültség, hamis biztonság buborékaiban élnek, és "soha nem fognak sikerülni, ha jól megalapozott bla bla bla."
Az, hogy nem tudsz gondolni a dolgokra, még nem jelenti azt, hogy nem tudsz dolgokat csinálni.
Nem számít az sem, hogy sok "hatékonyabb" módszer létezik, a probléma az, hogy most van még egy módszer, amelynek nem szabad léteznie egy sebezhetőség miatt.
És ez egy rendkívül hozzáférhető és egyszerű módszer, amelyet a sebezhetőségeket felmérő emberek értékelnek.
Nincs többé szükség Livecds-re, USB-re, a BIOS feloldására, a dobozok megnyitására, a merevlemezek eltávolítására, a külső meghajtók elhelyezésére stb. csak álljon a billentyűzet elé és nyomja meg az EGY gombot.
És ne aggódjon, hogy holnap, amikor a hír arról szól, hogy ma a szuper LUKS-je sebezhető, az Önhöz hasonló emberek kijönnek, hogy "egy igazi komoly skót" nem a lemez titkosításában bízik, hanem más dolgokban (például a GRUB-ban is).
Természetesen …. gyakran címsor: "A Canonical felfedezi a GRUB2 biztonsági rését." És milyen módon lehet megírni a híreket. Ezzel a hírrel a végén úgy tűnik, hogy a Canonical / Ubuntu az egyetlen, amelyik ingyenes szoftverekért csinál dolgokat. A csomagot a Colin Watson karbantartja a Debian számára, és egyébként feltöltötték az Ubuntu-ra, amint a csomag verziója jelzi. Arról sem szólnak kommentárok, hogy miként váltja ki a biztonsági rést, ami a visszalépés gomb 28-szor történő megnyomásával történik.
Üdvözlet.
Számomra elítélendő, hogy megjegyzik, és mellesleg újra és újra, hogy a sérülékenységet "a billentyűzet helytelen használata" okozza. Ez így hangzik: "rosszul tartják az iPhone-t".
Nem, a sérülékenységet a rossz programozás okozza, mint mindig, az időszak. Bocsáthatatlan, hogy egy gomb X-es megnyomása kihagyja a biztonsági bejelentkezést.
Milyen főcím, azt is mondják, hogy bár a grub elindított egy hibát, felfedezték az "e" billentyűt, én is megpróbáltam linux mentában, és semmi sem történik csak az ubuntuban.
PS: Először be kell lépniük a házamba, hogy használhassák ezt a biztonsági rést, először távolítsák el a mentát és telepítsék az ubuntut.
A helyesírásod sok kívánnivalót hagy maga után
A helyi sebezhetőségek végül is sérülékenységek.
Munkaállomásokon, vállalatokban és más kritikus környezetekben nem fogják szórakoztatni ezeket a biztonsági réseket, és még inkább a "biztonságos linuxot" használják. De jól játszom, mert nem lépnek be a házadba.
Az e szintén olyan kockázat, amelyet le kell tiltani. Nem tudom, tudtad-e.
Hahaha Paco22, hogyan véded meg ezt a sebezhetőséget ...
Hidd el, hogy egy komoly vállalatnál számos biztonsági protokoll létezik a) a fizikai eszközhöz való hozzáféréshez, b) az adatokhoz való hozzáférés védelméhez.
Ha pedig továbbra is GRUB érdekel, akkor könnyebb blokkolni, hogy ne férhessen hozzá ...
@Hugo
Nem kérdés, hogy egy "igazi komoly skót" más biztonsági protokollokat használna, hanem az, hogy ez az egyik ilyen protokoll és nem sikerül, pont. És mellesleg a kudarc veszélyeztetheti a többit, mint ahogyan te említetted, esküszve, hogy ők a maximális garancia.
Ehhez a biztonsági réshez nincs szükségem arra, hogy megvédjem, mert szakemberek fedezték fel és minősítették, akik tudnak a biztonságról, és a wannabes leértékelései megértik, hogy sokat tudnak a disztribúció használatával.
Megértem, hogy fáj nekik, hogy apránként szétszakad a "biztonságos linux" mítosza, akár egyetlen gomb megnyomásával is.
Jellemző, hogy soha nem változnak, mindig ugyanazok, hogy minimalizálják a superlinux hibáit.
az ember nem csak az Ubuntun él