विहितता GRUB2 मध्ये असुरक्षा शोधते

ज्यांना कॅनोनिकल माहित नाही त्यांच्यासाठी ही युनायटेड किंगडममध्ये स्थापन केलेली एक कंपनी आहे, दक्षिण आफ्रिकेच्या मूळ मार्क शटलवर्थ यांनी स्थापना केली आणि वित्तपुरवठा केला. कंपनीकडे असलेल्या संगणक आणि बाजाराच्या सेवांसाठी सॉफ्टवेअर विकसित करण्याची जबाबदारी कंपनीवर आहे उबंटू ऑपरेटिंग सिस्टम Gnu / Linux आणि विनामूल्य सॉफ्टवेअरवर आधारित अनुप्रयोग.

7 अधिकृत_लोगो GRUB च्या बाबतीत किंवा ग्रँड युनिफाइड बूटलोडरआपण असे म्हणू शकतो की समान कॉम्प्यूटरसाठी एक किंवा अधिक ऑपरेटिंग सिस्टम सुरू करण्यासाठी याचा उपयोग केला जातो, हेच बूट मॅनेजर म्हणून ओळखले जाते, संपूर्णपणे ओपन सोर्स.

आता आपण त्याबद्दल बोलत आहोत शून्य-दिवस असुरक्षा GRUB2 मध्ये. स्पेनमधील वलेन्सीया विद्यापीठाचे दोन विकसक इस्माईल रिपोल आणि हेक्टर मार्को यांनी हे प्रथम शोधले. बूट कॉन्फिगरेशन संकेतशब्द सुरक्षा लागू केली जाते तेव्हा मुळात हे डिलीट कीचा गैरवापर आहे. कीबोर्डच्या जोड्यांचा चुकीचा वापर आहे, जेथे कोणतीही की दाबल्यास संकेतशब्द प्रविष्टीला बायपास करता येते. ही समस्या पॅकेजमध्ये स्थानिकीकृत आहे अपस्ट्रीम आणि अर्थातच ते संगणकावर संग्रहित केलेली माहिती अत्यंत असुरक्षित बनवतात.

एसजीडी 2_2.00 एस 1 बी 1_मेन_स्क्रीन च्या बाबतीत उबंटू, कित्येक आवृत्त्या या असुरक्षिततेचा दोष सादर करतातजसे की त्यावर आधारित अनेक वितरण.

उबंटूच्या प्रभावित भागांपैकी आमच्याकडेः

  • उबंटू 15.10
  • उबंटू 15.04
  • उबंटू 14.04 एलटीएस
  • उबंटू 12.04 एलटीएस

पुढील पॅकेजच्या आवृत्तीमध्ये सिस्टम अद्यतनित करून समस्या दूर केली जाऊ शकते:

  • उबंटू 15.10: ग्रब 2-कॉमन ए 2.02 ~ बीटा 2-29बुंटू 0.2
  • उबंटू 15.04: ग्रब 2-कॉमन ए 2.02 ~ बीटा 2-22बुंटू 1.4
  • उबंटू 14.04 एलटीएस: ग्रब 2-कॉमन ए 2.02 ~ बीटा 2-9बुंटू 1.6
  • उबंटू 12.04 एलटीएस: ग्रब 2-कॉमन ए 1.99-21बुंटु १.१

अद्यतनानंतर, सर्व समर्पक बदल करण्यासाठी संगणक पुन्हा सुरू करणे आवश्यक आहे.

लक्षात ठेवा की ही असुरक्षितता GRUB संकेतशब्दाला बायपास करण्यासाठी वापरली जाऊ शकते, म्हणून आपण स्वत: ला सुरक्षित ठेवण्यासाठी अद्यतनित करण्याची शिफारस केली जाते.


लेखाची सामग्री आमच्या तत्त्वांचे पालन करते संपादकीय नीति. त्रुटी नोंदविण्यासाठी क्लिक करा येथे.

16 टिप्पण्या, आपल्या सोडा

आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटा जबाबदार: मिगुएल Áन्गल गॅटन
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.

  1.   अलेजान्ड्रो तोरमार म्हणाले

    विंडोज आणि ओएस एक्सच्या विपरीत जिथे वर्षानुवर्षे या चुका दुरुस्त केल्या जातात [http://www.cnnexpansion.com/tecnologia/2015/02/12/microsoft-corrige-falla-critica-en-windows-15-anos -त्यानंतर], जीएनयू / लिनक्समधील असुरक्षा काही मिनिटांत किंवा काही तासांत निश्चित केली जातात (त्यांनी केवळ असुरक्षा शोधल्यानंतरच ते निश्चित केले)

    1.    पॅकएक्सएनएक्सएक्स म्हणाले

      असे दिसते आहे की आपण आपली स्वतःची लिंक देखील वाचलेली नाही.

      असुरक्षितता सुमारे 15 वर्षे होती, परंतु 1 वर्षापूर्वी शोधली गेली.
      लिनक्समध्ये दशकांपासून लपून असुरक्षा देखील आहेत, जरी उपदेशाने हे सुनिश्चित केले आहे की स्त्रोत ओपन असल्यामुळे असुरक्षा जलद किंवा त्वरित सापडली आहेत.

      असुरक्षिततेची माहिती मिळताच मायक्रोसॉफ्टने सुरक्षित आणि प्रभावी उपाय आणि चाचण्यांच्या जटिलतेमुळे बाहेर येण्यास धीमे वाटणार्‍या समाधानावर काम करण्यास सुरवात केली आणि हल्लेखोरांना माहिती नसल्यामुळे कोणतीही निकड नव्हती.
      काहीतरी द्रुतपणे निश्चित केले गेले आहे याचा अर्थ असा आहे की पॅच बनविणे जटिल नव्हते किंवा कोणताही कोड बदल सोडताना कोणताही क्यूए लागू केला जात नाही, आणखी काही नाही.

  2.   स्ली म्हणाले

    पण विहित काहीही शोधू शकले नाही ... .. हे फक्त त्यांच्या डिस्ट्रॉसवर परिणाम करते इतर काहीही नाही

  3.   ह्युगो म्हणाले

    काय? कसे?

    कृपया ते शीर्षक दुरुस्त करा कारण ते एक जबरदस्त खोटे आहे… बातमीच्या तथ्यामध्ये खोटे आहे आणि लेखाच्या सामग्रीमधील खोटे आहे…

    GRUB मध्ये एक असुरक्षितता शोधली गेली आहे, परंतु कॅनोनिकलचा यात काहीही संबंध नाही. ही असुरक्षा फक्त उबंटू नव्हे तर कोणत्याही लिनक्ससारख्या वितरणावर परिणाम करते.

    पार्श्वभूमीबद्दल बोलल्यास, अशी असुरक्षितता तितकी धोकादायक नाही, कारण GRUB मध्ये संकेतशब्द वापरणे BIOS मधील संकेतशब्द वापरण्याइतकेच सुरक्षित आहे. वापरकर्त्यास सुरक्षा हवी असल्यास, स्पष्टपणे त्यांच्याकडे वापरकर्ता संकेतशब्द आणि डिस्क एन्क्रिप्शन असेल (जर हल्लेखोरांना डिव्हाइसमध्ये प्रवेश असेल तर).

    हे एक किस्सा पेक्षा अधिक होणार नाही.

    कोट सह उत्तर द्या

    1.    पॅकएक्सएनएक्सएक्स म्हणाले

      पार्श्वभूमीबद्दल बोलल्यास, अशी असुरक्षितता तितकी धोकादायक नाही, कारण GRUB मध्ये संकेतशब्द वापरणे BIOS मधील संकेतशब्द वापरण्याइतकेच सुरक्षित आहे. वापरकर्त्यास सुरक्षा हवी असल्यास, स्पष्टपणे त्यांच्याकडे वापरकर्ता संकेतशब्द आणि डिस्क एन्क्रिप्शन असेल (जर हल्लेखोरांना डिव्हाइसमध्ये प्रवेश असेल तर).

      आपण विश्वास करू इच्छित हे सोपे नाही आहे.
      येथे ते GRUB मध्ये संकेतशब्द का महत्त्वाचा आहे आणि ते वापरकर्ता संकेतशब्द किंवा एनक्रिप्टिंग गोष्टींनी निराकरण करीत नाही याबद्दल थोडेसे स्पष्ट करतात.
      https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/

      हे एक किस्सा पेक्षा अधिक होणार नाही.

      निश्चितच
      जेव्हा जेव्हा लिनक्समध्ये काही घडते तेव्हा प्रथम त्याचे अवमूल्यन केले जाते आणि नंतर विसरले जाते.

      पुनश्च: त्यांनी डेस्डेलीनक्समध्ये सेन्सॉरशीप घट्ट केले आहे जे पाठविताना टिप्पण्या यापुढे दिसणार नाहीत?

      1.    ह्युगो म्हणाले

        काय?. आपण नोंद वाचली आहे की आपले कोट ... डिस्क एन्क्रिप्शन किंवा वापरकर्त्याच्या संकेतशब्दाबद्दल काहीही सांगत नाही, ते फक्त GRUB2 मध्ये संकेतशब्द कसे वापरायचे आणि संकेतशब्द कसे वापरावे हे स्पष्ट करते ... हे देखील पुष्टी करते की सुरक्षिततेचे उल्लंघन करण्यासाठी आपल्याकडे डिव्हाइसवर प्रवेश असणे आवश्यक आहे कार्यसंघातील (GRUB व्यतिरिक्त इतर बरेच प्रभावी मार्ग आहेत ...)
        आणि आपण GRUB द्वारे प्रशासक म्हणून कितीही प्रवेश करू शकत नाही, आपल्याकडे विभाजन, वापरकर्त्या की आणि LUKS कूटबद्धीकरण (इतर गोष्टींबरोबरच) स्थापित असल्यास, ते आपल्या डेटामध्ये प्रवेश करणार नाहीत (जर त्यांना आपल्या डिव्हाइसमध्ये प्रवेश असेल तर).

        म्हणूनच, त्यामध्ये मला अजूनही काही समजत नाही. (जोपर्यंत आपल्याला केवळ आपला डेटा सुरक्षित करण्यासाठी GRUB संकेतशब्दावर विश्वास नाही तोपर्यंत).

      2.    पॅकएक्सएनएक्सएक्स म्हणाले

        आपल्या नवीन उत्तरासह, आपण पुष्टी करता की आपल्याला समस्येचा अर्थ दिसत नाही कारण आपण साधे राहता आणि त्या अंतरांमधून आपण सोप्या शक्यतांची कल्पना देखील करू शकत नाही.

        अर्थात मी ते वाचले आहे, परंतु मला ते देखील समजले आहे.
        किंवा कदाचित हेच आहे की मला कोणतेही अंतर उघडण्याचे परिणाम आणि व्याप्ती लक्षात येऊ शकतात.
        तेथे नसावी अशी अंतर, एखाद्या गोष्टीसाठी असलेली सुरक्षा यंत्रणेतील अंतर.

        जर आपण हा दुवा वाचला तर आपल्याला समजेल की हे सुरक्षितता लॉगिन वगळता येऊ शकत नसल्यामुळे, रूट म्हणून सिस्टममध्ये प्रवेश करणे शक्य आहे, ज्यासह आपला सुपर वापरकर्ता संकेतशब्द काहीही नाही. आणि आपण ज्यावर टिप्पणी देत ​​आहात त्याबद्दल आपल्याला काही माहिती असल्यास, मी आपल्याला हे समजावून सांगू नये की जेव्हा आपण मूळ म्हणून लॉग इन करता तेव्हा संकेतशब्द हॅश पहाणे किंवा संपादित करणे, वापरकर्त्यांचे संपादन करणे, सिस्टम प्रमाणीकरण केल्यावर सर्व वापरकर्त्याच्या क्रियाकलापांवर नजर ठेवणारी प्रक्रिया लोड करणे किंवा पुनर्स्थित करणे शक्य होईल. हे त्यांचे संकेतशब्द कॅप्चर करण्यापासून त्यांचा डिक्रिप्ट केलेला डेटा घेण्यापर्यंत आणि त्या सर्व "होम" पाठविण्यापर्यंत जाऊ शकतो; आपल्यासारख्या लोकांमध्ये आत्मसंतुष्टता, खोट्या सुरक्षिततेच्या बुडबुड्यांमध्ये राहणा live्या लोकांपेक्षा जास्त माहिती असलेल्या आक्रमणकर्त्यास होणार्‍या इतर हजारो गोष्टींपैकी आणि "जर आपण ब्लाॅक ब्लेक स्थापित केले असेल तर ते कधीही यशस्वी होणार नाहीत."
        आपण गोष्टींचा विचार करू शकत नाही याचा अर्थ असा नाही की आपण गोष्टी करू शकत नाही.

        किंवा त्याही फरक पडत नाही की बर्‍याच "अधिक प्रभावी" पद्धती आहेत, समस्या अशी आहे की आता आणखी एक पद्धत आहे, जी असुरक्षा असल्यामुळे तेथे असू नये.
        आणि ही एक अत्यंत प्रवेशयोग्य आणि सुलभ पद्धत आहे, जे असुरक्षिततेचे मूल्यांकन करतात अशा लोकांकडून रेटिंग केलेले.
        आपल्याला यापुढे Livecds, USBs, BIOS अनलॉक, बॉक्स उघडा, हार्ड ड्राइव्ह्स काढून टाकणे, बाह्य ड्राइव्ह्स इ. ठेवण्याची आवश्यकता नाही; फक्त कीबोर्डसमोर उभे रहा आणि एक की दाबा.

        आणि काळजी करू नका, कारण उद्या जेव्हा आपल्या सुपर एलयूकेएसला एक असुरक्षितता येईल अशी बातमी येईल तेव्हा आपल्यासारखे लोक बाहेर येतील की "वास्तविक गंभीर स्कॉट्समन" डिस्क एन्क्रिप्शनवर विश्वास ठेवत नाही तर इतर गोष्टींवर (जीआरयूबी सारखे देखील) .

        PS: अवतरणांची सीएसएस संपादित करा जी प्रचंड आहे.
        प्रचंड.

  4.   रॉल म्हणाले

    नक्कीच…. बर्‍याचदा मथळा: "GRUB2 मध्ये विहितता भेदभाव शोधते." आणि बातमी लिहिण्याचा काय मार्ग आहे. या बातमीच्या शेवटी असे दिसून येईल की Canonical / Ubuntu हे फक्त विनामूल्य सॉफ्टवेअरसाठी गोष्टी करतात. कॉलिन वॉटसनने डेबियनसाठी पॅकेज सांभाळले आहे आणि पॅकेज आवृत्तीमध्ये सूचित केल्यानुसार संयोगाने ते उबंटूवर अपलोड केले आहे. बॅकस्पेस की 28 वेळा दाबून असुरक्षिततेस कसे चालना दिली जाते याबद्दल काहीही सांगितले जात नाही.

    ग्रीटिंग्ज

    1.    पॅकएक्सएनएक्सएक्स म्हणाले

      माझ्यासाठी निषेध करणारी गोष्ट म्हणजे ती टिप्पणी केली गेली आणि पुन्हा पुन्हा असे म्हटले गेले की अशक्तपणा "कीबोर्डचा गैरवापर केल्यामुळे" होतो. असे वाटते: "ते आयफोन चुकीचे ठेवत आहेत."

      नाही, असुरक्षितता खराब प्रोग्रामिंगमुळे होते, नेहमीप्रमाणे, कालावधी. हे अक्षम्य आहे की X वेळा की दाबल्यास सुरक्षा लॉगिन वगळले जाईल.

  5.   HO2Gi म्हणाले

    काय एक मथळा आहे, ते असेही म्हणतील की ग्रब सुरू असताना "ई" दाबताना एक बग सापडला, मी लिनक्स पुदीनामध्ये प्रयत्न केला आणि फक्त उबंटूमध्ये काहीही घडत नाही.

    1.    HO2Gi म्हणाले

      पुनश्च: प्रथम त्या असुरक्षा डोळा वापरण्यासाठी माझ्या घरात प्रवेश करावा लागेल प्रथम पुदीना विस्थापित करा आणि उबंटू स्थापित करा.

      1.    अलेजान्ड्रो तोरमार म्हणाले

        आपले शब्दलेखन इच्छिते भरपूर सोडते

      2.    पॅकएक्सएनएक्सएक्स म्हणाले

        स्थानिक असुरक्षा ही असुरक्षा आहेत.

        वर्कस्टेशन्स मध्ये, कंपन्या आणि इतर गंभीर वातावरणात त्यांना या असुरक्षिततेबद्दल आणि "सुरक्षित लिनक्स" वापरुन अधिक आश्चर्य वाटणार नाही. पण मी छान खेळतो कारण ते तुझ्या घरात प्रवेश करत नाहीत.

        ई देखील एक धोका आहे जो अवरोधित करणे आवश्यक आहे. तुला माहित आहे काय हे मला माहित नाही.

      3.    ह्युगो म्हणाले

        हाहााहा पको 22, आपण या असुरक्षिततेचा बचाव कसा कराल ...
        माझ्यावर विश्वास ठेवा की एखाद्या गंभीर कंपनीत अ) भौतिक डिव्हाइसमध्ये प्रवेश करण्यासाठी बरेच सुरक्षा प्रोटोकॉल आहेत ब) डेटामध्ये प्रवेश संरक्षित करण्यासाठी.
        आणि तरीही आपली स्वारस्य GRUB असल्यास, त्यावर प्रवेश करू नये म्हणून त्यास अवरोधित करणे सोपे आहे ...

      4.    पॅकएक्सएनएक्सएक्स म्हणाले

        @ ह्यूगो
        हा प्रश्न नाही की "खरा गंभीर स्कॉट्समन" इतर सुरक्षा प्रोटोकॉल वापरेल, परंतु हा त्यापैकी एक आहे आणि तो अयशस्वी कालावधी आहे. आणि योगायोगाने, ते अपयशी ठरल्यास उर्वरित तडजोड करू शकते जसे आपण नमूद केले आहे की ते जास्तीत जास्त हमी आहेत.

        या असुरक्षिततेचा बचाव करण्याची मला गरज नाही, कारण सुरक्षिततेबद्दल माहित असलेल्या तज्ञांकडून ते शोधले गेले आणि पात्र झाले आणि वॅनॅबचे अवमूल्यन समजले की त्यांना डिस्ट्रॉ वापरुन बरेच काही माहित नाही हे अप्रासंगिक आहे.
        मला समजले की "सुरक्षित लिनक्स" ची मिथक अगदी एक किल्ली दाबूनही फुटत असताना थोड्या वेळाने त्यांना त्रास होतो.
        ठराविक, ते कधीही बदलत नाहीत, सुपरलिनिक्स दोष कमी करण्यासाठी नेहमीच एकसारखे असतात.

  6.   नाममात्र म्हणाले

    माणूस फक्त उबंटूवर राहत नाही