ඔවුන් GRUB2 හි දුර්වලතා දෙකක් හඳුනා ගත්හ

අවදානම

සූරාකෑමකට ලක් වුවහොත්, මෙම දෝෂ ප්‍රහාරකයින්ට සංවේදී තොරතුරු වෙත අනවසරයෙන් ප්‍රවේශ වීමට හෝ සාමාන්‍යයෙන් ගැටළු ඇති කිරීමට ඉඩ දිය හැකිය.

GRUB2 ඇරඹුම් කාරකයේ ඇති දුර්වලතා දෙකක විස්තර අනාවරණය කර ඇත pකේත ක්රියාත්මක කිරීමට හේතු විය හැක විෙශේෂෙයන් නිර්මාණය කරන ලද අකුරු භාවිතා කරන විට සහ ඇතැම් යුනිකෝඩ් අනුපිළිවෙලවල් හසුරුවන විට.

අනාවරණය වී ඇති දුර්වලතා බව සඳහන් වේUEFI ආරක්‍ෂිත ඇරඹුම් සත්‍යාපිත ඇරඹුම් යාන්ත්‍රණය මග හැරීමට e භාවිතා කළ හැක. GRUB2 හි ඇති දුර්වලතා සාර්ථක shim සත්‍යාපනයෙන් පසු අදියරේදී කේතය ක්‍රියාත්මක කිරීමට ඉඩ සලසයි, නමුත් මෙහෙයුම් පද්ධතිය පූරණය වීමට පෙර, Secure Boot mode සක්‍රිය සමඟ විශ්වාස දාමය බිඳ දැමීම සහ පශ්චාත් ඇරඹුම් ක්‍රියාවලියේ පූර්ණ පාලනය ලබා ගැනීම, උදා. වෙනත් මෙහෙයුම් පද්ධතියක් ආරම්භ කිරීමට, මෙහෙයුම් පද්ධති සංරචක වෙනස් කිරීමට සහ අගුළු ආරක්ෂාව මඟ හැරීමට.

හඳුනාගත් දුර්වලතා සම්බන්ධයෙන්, පහත සඳහන් දේ සඳහන් වේ:

  • සීවී -2022-2601: max_glyph_size පරාමිතිය වැරදි ලෙස ගණනය කිරීම සහ glyphs තැබීමට අවශ්‍ය ප්‍රමාණයට වඩා කුඩා මතක ප්‍රදේශයක් වෙන් කිරීම හේතුවෙන් pf2 ආකෘතියෙන් විෙශේෂෙයන් සකස් කරන ලද අකුරු සැකසීමේදී grub_font_construct_glyph() ශ්‍රිතයේ බෆරයක් පිටාර ගැලීම සිදුවේ.
  • සීවී -2022-3775: අභිරුචි ෆොන්ට් එකකින් යුනිකෝඩ් තන්තු කිහිපයක් විදැහුම් කිරීමේදී සීමාවෙන් පිටත ලිවීම. ගැටලුව අකුරු හැසිරවීමේ කේතයේ පවතින අතර ග්ලයිෆ් පළල සහ උස පවතින බිට්මැප් ප්‍රමාණයට ගැළපෙන බව සහතික කිරීම සඳහා නිසි පාලනයක් නොමැතිකම නිසා ඇතිවේ. ප්‍රහාරකයෙකුට වෙන් කළ බෆරයෙන් දත්ත පෝලිමක් ලිවීමට හේතු වන ආකාරයෙන් ආදානය ලබා ගත හැක. අවදානම සූරාකෑමේ සංකීර්ණත්වය තිබියදීත්, කේත ක්‍රියාත්මක කිරීමට ගැටලුව හෙළිදරව් කිරීම බැහැර නොකරන බව සටහන් වේ.

සියලුම CVE වලට එරෙහිව සම්පූර්ණ අවම කිරීම සඳහා නවතම SBAT සමඟ යාවත්කාලීන නිවැරදි කිරීම් අවශ්‍ය වේ (Secure Boot Advanced Targeting) සහ බෙදාහැරීම් සහ විකුණුම්කරුවන් විසින් සපයනු ලබන දත්ත.
මෙවර UEFI අවලංගු කිරීමේ ලැයිස්තුව (dbx) භාවිතා නොකරන අතර කැඩුණු ඒවා අවලංගු කිරීම
කෞතුක භාණ්ඩ සාදනු ලබන්නේ SBAT සමඟ පමණි. අයදුම් කරන ආකාරය පිළිබඳ තොරතුරු සඳහා
නවතම SBAT අවලංගු කිරීම්, mokutil(1) බලන්න. විකුණුම්කරු නිවැරදි කිරීම් පැහැදිලිවම කළ හැකිය පැරණි දන්නා ඇරඹුම් කෞතුක වස්තු ආරම්භ කිරීමට ඉඩ දෙන්න.

GRUB2, shim, සහ සියලුම බලපෑමට ලක් වූ වෙළෙන්දන්ගේ අනෙකුත් ඇරඹුම් කෞතුක වස්තු යාවත්කාලීන කරනු ලැබේ. එය සම්බාධක ඉවත් කරන විට හෝ ටික වේලාවකට පසුව ලබා ගත හැකි වනු ඇත.

බව සඳහන් වේ බොහෝ linux බෙදාහැරීම් කුඩා පැච් ස්ථරයක් භාවිතා කරයි, UEFI ආරක්‍ෂිත ඇරඹුම් මාදිලියේ සත්‍යාපිත ඇරඹුම් සඳහා Microsoft විසින් ඩිජිටල් ලෙස අත්සන් කර ඇත. මෙම ස්තරය GRUB2 තමන්ගේම සහතිකයකින් සත්‍යාපනය කරයි, බෙදාහැරීමේ සංවර්ධකයින්ට Microsoft සමඟ සෑම කර්නලයක්ම සහ GRUB යාවත්කාලීන කිරීමක් සහතික නොකිරීමට ඉඩ සලසයි.

අවදානම අවහිර කිරීමට ඩිජිටල් අත්සන අවලංගු නොකර බෙදාහැරීම් SBAT යාන්ත්රණය භාවිතා කළ හැකිය (UEFI Secure Boot Advanced Targeting), එය GRUB2, shim, සහ fwupd මගින් වඩාත් ජනප්‍රිය Linux බෙදාහැරීම් මත සහාය දක්වයි.

SBAT මයික්‍රොසොෆ්ට් සමඟ සහයෝගයෙන් සංවර්ධනය කරන ලද අතර නිෂ්පාදකයා, නිෂ්පාදනය, සංරචකය සහ අනුවාද තොරතුරු ඇතුළුව UEFI සංරචක ක්‍රියාත්මක කළ හැකි ගොනු වෙත අමතර පාර-දත්ත එක් කිරීම ඇතුළත් වේ. නිශ්චිත පාර-දත්ත ඩිජිටල් ලෙස අත්සන් කර ඇති අතර UEFI Secure Boot සඳහා වෙනම අවසර ලත් හෝ තහනම් සංරචක ලැයිස්තුවට ඇතුළත් කළ හැක.

SBAT ඩිජිටල් අත්සනක් භාවිතා කිරීම අවහිර කිරීමට ඉඩ දෙයි Secure Boot සඳහා යතුරු අවලංගු කිරීමේ අවශ්‍යතාවයකින් තොරව තනි සංරචක අනුවාද අංක සඳහා. SBAT හරහා දුර්වලතා අවහිර කිරීම සඳහා UEFI CRL භාවිතා කිරීම අවශ්‍ය නොවේ (dbx), නමුත් අත්සන් උත්පාදනය කිරීම සහ බෙදාහැරීම් මගින් සපයන GRUB2, shim සහ අනෙකුත් ඇරඹුම් කෞතුක වස්තු යාවත්කාලීන කිරීම සඳහා අභ්‍යන්තර යතුරු ප්‍රතිස්ථාපන මට්ටමින් සිදු කෙරේ.

SBAT හඳුන්වාදීමට පෙර, සහතික අවලංගු කිරීමේ ලැයිස්තුව (dbx, UEFI අවලංගු කිරීමේ ලැයිස්තුව) යාවත්කාලීන කිරීම අවදානම සම්පූර්ණයෙන්ම අවහිර කිරීම සඳහා පූර්ව අවශ්‍යතාවයක් විය, මන්ද ප්‍රහාරකයෙකුට, භාවිතා කරන මෙහෙයුම් පද්ධතිය කුමක් වුවත්, අවදානමට ලක්විය හැකි පැරණි අනුවාදයක් සමඟ ආරම්භ කළ හැකි මාධ්‍ය භාවිතා කළ හැකි බැවිනි. GRUB2 UEFI Secure Boot සමඟ සම්මුතියක් ඇති කිරීම සඳහා ඩිජිටල් අත්සනක් මගින් සහතික කර ඇත.

අවසානයේ මේකේ fix එක පැච් එකක් විදියට නිකුත් කරලා තියෙන බව කියන්න ඕනේ., GRUB2 හි ගැටළු නිරාකරණය කිරීම සඳහා, පැකේජය යාවත්කාලීන කිරීම ප්‍රමාණවත් නොවේ, ඔබට නව අභ්‍යන්තර ඩිජිටල් අත්සන් නිර්මාණය කිරීමටත්, ස්ථාපකයන්, ඇරඹුම් කාරක, කර්නල් පැකේජ, fwupd-firmware සහ shim-layer යාවත්කාලීන කිරීමටත් අවශ්‍ය වනු ඇත.

බෙදාහැරීම් වල ඇති අවදානම් ප්‍රතිකර්ම තත්ත්වය මෙම පිටු මත තක්සේරු කළ හැක: උබුන්ටු, SUSE, රාල්Fedoraඩේබියන්.

ඔබට ඒ ගැන වැඩිදුර පරීක්ෂා කළ හැකිය පහත සබැඳිය.


ලිපියේ අන්තර්ගතය අපගේ මූලධර්මවලට අනුකූල වේ කතුවැකි ආචාර ධර්ම. දෝෂයක් වාර්තා කිරීමට ක්ලික් කරන්න මෙන්න.

අදහස් පළ කිරීමට ප්රථම වන්න

ඔබේ අදහස තබන්න

ඔබේ ඊ-මේල් ලිපිනය පළ කරනු නොලැබේ. අවශ්ය ක්ෂේත්ර දක්වා ඇති ලකුණ *

*

*

  1. දත්ත සඳහා වගකිව යුතු: මිගෙල් ඇන්ජල් ගැටන්
  2. දත්තවල අරමුණ: SPAM පාලනය කිරීම, අදහස් කළමනාකරණය.
  3. නීත්‍යානුකූලභාවය: ඔබේ කැමැත්ත
  4. දත්ත සන්නිවේදනය: නෛතික බැඳීමකින් හැර දත්ත තෙවන පාර්ශවයකට සන්නිවේදනය නොකෙරේ.
  5. දත්ත ගබඩා කිරීම: ඔක්සෙන්ටස් නෙට්වර්ක්ස් (EU) විසින් සත්කාරකත්වය දක්වන දත්ත සමුදාය
  6. අයිතිවාසිකම්: ඕනෑම වේලාවක ඔබට ඔබේ තොරතුරු සීමා කිරීමට, නැවත ලබා ගැනීමට සහ මකා දැමීමට හැකිය.