Pre tých, ktorí nepoznajú Canonical, je to spoločnosť založená vo Veľkej Británii, založená a financovaná Markom Shuttleworthom juhoafrického pôvodu. Spoločnosť má na starosti vývoj softvéru pre počítače a predáva služby zamerané na ubuntu, Operačný systém GNU / Linux a aplikácie založené na slobodnom softvéri.
V prípade GRUBu resp Unifikovaný bootloader GRandDá sa povedať, že sa používa na spustenie jedného alebo viacerých operačných systémov pre ten istý počítač. Je to tzv. Boot manager, úplne otvorený zdroj.
Teraz si povieme niečo o Zraniteľnosť nulového dňa v GRUB2. Prvýkrát to našli Ismael Ripoll a Hector Marco, dvaja vývojári zo španielskej univerzity vo Valencii. V zásade ide o zneužitie kľúča na odstránenie, keď je v konfigurácii bootovania implementované zabezpečenie pomocou hesla. Jedná sa o nesprávne použitie kombinácií klávesníc, kde stlačenie ľubovoľnej klávesy môže obísť zadanie hesla. Tento problém je lokalizovaný v balíkoch upstream a je zrejmé, že spôsobujú, že informácie uložené v počítači sú veľmi zraniteľné.
V prípade Ubuntu, niekoľko verzií predstavuje túto chybu zabezpečenia, ako mnoho distribúcií, ktoré sú na ňom založené.
Medzi ovplyvnené verzie Ubuntu máme:
- Ubuntu 15.10
- Ubuntu 15.04
- Ubuntu LTS 14.04
- Ubuntu LTS 12.04
Problém je možné opraviť aktualizáciou systému vo verziách nasledujúcich balíkov:
- Ubuntu 15.10: grub2-common a 2.02 ~ beta2-29ubuntu0.2
- Ubuntu 15.04: grub2-common a 2.02 ~ beta2-22ubuntu1.4
- Ubuntu 14.04 LTS: grub2-common a 2.02 ~ beta2-9ubuntu1.6
- Ubuntu 12.04 LTS: grub2-common a 1.99-21ubuntu3.19
Po aktualizácii je potrebné reštartovať počítač, aby sa mohli vykonať všetky príslušné zmeny.
Pamätajte, že túto chybu zabezpečenia je možné použiť na obídenie hesla GRUB, preto sa odporúčame vykonať aktualizáciu, aby ste boli v bezpečí.
Na rozdiel od Windows a OS x, kde sa tieto chyby opravia v priebehu niekoľkých rokov [http://www.cnnexpansion.com/tecnologia/2015/02/12/microsoft-corrige-falla-critica-en-windows-15-anos - po], chyby zabezpečenia v GNU / Linux sú opravené v priebehu niekoľkých minút alebo hodín (opravili ich, keď chybu odhalili)
Zdá sa, že ste nečítali ani svoj vlastný odkaz.
Zraniteľnosť trvala 15 rokov, ale bola objavená pred 1 rokom.
V systéme Linux po celé desaťročia tiež boli skryté chyby zabezpečenia, a to napriek skutočnosti, že kázanie zabezpečilo, že chyby boli odhalené rýchlejšie alebo okamžite, pretože zdroj bol otvorený.
Hneď po nahlásení tejto chyby zabezpečenia začala spoločnosť Microsoft pracovať na riešení, ktoré sa z dôvodu zložitosti bezpečného a efektívneho riešenia a testov pomaly objavovalo. Neexistovala žiadna naliehavosť, pretože to útočníkom nebolo známe.
To, že sa niečo rýchlo napraví, znamená iba to, že vykonanie opravy nebolo komplikované alebo že sa pri vydaní akýchkoľvek zmien kódu neaplikuje QA, nič viac.
Ale kanonický neobjavil nič ... .. Iba to neovplyvní ich distribúciu, nič iné
Čo ako?
Opravte prosím tento názov, pretože ide o obrovskú lož ... lož v spravodajstve a lož v obsahu článku ...
V systéme GRUB bola objavená zraniteľnosť, ale Canonical s tým nemal nič spoločné. Táto chyba zabezpečenia ovplyvňuje každú distribúciu podobnú systému Linux, nielen Ubuntu.
Keď už hovoríme o pozadí, takáto zraniteľnosť nie je taká nebezpečná, pretože použitie hesla v GRUBe je rovnako bezpečné ako použitie hesla v BIOSe. Ak chce užívateľ zabezpečenie, bude mať samozrejme svoje užívateľské heslo a šifrovanie disku (v prípade, že má útočník prístup k zariadeniu).
Nebude to viac ako anekdota.
pozdravy
Nie je to také jednoduché, ako chcete veriť.
Tu trochu vysvetlia, prečo je heslo v GRUBe dôležité a že sa nevyrieši heslom používateľa ani šifrovaním.
https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/
Určite.
Kedykoľvek sa v Linuxe niečo stane, je to okamžite najskôr znehodnotené a potom zabudnuté.
PS: sprísnili cenzúru v desdelinux že sa komentáre už pri odosielaní nezobrazujú?
čo?. Čítali ste záznam, ktorý v úvodzovkách ... nehovorí nič o šifrovaní disku alebo hesle používateľa, iba vysvetľuje, na čo slúži a ako sa heslo používa v programe GRUB2 ... Potvrdzuje tiež, že musíte mať prístup k zariadenie na narušenie bezpečnosti tímu (existuje mnoho ďalších účinnejších spôsobov ako cez GRUB ...)
A bez ohľadu na to, aký veľký prístup máte ako správca prostredníctvom GRUBu, ak máte oprávnenia oddielov, používateľské kľúče a šifrovanie LUKS dobre (okrem iného) zavedené, nebudú mať prístup k vašim údajom (ak majú samozrejme prístup k vášmu zariadeniu) ).
Preto v tom stále nevidím zmysel. (pokiaľ nedôverujete iba heslu GRUB na zabezpečenie svojich údajov).
Svojou novou odpoveďou potvrdzujete, že nevidíte zmysel problému, pretože zostávate jednoduchí a z tejto medzery si ani neviete predstaviť jednoduché možnosti.
Samozrejme som si to prečítal, ale aj som im porozumel.
Alebo si možno uvedomím dôsledky a rozsah otvorenia akejkoľvek medzery.
Medzera, ktorá by tam nemala byť, medzera v bezpečnostnom mechanizme, ktorý tam kvôli niečomu bol.
Ak si prečítate odkaz, zistíte, že keďže je toto bezpečnostné prihlásenie preskočiteľné, je možné do systému pristupovať ako root, takže vaše heslo super používateľa nie je nič. A ak viete niečo o tom, čo komentujete, nemal by som vám vysvetľovať, že keď sa prihlásite ako root, bolo by možné pozrieť sa alebo upraviť hodnoty hash hesla, upraviť používateľov, upraviť systém tak, aby načítal alebo nahradiť procesy, ktoré monitorujú všetka činnosť používateľov, keď je autentifikovaná. ktorá môže ísť od zachytenia ich hesiel po prevzatie ich dešifrovaných údajov a odoslanie všetkých týchto „domov“; medzi tisíckami ďalších vecí, ktoré sa môžu stať útočníkovi, ktorý má viac vedomostí ako ľudia ako vy, ktorí žijú v bublinách uspokojenia, falošnej bezpečnosti a „nikdy nebudú mať úspech, ak máte dobre zavedené bla bla bla“.
To, že nemôžete myslieť na veci, ešte neznamená, že nemôžete robiť veci.
Nezáleží ani na tom, že existuje veľa „efektívnejších“ metód, problémom je, že teraz existuje ešte jedna metóda, ktorá by kvôli zraniteľnosti nemala existovať.
Je to vysoko dostupná a ľahká metóda hodnotená ľuďmi, ktorí hodnotia zraniteľné miesta.
Už nepotrebujete disky Livecds, USB, odomykanie systému BIOS, otvorené krabice, vyberanie pevných diskov, vkladanie externých diskov atď .; jednoducho sa postavte pred klávesnicu a stlačte JEDNÉ tlačidlo.
A nebojte sa, že zajtra, keď sa objaví správa, že vaše super LUKS má dnes zraniteľnosť, ľudia ako vy prídu s tým, že „skutočný seriózny Škót“ nedôveruje šifrovaniu disku, ale aj iným veciam (napríklad aj GRUBu).
Samozrejme …. často nadpis: „Canonical objavuje zraniteľnosť v GRUB2.“ A aký spôsob písania novinky. S touto správou sa nakoniec bude zdať, že Canonical / Ubuntu sú jediné, ktoré robia veci pre slobodný softvér. Colin watson udržiava balík pre Debian a mimochodom ho nahral do Ubuntu, ako je uvedené vo verzii balíka. Neexistuje ani nijaký komentár k tomu, ako sa zraniteľnosť spúšťa, čo je 28-krát stlačené tlačidlo backspace.
Zdravím.
Čo je odsúdeniahodné pre mňa, je to, že je mimochodom neustále a opakovane komentované, že zraniteľnosť je spôsobená „zneužitím klávesnice“. Znie to takto: „iPhone držia zle.“
Nie, zraniteľnosť je spôsobená zlým programovaním, ako vždy, bodkou. Je neospravedlniteľné, že stlačenie klávesu X preskočí bezpečnostné prihlásenie.
Aký nadpis, povedia tiež, že zatiaľ čo grub spustil chybu, objavil sa stlačenie klávesu „e“, tiež som to skúsil v linux mint a nič sa nestalo iba v ubuntu.
PS: najskôr musia vstúpiť do môjho domu, aby mohli použiť toto zraniteľné oko, najskôr odinštalujú mätu a nainštalujú ubuntu.
Váš pravopis zanecháva veľa želaní
Miestne zraniteľné miesta sú koniec koncov zraniteľné miesta.
Na pracovných staniciach, v podnikoch a iných kritických prostrediach ich táto zraniteľnosť a najmä používanie „zabezpečeného linuxu“ nebaví. Ale hrá sa mi dobre, pretože nevchádzajú do vášho domu.
E je tiež riziko, ktoré musí byť zablokované. Neviem, či si to vedel.
Hahaha Paco22, ako obraňuješ túto zraniteľnosť ...
Verte mi, že vo vážnej spoločnosti existuje veľa bezpečnostných protokolov na a) prístup k fyzickému zariadeniu b) na ochranu prístupu k údajom.
A ak je váš záujem stále GRUB, je jednoduchšie ho zablokovať, aby ste k nemu nemali prístup ...
@Hugo
Nejde o to, že by „skutočne seriózny Škót“ používal iné bezpečnostné protokoly, ale že je to jeden z týchto protokolov a JE TO FAILING, bodka. A mimochodom, ak to neurobí, môže to kompromitovať zvyšok, napríklad tie, ktoré ste spomenuli, a prisahajú, že sú maximálnou zárukou.
Túto zraniteľnosť si nemusím obhajovať, pretože ju objavili a kvalifikovali špecialisti, ktorí vedia o bezpečnosti, a znehodnotenie rádiových snímok chápe, že vedia veľa informácií o použití distribúcie, je irelevantné.
Chápem, že im tak trochu škodí, že sa mýtus o „zabezpečenom linuxe“ trhá na kusy, dokonca aj stlačením jediného klávesu.
Typické je, že sa nikdy nezmenia, vždy rovnaké, aby sa minimalizovali chyby superlinuxu.
človek nežije iba na Ubuntu