Ata zbuluan dy dobësi në GRUB2

David Y. Naranjo

Minuta 4

dobësi

Nëse shfrytëzohen, këto të meta mund t'i lejojnë sulmuesit të kenë akses të paautorizuar në informacione të ndjeshme ose në përgjithësi të shkaktojnë probleme

Detajet e dy dobësive në ngarkuesin e nisjes GRUB2 janë zbuluar se pmund të çojë në ekzekutimin e kodit kur përdorni fonte të dizajnuara posaçërisht dhe kur trajtoni sekuenca të caktuara të Unicode.

Përmendet se dobësitë e zbuluara janëe mund të përdoret për të anashkaluar mekanizmin e verifikimit të nisjes së UEFI Secure Boot. Dobësitë në GRUB2 lejojnë që kodi të ekzekutohet në fazën pas verifikimit të suksesshëm të shimit, por përpara se sistemi operativ të ngarkohet, duke thyer zinxhirin e besimit me modalitetin Secure Boot aktiv dhe duke fituar kontroll të plotë mbi procesin pas nisjes, p.sh. për të nisur një sistem tjetër operativ, modifikoni komponentët e sistemit operativ dhe anashkaloni mbrojtjen e bllokimit.

Lidhur me dobësitë e identifikuara, përmendet si më poshtë:

  • CVE-2022-2601: një tejmbushje buferi në funksionin grub_font_construct_glyph() kur përpunohen shkronja të krijuara posaçërisht në formatin pf2, e cila ndodh për shkak të llogaritjes së gabuar të parametrit max_glyph_size dhe ndarjes së një zone memorie që është padyshim më e vogël se sa nevojitet për të vendosur glyphs.
  • CVE-2022-3775: Shkrimi jashtë kufijve kur jepni disa vargje Unicode në një font të personalizuar. Problemi është i pranishëm në kodin e trajtimit të shkronjave dhe shkaktohet nga mungesa e kontrolleve të duhura për të siguruar që gjerësia dhe lartësia e glifit përputhen me madhësinë e disponueshme të bitmap. Një sulmues mund të mbledhë të dhëna në atë mënyrë që të shkaktojë që një radhë të dhënash të shkruhet nga buferi i alokuar. Vihet re se pavarësisht kompleksitetit të shfrytëzimit të cenueshmërisë, ekspozimi i problemit ndaj ekzekutimit të kodit nuk përjashtohet.

Zbutja e plotë ndaj të gjitha CVE-ve do të kërkojë rregullime të përditësuara me SBAT-in më të fundit (Secure Boot Advanced Targeting) dhe të dhënat e ofruara nga shpërndarjet dhe shitësit.
Këtë herë nuk do të përdoret lista e revokimeve UEFI (dbx) dhe revokimi i atyre të prishura
artefaktet do të bëhen vetëm me SBAT. Për informacion se si të aplikoni
revokimet më të fundit të SBAT, shih mokutil(1). Rregullimet e shitësit munden në mënyrë eksplicite lejojnë nisjen e objekteve më të vjetra të njohura të çizmeve.

GRUB2, shim dhe objekte të tjera të nisjes nga të gjithë shitësit e prekur do të përditësohen. ai do të jetë i disponueshëm kur të hiqet embargoja ose pas disa kohësh.

Përmendet se shumica e shpërndarjeve linux përdorin një shtresë të vogël patch, i nënshkruar në mënyrë dixhitale nga Microsoft, për nisjen e verifikuar në modalitetin UEFI Secure Boot. Kjo shtresë verifikon GRUB2 me certifikatën e vet, i cili lejon zhvilluesit e shpërndarjes të mos certifikojnë çdo kernel dhe përditësim GRUB me Microsoft.

Për të bllokuar cenueshmërinë pa revokuar nënshkrimin dixhital, shpërndarjet mund të përdorë mekanizmin SBAT (UEFI Secure Boot Advanced Targeting), i cili mbështetet nga GRUB2, shim dhe fwupd në shpërndarjet më të njohura të Linux.

SBAT u zhvillua në bashkëpunim me Microsoft dhe përfshin shtimin e meta të dhënave shtesë në skedarët e ekzekutueshëm të komponentit UEFI, duke përfshirë informacionin e prodhuesit, produktit, komponentit dhe versionit. Meta të dhënat e specifikuara janë të nënshkruara në mënyrë dixhitale dhe mund të përfshihen në lista të veçanta të komponentëve të lejuar ose të ndaluar për UEFI Secure Boot.

SBAT lejon bllokimin e përdorimit të një nënshkrimi dixhital për numrat e versioneve të komponentëve individualë pa nevojën për të revokuar çelësat për Secure Boot. Bllokimi i dobësive nëpërmjet SBAT nuk kërkon përdorimin e një UEFI CRL (dbx), por përkundrazi bëhet në nivelin e zëvendësimit të çelësit të brendshëm për të gjeneruar nënshkrime dhe përditësuar GRUB2, shim dhe objekte të tjera të nisjes të ofruara nga shpërndarjet.

Përpara prezantimit të SBAT, përditësimi i listës së revokimit të certifikatave (dbx, Lista e revokimeve UEFI) ishte një parakusht për të bllokuar plotësisht cenueshmërinë, pasi një sulmues, pavarësisht nga sistemi operativ i përdorur, mund të përdorte media bootable. me një version të vjetër të cenueshëm të GRUB2 i certifikuar nga një nënshkrim dixhital për të komprometuar UEFI Secure Boot.

Më në fund Vlen të përmendet se rregullimi është lëshuar si një patch., për të rregulluar problemet në GRUB2, nuk mjafton të përditësoni paketën, do t'ju duhet gjithashtu të krijoni nënshkrime të reja dixhitale të brendshme dhe të përditësoni instaluesit, ngarkuesit, paketat e kernelit, fwupd-firmware dhe shim-layer.

Statusi i korrigjimit të cenueshmërisë në shpërndarje mund të vlerësohet në këto faqe: Ubuntu, SUSE, RHELFedoraDebian

Ju mund të kontrolloni më shumë rreth tij në lidhja vijuese.