Mereka mengesan dua kelemahan dalam GRUB2

David Y. Naranjo

Minit 4

kelemahan

Jika dieksploitasi, kelemahan ini boleh membenarkan penyerang mendapat akses tanpa kebenaran kepada maklumat sensitif atau secara amnya menyebabkan masalah

Butiran dua kelemahan dalam pemuat but GRUB2 telah didedahkan bahawa pboleh membawa kepada pelaksanaan kod apabila menggunakan fon yang direka khas dan mengendalikan urutan Unicode tertentu.

Disebutkan bahawa kelemahan yang dikesan ialahe boleh digunakan untuk memintas mekanisme but yang disahkan UEFI Secure Boot. Kerentanan dalam GRUB2 membenarkan kod dilaksanakan pada peringkat selepas pengesahan shim yang berjaya, tetapi sebelum sistem pengendalian dimuatkan, memutuskan rantaian kepercayaan dengan mod Secure Boot aktif dan mendapat kawalan penuh ke atas proses pasca but, cth. Contohnya, untuk memulakan sistem pengendalian lain, mengubah suai komponen sistem pengendalian, dan memintas perlindungan kunci.

Mengenai kelemahan yang dikenal pasti, perkara berikut dinyatakan:

  • CVE-2022-2601: limpahan penimbal dalam fungsi grub_font_construct_glyph() apabila memproses fon yang direka khas dalam format pf2, yang berlaku disebabkan pengiraan yang salah bagi parameter max_glyph_size dan peruntukan kawasan memori yang jelas lebih kecil daripada yang diperlukan untuk meletakkan glyph.
  • CVE-2022-3775: Menulis di luar sempadan apabila memaparkan beberapa rentetan Unicode dalam fon tersuai. Masalahnya terdapat dalam kod pengendalian fon dan disebabkan oleh kekurangan kawalan yang betul untuk memastikan bahawa lebar dan ketinggian glif sepadan dengan saiz peta bit yang tersedia. Penyerang boleh menuai input dengan cara yang menyebabkan baris gilir data dihapuskan daripada penimbal yang diperuntukkan. Adalah diperhatikan bahawa walaupun kerumitan mengeksploitasi kelemahan, mendedahkan masalah kepada pelaksanaan kod tidak dikecualikan.

Mitigasi penuh terhadap semua CVE akan memerlukan pembaikan yang dikemas kini dengan SBAT terkini (Penyasaran Lanjutan Boot Selamat) dan data yang disediakan oleh pengedaran dan vendor.
Kali ini senarai pembatalan UEFI (dbx) tidak akan digunakan dan pembatalan yang rosak
artifak akan dibuat hanya dengan SBAT. Untuk maklumat tentang cara memohon
pembatalan SBAT terkini, lihat mokutil(1). Pembetulan vendor boleh secara eksplisit benarkan but artifak but lama yang diketahui.

GRUB2, shim dan artifak but lain daripada semua vendor yang terjejas akan dikemas kini. ia akan tersedia apabila embargo ditarik balik atau beberapa ketika selepas itu.

Disebutkan bahawa kebanyakan pengedaran linux menggunakan lapisan tampalan kecil, ditandatangani secara digital oleh Microsoft, untuk but yang disahkan dalam mod UEFI Secure Boot. Lapisan ini mengesahkan GRUB2 dengan sijilnya sendiri, yang membenarkan pembangun pengedaran untuk tidak memperakui setiap kemas kini kernel dan GRUB dengan Microsoft.

Untuk menyekat kelemahan tanpa membatalkan tandatangan digital, pengedaran boleh menggunakan mekanisme SBAT (Penyasaran Lanjutan Boot Selamat UEFI), yang disokong oleh GRUB2, shim dan fwupd pada kebanyakan pengedaran Linux yang popular.

SBAT dibangunkan dengan kerjasama Microsoft dan melibatkan penambahan metadata tambahan pada fail boleh laku komponen UEFI, termasuk maklumat pengilang, produk, komponen dan versi. Metadata yang ditentukan ditandatangani secara digital dan boleh disertakan dalam senarai komponen yang dibenarkan atau dilarang berasingan untuk UEFI Secure Boot.

SBAT membenarkan menyekat penggunaan tandatangan digital untuk nombor versi komponen individu tanpa perlu membatalkan kunci untuk Secure Boot. Menyekat kelemahan melalui SBAT tidak memerlukan penggunaan UEFI CRL (dbx), tetapi sebaliknya dilakukan pada tahap penggantian kunci dalaman untuk menjana tandatangan dan mengemas kini GRUB2, shim dan artifak but lain yang disediakan oleh pengedaran.

Sebelum pengenalan SBAT, mengemas kini senarai pembatalan sijil (dbx, Senarai Pembatalan UEFI) merupakan prasyarat untuk menyekat sepenuhnya kelemahan, kerana penyerang, tanpa mengira sistem pengendalian yang digunakan, boleh menggunakan media boleh boot. dengan versi lama yang terdedah GRUB2 diperakui oleh tandatangan digital untuk menjejaskan UEFI Secure Boot.

Akhirnya Perlu dinyatakan bahawa pembaikan telah dikeluarkan sebagai tampalan., untuk menyelesaikan masalah dalam GRUB2, ia tidak mencukupi untuk mengemas kini pakej, anda juga perlu mencipta tandatangan digital dalaman baharu dan mengemas kini pemasang, pemuat but, pakej kernel, fwupd-firmware dan shim-layer.

Status pemulihan kerentanan dalam pengedaran boleh dinilai pada halaman ini: Ubuntu, SUSE, RHELFedoraDebian.

Anda boleh menyemak lebih lanjut mengenainya dalam pautan berikut.