Če jih izkoristijo, lahko napadalcem omogočijo nepooblaščen dostop do občutljivih informacij ali na splošno povzročijo težave
Razkrite so bile podrobnosti o dveh ranljivostih v zagonskem nalagalniku GRUB2, ki plahko povzroči izvajanje kode pri uporabi posebej oblikovanih pisav in obravnavi določenih zaporedij Unicode.
Omenjeno je, da so odkrite ranljivostie lahko uporabite za obhod preverjenega zagonskega mehanizma UEFI Secure Boot. Ranljivosti v GRUB2 omogočajo izvajanje kode na stopnji po uspešnem preverjanju šima, vendar preden se naloži operacijski sistem, prekine verigo zaupanja z aktivnim načinom varnega zagona in pridobi popoln nadzor nad postopkom po zagonu, npr. za zagon drugega operacijskega sistema, spreminjanje komponent operacijskega sistema in obhod zaščite pred zaklepanjem.
Glede ugotovljenih ranljivosti je omenjeno naslednje:
- CVE-2022-2601: prekoračitev medpomnilnika v funkciji grub_font_construct_glyph() pri obdelavi posebej izdelanih pisav v formatu pf2, do katere pride zaradi nepravilnega izračuna parametra max_glyph_size in dodelitve pomnilniškega območja, ki je očitno manjše od potrebnega za postavitev glifov.
- CVE-2022-3775: Pisanje izven meja pri upodabljanju nekaterih nizov Unicode v pisavi po meri. Težava je prisotna v kodi za obravnavo pisave in je posledica pomanjkanja ustreznih kontrol za zagotovitev, da se širina in višina glifa ujemata z razpoložljivo velikostjo bitne slike. Napadalec lahko pridobi vhod na tak način, da povzroči zapisovanje čakalne vrste podatkov iz dodeljenega medpomnilnika. Opozoriti je treba, da kljub zapletenosti izkoriščanja ranljivosti ni izključena izpostavitev težave izvajanju kode.
Za popolno ublažitev vseh CVE bodo potrebni popravki, posodobljeni z najnovejšim SBAT (Secure Boot Advanced Targeting) in podatki, ki jih zagotavljajo distribucije in prodajalci.
Tokrat ne bo uporabljen UEFI revocation list (dbx) in preklic pokvarjenih
artefakti bodo narejeni samo s SBAT. Za informacije o tem, kako uporabiti
najnovejše preklice SBAT, glejte mokutil(1). Popravki prodajalca lahko izrecno omogoči zagon starejših znanih zagonskih artefaktov.GRUB2, shim in drugi zagonski artefakti vseh prizadetih ponudnikov bodo posodobljeni. na voljo bo, ko bo embargo odpravljen ali nekaj časa po tem.
Omenjeno je, da večina distribucij linux uporablja majhno plast popravkov, digitalno podpisan s strani Microsofta, za preverjen zagon v načinu UEFI Secure Boot. Ta plast preveri GRUB2 z lastnim certifikatom, ki razvijalcem distribucij omogoča, da ne potrdijo vsake posodobitve jedra in GRUB pri Microsoftu.
Za blokiranje ranljivosti brez preklica digitalnega podpisa, distribucije lahko uporablja mehanizem SBAT (UEFI Secure Boot Advanced Targeting), ki ga podpirajo GRUB2, shim in fwupd v večini priljubljenih distribucij Linuxa.
SBAT je bil razvit v sodelovanju z Microsoftom in vključuje dodajanje dodatnih metapodatkov v izvedljive datoteke komponente UEFI, vključno s podatki o proizvajalcu, izdelku, komponenti in različici. Navedeni metapodatki so digitalno podpisani in jih je mogoče vključiti v ločene sezname dovoljenih ali prepovedanih komponent za UEFI Secure Boot.
SBAT omogoča blokiranje uporabe digitalnega podpisa za posamezne številke različic komponent brez potrebe po preklicu ključev za varni zagon. Blokiranje ranljivosti prek SBAT ne zahteva uporabe UEFI CRL (dbx), ampak se izvede na ravni zamenjave notranjega ključa za ustvarjanje podpisov in posodobitev GRUB2, shim in drugih zagonskih artefaktov, ki jih zagotavljajo distribucije.
Pred uvedbo SBAT je bila posodobitev seznama preklicanih potrdil (dbx, UEFI Revocation List) predpogoj za popolno blokiranje ranljivosti, saj bi lahko napadalec, ne glede na uporabljeni operacijski sistem, uporabil zagonski medij z ranljivo starejšo različico GRUB2, certificiran z digitalnim podpisom za ogrožanje varnega zagona UEFI.
Končno Omeniti velja, da je bil popravek izdan kot popravek., da odpravite težave v GRUB2, ni dovolj, da posodobite paket, prav tako boste morali ustvariti nove notranje digitalne podpise in posodobiti namestitvene programe, zagonske programe, pakete jedra, fwupd-firmware in shim-layer.
Stanje odprave ranljivosti v distribucijah je mogoče oceniti na teh straneh: Ubuntu, SUSE, RHEL, Fedora y Debian.
Več o tem lahko preverite v naslednja povezava.