De oppdaget to sårbarheter i GRUB2

Detaljer om to sårbarheter i oppstartslasteren GRUB2 har blitt avslørt som pkan føre til kodekjøring når du bruker spesialdesignede fonter og håndterer visse Unicode-sekvenser.

Det nevnes at sårbarhetene som er oppdaget ere kan brukes til å omgå den UEFI Secure Boot-verifiserte oppstartsmekanismen. Sårbarheter i GRUB2 gjør det mulig å kjøre kode på stadiet etter den vellykkede shim-verifiseringen, men før operativsystemet er lastet, bryter tillitskjeden med Secure Boot-modus aktiv og får full kontroll over post-boot-prosessen, f.eks. for å starte et annet operativsystem, endre operativsystemkomponenter og omgå låsebeskyttelsen.

Når det gjelder de identifiserte sårbarhetene, nevnes følgende:

• CVE-2022-2601: et bufferoverløp i grub_font_construct_glyph()-funksjonen ved behandling av spesiallagde fonter i pf2-format, som oppstår på grunn av feil beregning av parameteren max_glyph_size og tildeling av et minneområde som åpenbart er mindre enn nødvendig for å plassere glyfer.
• CVE-2022-3775: Skriving utenfor grensene når du gjengir noen Unicode-strenger i en egendefinert skrift. Problemet er tilstede i skrifthåndteringskoden og er forårsaket av mangel på riktige kontroller for å sikre at glyfbredden og -høyden samsvarer med den tilgjengelige punktgrafikkstørrelsen. En angriper kan hente inn input på en slik måte at en kø med data blir skrevet ut av den tildelte bufferen. Det bemerkes at til tross for kompleksiteten ved å utnytte sårbarheten, er det ikke utelukket å utsette problemet for kodekjøring.

Full avbøtelse mot alle CVEer vil kreve reparasjoner oppdatert med siste SBAT (Secure Boot Advanced Targeting) og data levert av distribusjoner og leverandører.
Denne gangen vil ikke UEFI-opphevelseslisten (dbx) bli brukt, og tilbakekallingen av de ødelagte
artefakter vil kun bli laget med SBAT. For informasjon om hvordan du bruker
siste SBAT-opphevelser, se mokutil(1). Leverandørrettinger kan eksplisitt tillate oppstart av eldre kjente oppstartsartefakter.

GRUB2, shim og andre oppstartsartefakter fra alle berørte leverandører vil bli oppdatert. den vil være tilgjengelig når embargoen oppheves eller en tid etter.

Det nevnes det de fleste linux-distribusjoner bruker et lite oppdateringslag, digitalt signert av Microsoft, for bekreftet oppstart i UEFI Secure Boot-modus. Dette laget bekrefter GRUB2 med sitt eget sertifikat, som lar distribusjonsutviklere ikke sertifisere hver kjerne- og GRUB-oppdatering med Microsoft.

For å blokkere sårbarheten uten å trekke tilbake den digitale signaturen, distribusjoner kan bruke SBAT-mekanismen (UEFI Secure Boot Advanced Targeting), som støttes av GRUB2, shim og fwupd på de fleste populære Linux-distribusjoner.

SBAT ble utviklet i samarbeid med Microsoft og innebærer å legge til ytterligere metadata til UEFI-komponentens kjørbare filer, inkludert produsent-, produkt-, komponent- og versjonsinformasjon. De angitte metadataene er digitalt signert og kan inkluderes i separate tillatte eller forbudte komponentlister for UEFI Secure Boot.

SBAT tillater blokkering av bruk av en digital signatur for individuelle komponentversjonsnumre uten å måtte tilbakekalle nøkler for sikker oppstart. Blokkering av sårbarheter via SBAT krever ikke bruk av en UEFI CRL (dbx), men gjøres snarere på det interne nøkkelutskiftingsnivået for å generere signaturer og oppdatere GRUB2, shim og andre oppstartsartefakter levert av distribusjoner.

Før introduksjonen av SBAT var oppdatering av sertifikatopphevelseslisten (dbx, UEFI Revocation List) en forutsetning for å fullstendig blokkere sårbarheten, siden en angriper, uavhengig av hvilket operativsystem som brukes, kunne bruke oppstartbare medier. med en sårbar eldre versjon av GRUB2 sertifisert av en digital signatur for å kompromittere UEFI Secure Boot.

Endelig Det er verdt å nevne at reparasjonen har blitt utgitt som en oppdatering., for å fikse problemer i GRUB2, er det ikke nok å oppdatere pakken, du må også lage nye interne digitale signaturer og oppdatere installatørene, oppstartslasterne, kjernepakkene, fwupd-firmware og shim-lag.

Status for utbedring av sårbarhet i distribusjoner kan vurderes på disse sidene: Ubuntu, SUSE, RHEL, Fedora y Debian.

Du kan sjekke mer om det i følgende lenke.