CanonicalがGRUB2の脆弱性を発見

Canonicalを知らない人のために、これは英国で設立された会社であり、南アフリカ出身のMarkShuttleworthによって設立され資金提供されています。 同社は、コンピューター向けのソフトウェアの開発を担当し、 Ubuntu、 オペレーティングシステム Gnu / Linux および無料ソフトウェアに基づくアプリケーション。

7 Canonical_logo GRUBの場合または GRandユニファイドブートローダー同じコンピューターでXNUMXつまたは複数のオペレーティングシステムを起動するために使用されていると言えます。これは、完全にオープンソースのブートマネージャーと呼ばれるものです。

今、私たちはについて話します ゼロデイの脆弱性 GRUB2で。 これは、スペインのバレンシア大学のXNUMX人の開発者であるIsmaelRipollとHectorMarcoによって最初に発見されました。 基本的には、ブート構成にパスワードセキュリティが実装されている場合の削除キーの誤用に関するものです。 これは、キーボードの組み合わせの誤った使用法であり、任意のキーを押すとパスワード入力がバイパスされる可能性があります。 この問題はパッケージにローカライズされています アップストリーム そして明らかに、それらはコンピュータに保存されている情報を非常に脆弱にします。

sgd2_2.00s1b1_main_screen の場合 Ubuntu、いくつかのバージョンはこの脆弱性の欠陥を提示します、それに基づく多くのディストリビューションのように。

影響を受けるUbuntuのバージョンには、次のものがあります。

  • Ubuntuの15.10
  • Ubuntuの15.04
  • Ubuntu 14.04, XNUMX, XNUMX LTS
  • Ubuntu 12.04, XNUMX, XNUMX LTS

この問題は、次のパッケージのバージョンでシステムを更新することで修正できます。

  • Ubuntu 15.10:grub2-common a 2.02〜beta2-29ubuntu0.2
  • Ubuntu 15.04:grub2-common a 2.02〜beta2-22ubuntu1.4
  • Ubuntu 14.04 LTS:grub2-common a 2.02〜beta2-9ubuntu1.6
  • Ubuntu 12.04 LTS:grub2-common a 1.99-21ubuntu3.19

更新後、コンピュータを再起動して、関連するすべての変更を行う必要があります。

この脆弱性はGRUBパスワードをバイパスするために使用される可能性があるため、安全を確保するために更新を実行することをお勧めします。


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

16コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   アレハンドロ・トルマー

    これらのエラーが数年で修正されるWindowsやOSxとは異なり[http://www.cnnexpansion.com/tecnologia/2015/02/12/microsoft-corrige-falla-critica-en-windows-15-anos-後]、GNU / Linuxの脆弱性は数分または数時間で修正されます(脆弱性を発見した後にのみ修正されます)

    1.    paco22

      自分のリンクも読んでいないようです。

      この脆弱性は15年間存在していましたが、1年前に発見されました。
      Linuxでは、ソースがオープンであるために脆弱性がより迅速に、または即座に発見されることが説教によって保証されたにもかかわらず、何十年にもわたって隠れた脆弱性がありました。

      脆弱性が報告されるとすぐに、マイクロソフトは安全で効果的なソリューションとテストの複雑さのために出てくるのが遅いソリューションに取り組み始めました、そしてそれが攻撃者に知られていないので緊急性はありませんでした。
      何かがすぐに修正されるということは、パッチの作成が複雑ではなかったこと、またはコードの変更をリリースするときにQAが適用されないことを意味するだけです。

  2.   SLI

    しかし、canonicalは何も発見していません.....それは彼らのディストリビューションに影響を与えるだけです

  3.   ヒューゴー

    なに?どうやって?

    とてつもない嘘なので、そのタイトルを訂正してください…ニュースの事実の嘘と記事の内容の嘘…

    GRUBに脆弱性が発見されましたが、Canonicalはそれとは何の関係もありません。 この脆弱性は、Ubuntuだけでなく、Linuxのようなディストリビューションにも影響を及ぼします。

    背景について言えば、GRUBでパスワードを使用することは、BIOSでパスワードを使用することと同じくらい安全であるため、このような脆弱性はそれほど危険ではありません。 ユーザーがセキュリティを必要とする場合、明らかにユーザーパスワードとディスク暗号化があります(攻撃者がデバイスにアクセスできる場合)。

    これは逸話以上のものにはなりません。

    よろしく

    1.    paco22

      背景について言えば、GRUBでパスワードを使用することは、BIOSでパスワードを使用することと同じくらい安全であるため、このような脆弱性はそれほど危険ではありません。 ユーザーがセキュリティを必要とする場合、明らかにユーザーパスワードとディスク暗号化があります(攻撃者がデバイスにアクセスできる場合)。

      それはあなたが信じたいほど単純ではありません。
      ここでは、パスワードがGRUBで重要である理由と、ユーザーパスワードや暗号化では解決されない理由について少し説明します。
      https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/

      これは逸話以上のものにはなりません。

      間違いない
      Linuxで何かが起こったときはいつでも、それは最初に切り下げられ、次に忘れられます。

      PS:送信時にコメントが出ないというdesdelinuxの検閲を強化しましたか?

      1.    ヒューゴー

        何?。 あなたはあなたの引用がディスク暗号化やユーザーパスワードについて何も述べていないというエントリを読みました、それはそれが何のためにあるのかそしてパスワードがGRUB2でどのように使われるのかを説明するだけです...それはあなたがにアクセスしなければならないことも確認しますチームのセキュリティを侵害するデバイス(GRUBを使用する以外にも多くの効果的な方法があります...)
        また、GRUBを介して管理者としてどれだけアクセスしても、パーティション、ユーザーキー、およびLUKS暗号化のアクセス許可が(とりわけ)十分に確立されている場合、それらはデータにアクセスしません(もちろんデバイスにアクセスできる場合)。

        ですから、まだ意味がわかりません。 (データを保護するためにGRUBパスワードのみを信頼する場合を除きます)。

      2.    paco22

        あなたの新しい答えであなたはあなたが単純なままであり、そのギャップから単純な可能性を想像することさえできないのであなたが問題の感覚を見ないことを確認します。

        もちろん読んだこともありますが、理解したこともあります。
        あるいは、ギャップを開くことの意味と範囲を理解できるということかもしれません。
        あるべきではないギャップ、何かのためにそこにあったセキュリティメカニズムのギャップ。

        リンクを読むと、このセキュリティログインはスキップ可能であるため、スーパーユーザーのパスワードが何もないrootとしてシステムにアクセスできることがわかります。 また、コメント内容について何か知っている場合は、rootとしてログインすると、パスワードハッシュを確認または編集したり、ユーザーを編集したり、システムを変更してすべてのユーザーを監視するプロセスをロードまたは置換したりできることを説明しないでください。認証されたときのアクティビティ。これは、パスワードの取得から、復号化されたデータの取得とそのすべての「ホーム」への送信に至る可能性があります。 自己満足の泡、誤ったセキュリティ、そして「あなたが十分に確立されたbla bla blaを持っていれば、彼らは決して成功しない」というあなたのような人々よりも多くの知識を持っている攻撃者に起こり得る他の何千ものことの中で。
        物事を考えることができないからといって、物事ができないというわけではありません。

        「より効果的な」方法がたくさんあることも問題ではありません。問題は、脆弱性のために存在すべきではない方法がもうXNUMXつあることです。
        また、脆弱性を評価する人々によって評価された、アクセスしやすく簡単な方法です。
        Livecd、USB、BIOSのロック解除、ボックスのオープン、ハードドライブの取り外し、外付けドライブの設置などは不要になりました。 キーボードの前に立ち、XNUMXつのキーを押すだけです。

        そして、心配しないでください。今日のスーパーLUKSに脆弱性があるというニュースが明日になると、「本当の真面目なスコットランド人」はディスク暗号化ではなく他のもの(GRUBなど)を信頼すると言うでしょう。

        PS:巨大な引用符のcssを編集します。
        巨大。

  4.   ラウル

    もちろん …。 しばしば見出し:「CanonicalはGRUB2の脆弱性を発見します。」 そして、ニュースを書くためのどのような方法。 結局のところ、このニュースで、Canonical / Ubuntuだけがフリーソフトウェアのために物事を行うように思われるでしょう。 Colin watsonはDebianのパッケージを管理しており、パッケージのバージョンに示されているように、ちなみにそれをUbuntuにアップロードしています。 バックスペースキーを28回押すという脆弱性のトリガー方法については何も言われていません。

    ご挨拶。

    1.    paco22

      私が理解しがたいのは、コメントされていることです。ちなみに、この脆弱性は「キーボードの誤用」によるものです。 それはそう聞こえます:「彼らはiPhoneを間違って持っている」。

      いいえ、この脆弱性は、いつものように、不適切なプログラミングによって引き起こされます。 キーをX回押すと、セキュリティログインがスキップされることは許されません。

  5.   HO2Gi

    なんという見出しなのか、彼らはまた、grubが開始したときに、「e」を押してバグが発見されたと言うでしょう。また、私はlinux mintで試しましたが、ubuntuだけでは何も起こりません。

    1.    HO2Gi

      PS:まず、彼らはその脆弱性を使用するために私の家に入る必要があります。最初にmintをアンインストールし、ubuntuをインストールします。

      1.    アレハンドロ・トルマー

        あなたのスペリングには多くの要望があります

      2.    paco22

        結局のところ、ローカルの脆弱性は脆弱性です。

        ワークステーション、企業、その他の重要な環境では、この脆弱性に面白がらず、「セキュアLinux」を使用することもできます。 しかし、彼らはあなたの家に入らないので、私は上手にプレーします。

        eは、ブロックする必要のあるリスクでもあります。 あなたが知っているかどうかはわかりません。

      3.    ヒューゴー

        Hahaha Paco22、この脆弱性をどのように防御しますか...
        真面目な会社では、a)物理デバイスにアクセスするb)データへのアクセスを保護するための多くのセキュリティプロトコルがあると私は信じています。
        そして、あなたの興味がまだGRUBであるなら、それにアクセスできないようにそれをブロックする方が簡単です...

      4.    paco22

        @ヒューゴ
        「真面目なスコットランド人」が他のセキュリティプロトコルを使用することは問題ではありませんが、これはそれらのプロトコルのXNUMXつであり、失敗しています。 ちなみに、失敗すると、あなたが言及したような残りの部分が危険にさらされる可能性があり、それらが最大の保証であることを誓います。

        この脆弱性は、セキュリティについて知っている専門家によって発見および認定されたため、防御する必要はありません。また、ディストロを使用して多くのことを知っていることを望んでいる人の評価の低下は関係ありません。
        「セキュアなLinux」という神話が、XNUMXつのキーを押しても少しずつバラバラになっていくのは少しずつ痛いことだと思います。
        通常、これらは変更されることはなく、スーパーLinuxの欠陥を最小限に抑えるために常に同じです。

  6.   名前なし

    男はUbuntuだけに住んでいない