Voor degenen die Canonical niet kennen, is dit een bedrijf gevestigd in het Verenigd Koninkrijk, opgericht en gefinancierd door Mark Shuttleworth van Zuid-Afrikaanse afkomst. Het bedrijf is verantwoordelijk voor het ontwikkelen van software voor computers en markten waarop diensten zijn gericht Ubuntu, Het besturingssysteem GNU / Linux en applicaties op basis van gratis software.
In het geval van GRUB of Grote Unified BootloaderWe kunnen zeggen dat het wordt gebruikt om een of meer besturingssystemen voor dezelfde computer te starten, het is een zogenaamde bootmanager, volledig open source.
Nu zullen we praten over de Zero-Day-kwetsbaarheid in GRUB2. Dit werd voor het eerst gevonden door Ismael Ripoll en Hector Marco, twee ontwikkelaars van de Universiteit van Valencia in Spanje. In feite gaat het om het misbruik van de delete-sleutel, wanneer de opstartconfiguratie wachtwoordbeveiliging is geïmplementeerd. Het is het onjuiste gebruik van toetsenbordcombinaties, waarbij het indrukken van een willekeurige toets de invoer van het wachtwoord kan negeren. Dit probleem is gelokaliseerd in pakketten stroomopwaarts en uiteraard maken ze de informatie die op de computer is opgeslagen erg kwetsbaar.
Bij Ubuntu, verschillende versies presenteren deze kwetsbaarheidsprobleem, zoals veel distributies die erop zijn gebaseerd.
Onder de getroffen versies van Ubuntu hebben we:
- Ubuntu 15.10
- Ubuntu 15.04
- Ubuntu LTS 14.04
- Ubuntu LTS 12.04
Het probleem kan worden verholpen door het systeem bij te werken in de versies van de volgende pakketten:
- Ubuntu 15.10: grub2-common a 2.02 ~ beta2-29ubuntu0.2
- Ubuntu 15.04: grub2-common a 2.02 ~ beta2-22ubuntu1.4
- Ubuntu 14.04 LTS: grub2-common a 2.02 ~ beta2-9ubuntu1.6
- Ubuntu 12.04 LTS: grub2-common a 1.99-21ubuntu3.19
Na de update moet de computer opnieuw worden opgestart om alle relevante wijzigingen aan te brengen.
Onthoud dat deze kwetsbaarheid kan worden gebruikt om het GRUB-wachtwoord te omzeilen, dus het wordt aanbevolen dat u de update uitvoert om uzelf te beschermen.
In tegenstelling tot Windows en OS x waar deze fouten binnen enkele jaren worden gecorrigeerd [http://www.cnnexpansion.com/tecnologia/2015/02/12/microsoft-corrige-falla-critica-en-windows-15-anos - after], worden de kwetsbaarheden in GNU / Linux binnen enkele minuten of uren verholpen (ze hebben het pas verholpen nadat de kwetsbaarheid was ontdekt)
Het lijkt erop dat je je eigen link niet eens hebt gelezen.
De kwetsbaarheid was er 15 jaar, maar werd 1 jaar geleden ontdekt.
In Linux zijn er ook al decennia lang verborgen kwetsbaarheden, ook al zorgde de prediking ervoor dat kwetsbaarheden sneller of direct werden ontdekt doordat de bron open was.
Zodra de kwetsbaarheid werd gemeld, begon Microsoft te werken aan een oplossing die traag uitkwam vanwege de complexiteit van een veilige en effectieve oplossing en de tests, en er was geen urgentie omdat deze niet bekend was bij aanvallers.
Dat iets snel is opgelost, betekent alleen dat het maken van de patch niet ingewikkeld was of dat er geen QA wordt toegepast bij het vrijgeven van codewijzigingen, meer niet.
Maar canoniek heeft niets ontdekt ... .. Het heeft alleen invloed op hun distributies, niets anders
Wat hoe?
Corrigeer die titel, want het is een enorme leugen ... een leugen in het nieuwsfeit en een leugen in de inhoud van het artikel ...
Er is een kwetsbaarheid ontdekt in GRUB, maar Canonical heeft er niets mee te maken. Deze kwetsbaarheid treft elke Linux-achtige distributie, niet alleen Ubuntu.
Over de achtergrond gesproken, zo'n kwetsbaarheid is niet zo gevaarlijk, aangezien het gebruik van een wachtwoord in GRUB net zo veilig is als het gebruik van een wachtwoord in BIOS. Als een gebruiker beveiliging wil, heeft hij uiteraard een gebruikerswachtwoord en schijfversleuteling (voor het geval de aanvaller toegang heeft tot het apparaat).
Dit wordt niet meer dan een anekdote.
groeten
Het is niet zo eenvoudig als u wilt geloven.
Hier leggen ze een beetje uit waarom het wachtwoord belangrijk is in GRUB en dat het niet oplost met een gebruikerswachtwoord of het versleutelen van dingen.
https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/
Geen twijfel
Elke keer dat er iets gebeurt in Linux, wordt het onmiddellijk gedevalueerd en daarna vergeten.
PS: hebben ze de censuur aangescherpt? desdelinux dat de opmerkingen niet meer verschijnen bij het verzenden?
wat?. Je hebt het item gelezen dat je citaten ... niets zegt over schijfversleuteling of gebruikerswachtwoord, het legt alleen uit waar het voor is en hoe het wachtwoord wordt gebruikt in GRUB2 ... Het bevestigt ook dat je toegang moet hebben tot de apparaat om de beveiliging van het team te schenden (er zijn veel andere effectievere manieren dan via GRUB ...)
En het maakt niet uit hoeveel je toegang hebt als beheerder via GRUB, als je de machtigingen van de partities, gebruikerssleutels en LUKS-codering goed ingeburgerd hebt (onder andere), hebben ze geen toegang tot je gegevens (als ze natuurlijk toegang hebben tot je apparaat) ).
Daarom zie ik er nog steeds geen zin in. (tenzij je alleen het GRUB-wachtwoord vertrouwt om je gegevens te beveiligen).
Met je nieuwe antwoord bevestig je dat je de betekenis van het probleem niet ziet, omdat je simpel blijft en je uit die kloof zelfs geen eenvoudige mogelijkheden kunt bedenken.
Ik heb het natuurlijk gelezen, maar ik heb het ook begrepen.
Of misschien kan ik me realiseren wat de implicaties en reikwijdte zijn van het openen van een gat.
Een gat dat er niet zou moeten zijn, een gat in een beveiligingsmechanisme dat er door iets was.
Als u de link leest, zult u ontdekken dat aangezien deze beveiligingslogin kan worden overgeslagen, het mogelijk is om toegang te krijgen tot het systeem als root, waarbij uw superuser-wachtwoord niets is. En als je iets weet over waar je commentaar op geeft, zou ik je niet moeten uitleggen dat wanneer je inlogt als root, het mogelijk zou zijn om wachtwoord-hashes te bekijken of te bewerken, gebruikers te bewerken, het systeem aan te passen om processen te laden of te vervangen die controleren alle gebruikersactiviteit wanneer het geverifieerd is, dat kan gaan van het vastleggen van hun wachtwoorden tot het nemen van hun gedecodeerde gegevens en het verzenden van al dat "huis"; onder duizenden andere dingen die kunnen gebeuren met een aanvaller die meer kennis heeft dan mensen zoals jij, die leven in bellen van zelfgenoegzaamheid, valse veiligheid en "ze zullen nooit slagen als je een gevestigde bla bla bla hebt."
Alleen omdat je dingen niet kunt bedenken, wil nog niet zeggen dat je dingen niet kunt doen.
Het maakt ook niet uit dat er veel "effectievere" methoden zijn, het probleem is dat er nu nog een methode is, die vanwege een kwetsbaarheid niet zou moeten bestaan.
En het is een zeer toegankelijke en gemakkelijke methode, beoordeeld door mensen die kwetsbaarheden beoordelen.
U hebt geen Livecds, USB's meer nodig, BIOS ontgrendelen, dozen openen, harde schijven verwijderen, externe schijven plaatsen, enz. ga gewoon voor het toetsenbord staan en druk op EEN toets.
En maak je geen zorgen, dat morgen, wanneer het nieuws is dat jouw super LUKS vandaag een kwetsbaarheid heeft, mensen zoals jij zullen zeggen dat "een echte serieuze Schot" geen schijfversleuteling vertrouwt, maar andere dingen (zoals GRUB zelfs).
Natuurlijk …. koppen vaak: "Canonical ontdekt kwetsbaarheid in GRUB2." En wat een manier om het nieuws te schrijven. Met dit nieuws zal het er uiteindelijk op lijken dat Canonical / Ubuntu de enigen zijn die dingen doen voor gratis software. Colin watson onderhoudt het pakket voor Debian en heeft het al geüpload naar Ubuntu, zoals aangegeven in de pakketversie. Er is ook geen commentaar op hoe de kwetsbaarheid wordt geactiveerd, namelijk door 28 keer op de backspace-toets te drukken.
Groeten.
Wat voor mij verwerpelijk is, is dat er wordt opgemerkt, en trouwens keer op keer, dat de kwetsbaarheid te wijten is aan een "misbruik van het toetsenbord". Dat klinkt zo: "ze houden de iPhone verkeerd."
Nee, de kwetsbaarheid wordt veroorzaakt door slechte programmering, zoals altijd, punt. Het is onvergeeflijk dat als u X keer op een toets drukt, een beveiligingsaanmelding wordt overgeslagen.
Wat een kop, ze zullen ook zeggen dat terwijl grub begon een bug werd ontdekt door op de "e" te drukken, ik het ook probeerde in linux mint en niets gebeurt alleen in ubuntu.
PS: eerst moeten ze mijn huis binnenkomen om dat kwetsbaarheidsoog te gebruiken, eerst mint verwijderen en ubuntu installeren.
Uw spelling laat veel te wensen over
Lokale kwetsbaarheden zijn immers kwetsbaarheden.
In werkstations, bedrijven en andere kritieke omgevingen zullen ze niet geamuseerd zijn met deze kwetsbaarheid en meer nog met het gebruik van "secure linux". Maar ik speel goed omdat ze je huis niet binnenkomen.
De e is ook een risico dat moet worden geblokkeerd. Ik weet niet of je het wist.
Hahaha Paco22, hoe verdedig je deze kwetsbaarheid ...
Geloof me dat er in een serieus bedrijf veel beveiligingsprotocollen zijn om a) toegang te krijgen tot het fysieke apparaat b) om de toegang tot gegevens te beschermen.
En als je interesse nog steeds GRUB is, is het gemakkelijker om het te blokkeren om er geen toegang toe te hebben ...
@Hugo
Het is geen vraag dat een "echte serieuze Schot" andere beveiligingsprotocollen zou gebruiken, maar dat dit een van die protocollen is en het IS MISLUKT, punt uit. En overigens, door te falen, kan het de rest in gevaar brengen, zoals degene die u noemde, en zweren dat zij de maximale garantie zijn.
Deze kwetsbaarheid heb ik niet nodig om het te verdedigen, omdat het is ontdekt en gekwalificeerd door specialisten die wel verstand hebben van beveiliging en de devaluaties van wannabes begrijpen dat ze veel te weten krijgen door het gebruik van een distro is niet relevant.
Ik begrijp dat het hun pijn doet dat beetje bij beetje die mythe van "veilige linux" wordt verscheurd, zelfs door op een enkele toets te drukken.
Typisch, ze veranderen nooit, altijd hetzelfde om superlinux-fouten te minimaliseren.
man leeft niet alleen op Ubuntu