彼らは GRUB2 に XNUMX つの脆弱性を検出しました

David Y. Naranjo

4分

脆弱性

これらの欠陥が悪用されると、攻撃者は機密情報に不正にアクセスしたり、一般的に問題を引き起こしたりする可能性があります

GRUB2 ブートローダーの XNUMX つの脆弱性の詳細が公開されました。コード実行につながる可能性があります 特別に設計されたフォントを使用し、特定の Unicode シーケンスを処理する場合。

検出された脆弱性は次のとおりです。e を使用して、UEFI セキュア ブートの検証済みブート メカニズムをバイパスできます。 GRUB2 の脆弱性により、shim 検証が成功した後の段階でコードが実行される可能性がありますが、オペレーティング システムがロードされる前に、セキュア ブート モードがアクティブな状態で信頼チェーンを壊し、ブート後のプロセスを完全に制御できます。別のオペレーティング システムを起動し、オペレーティング システム コンポーネントを変更し、ロック保護をバイパスします。

確認された脆弱性については、次のことが言及されています。

  • CVE-2022-2601: pf2 形式の特別に細工されたフォントを処理する際の grub_font_construct_glyph() 関数でのバッファ オーバーフローは、max_glyph_size パラメータの計算が正しくなく、グリフを配置するために必要なメモリ領域よりも明らかに小さいメモリ領域が割り当てられているために発生します。
  • CVE-2022-3775: カスタム フォントで一部の Unicode 文字列をレンダリングするときの範囲外の書き込み。 この問題はフォント処理コードに存在し、グリフの幅と高さが使用可能なビットマップ サイズと一致するようにするための適切なコントロールがないために発生します。 攻撃者は、割り当てられたバッファからデータのキューを書き出すような方法で入力を収集できます。 脆弱性を悪用することは複雑ですが、問題をコード実行にさらすことは除外されません。

すべての CVE に対する完全な緩和には、最新の SBAT で更新された修正が必要です (セキュア ブート アドバンスト ターゲティング) およびディストリビューションとベンダーによって提供されるデータ。
今回は UEFI 取り消しリスト (dbx) は使用されず、壊れたものは取り消されます
成果物は SBAT のみで作成されます。 申し込み方法については、
最新の SBAT 失効については、mokutil(1) を参照してください。 ベンダーの修正は明示的に 古い既知のブート アーティファクトのブートを許可します。

影響を受けるすべてのベンダーの GRUB2、shim、およびその他のブート アーティファクトが更新されます。 禁輸措置が解除されるか、しばらくしてから利用できるようになります。

ということが挙げられます ほとんどの Linux ディストリビューションは小さなパッチ レイヤーを使用します。UEFI セキュア ブート モードでの検証済みの起動用に、Microsoft によってデジタル署名されています。 このレイヤーは、独自の証明書を使用してGRUB2を検証しますこれにより、ディストリビューションの開発者は、すべてのカーネルと GRUB の更新を Microsoft で認定する必要がなくなります。

脆弱性をブロックするには デジタル署名、ディストリビューションを取り消すことなく SBATメカニズムを使用できます (UEFI セキュア ブート アドバンスト ターゲティング)。これは、最も一般的な Linux ディストリビューションの GRUB2、shim、および fwupd でサポートされています。

SBAT は Microsoft と共同で開発されたもので、製造元、製品、コンポーネント、バージョン情報など、UEFI コンポーネントの実行可能ファイルに追加のメタデータを追加する必要があります。 指定されたメタデータはデジタル署名されており、UEFI セキュア ブートの個別の許可または禁止コンポーネント リストに含めることができます。

SBAT により、デジタル署名の使用をブロックできます セキュア ブート用のキーを取り消す必要なく、個々のコンポーネントのバージョン番号を取得. SBAT を介して脆弱性をブロックするには、UEFI CRL を使用する必要はありません (dbx) ではなく、署名を生成し、ディストリビューションによって提供される GRUB2、shim、およびその他のブート アーティファクトを更新するために、内部キー置換レベルで実行されます。

SBAT が導入される前は、証明書失効リスト (dbx、UEFI 失効リスト) を更新することが脆弱性を完全にブロックするための前提条件でした。デジタル署名によって認定された GRUB2 は、UEFI セキュア ブートを侵害します。

最後に 修正がパッチとしてリリースされたことに言及する価値があります。GRUB2 の問題を修正するには、パッケージを更新するだけでは不十分です。新しい内部デジタル署名を作成し、インストーラー、ブートローダー、カーネル パッケージ、fwupd-firmware、および shim-layer を更新する必要もあります。

ディストリビューションの脆弱性修正ステータスは、次のページで評価できます。 Ubuntu, SUSE, RHELフェドーラDebian

詳細については、 次のリンク。