Mereka mendeteksi dua kerentanan di GRUB2

David Y. Naranjo

4 menit

kerentanan

Jika dieksploitasi, kelemahan ini dapat memungkinkan penyerang mendapatkan akses tidak sah ke informasi sensitif atau umumnya menyebabkan masalah

Rincian dua kerentanan dalam boot loader GRUB2 telah diungkapkan bahwa pdapat menyebabkan eksekusi kode saat menggunakan font yang dirancang khusus dan menangani urutan Unicode tertentu.

Disebutkan bahwa kerentanan yang terdeteksi adalahe dapat digunakan untuk mem-bypass mekanisme boot terverifikasi UEFI Secure Boot. Kerentanan di GRUB2 memungkinkan kode dieksekusi pada tahap setelah verifikasi shim berhasil, tetapi sebelum sistem operasi dimuat, memutus rantai kepercayaan dengan mode Boot Aman aktif dan mendapatkan kontrol penuh atas proses pasca-boot, misalnya. untuk memulai sistem operasi lain, memodifikasi komponen sistem operasi, dan melewati perlindungan kunci.

Mengenai kerentanan yang teridentifikasi, berikut ini disebutkan:

  • CVE-2022-2601: buffer overflow dalam fungsi grub_font_construct_glyph() saat memproses font yang dibuat khusus dalam format pf2, yang terjadi karena perhitungan parameter max_glyph_size yang salah dan alokasi area memori yang jelas lebih kecil dari yang dibutuhkan untuk menempatkan mesin terbang.
  • CVE-2022-3775: Penulisan di luar batas saat merender beberapa string Unicode dalam font kustom. Masalahnya hadir dalam kode penanganan font dan disebabkan oleh kurangnya kontrol yang tepat untuk memastikan bahwa lebar dan tinggi mesin terbang cocok dengan ukuran bitmap yang tersedia. Penyerang dapat memanen input sedemikian rupa sehingga menyebabkan antrian data ditulis dari buffer yang dialokasikan. Perlu dicatat bahwa terlepas dari kerumitan mengeksploitasi kerentanan, mengekspos masalah ke eksekusi kode tidak dikecualikan.

Mitigasi penuh terhadap semua CVE akan memerlukan perbaikan yang diperbarui dengan SBAT terbaru (Secure Boot Advanced Targeting) dan data yang disediakan oleh distribusi dan vendor.
Kali ini daftar pencabutan UEFI (dbx) tidak akan digunakan dan pencabutan yang rusak
artefak hanya akan dibuat dengan SBAT. Untuk informasi tentang cara menerapkan
pencabutan SBAT terbaru, lihat mokutil(1). Perbaikan vendor dapat secara eksplisit izinkan booting artefak boot lama yang diketahui.

GRUB2, shim, dan artefak boot lainnya dari semua vendor yang terpengaruh akan diperbarui. itu akan tersedia saat embargo dicabut atau beberapa saat setelahnya.

Disebutkan bahwa kebanyakan distribusi linux menggunakan lapisan tambalan kecil, ditandatangani secara digital oleh Microsoft, untuk boot terverifikasi dalam mode UEFI Secure Boot. Lapisan ini memverifikasi GRUB2 dengan sertifikatnya sendiri, yang memungkinkan pengembang distribusi untuk tidak mengesahkan setiap pembaruan kernel dan GRUB dengan Microsoft.

Untuk memblokir kerentanan tanpa mencabut tanda tangan digital, distribusi dapat menggunakan mekanisme SBAT (UEFI Secure Boot Advanced Targeting), yang didukung oleh GRUB2, shim, dan fwupd pada sebagian besar distribusi Linux populer.

SBAT dikembangkan bekerja sama dengan Microsoft dan melibatkan penambahan metadata tambahan ke file yang dapat dieksekusi komponen UEFI, termasuk produsen, produk, komponen, dan informasi versi. Metadata yang ditentukan ditandatangani secara digital dan dapat disertakan dalam daftar komponen terpisah yang diizinkan atau dilarang untuk UEFI Secure Boot.

SBAT mengizinkan pemblokiran penggunaan tanda tangan digital untuk nomor versi komponen individual tanpa perlu mencabut kunci untuk Boot Aman. Memblokir kerentanan melalui SBAT tidak memerlukan penggunaan UEFI CRL (dbx), melainkan dilakukan pada tingkat penggantian kunci internal untuk menghasilkan tanda tangan dan memperbarui GRUB2, shim, dan artefak boot lainnya yang disediakan oleh distribusi.

Sebelum pengenalan SBAT, memperbarui daftar pencabutan sertifikat (dbx, Daftar Pencabutan UEFI) adalah prasyarat untuk sepenuhnya memblokir kerentanan, karena penyerang, apa pun sistem operasi yang digunakan, dapat menggunakan media yang dapat di-boot dengan versi lama yang rentan. GRUB2 disertifikasi oleh tanda tangan digital untuk mengkompromikan UEFI Secure Boot.

Akhirnya Perlu disebutkan bahwa perbaikan telah dirilis sebagai tambalan., untuk memperbaiki masalah di GRUB2, tidak cukup hanya memperbarui paket, Anda juga perlu membuat tanda tangan digital internal baru dan memperbarui penginstal, bootloader, paket kernel, fwupd-firmware, dan shim-layer.

Status perbaikan kerentanan dalam distribusi dapat dinilai di halaman berikut: Ubuntu, SUSE, RHELFedoraDebian.

Anda dapat memeriksa lebih lanjut tentang itu di link berikut.