За оне који не знају Цаноницал, ово је компанија основана у Великој Британији, коју је основао и финансирао Марк Схуттлевортх јужноафричког порекла. Компанија је задужена за развој софтвера за рачунаре и продаје услуге оријентисане на Убунту, оперативног система Гну / Линук и апликације засноване на бесплатном софтверу.
У случају ГРУБ-а или ГРанд Унифиед БоотлоадерМожемо рећи да се користи за покретање једног или више оперативних система за исти рачунар, то је оно што је познато као менаџер покретања система, потпуно отвореног кода.
Сада ћемо разговарати о Нула-дан рањивост у ГРУБ2. Ово су први пронашли Исмаел Риполл и Хецтор Марцо, два програмера са Универзитета Валенциа у Шпанији. У основи се ради о злоупотреби тастера за брисање, када је конфигурација покретања имплементирана у лозинку. То је нетачна употреба комбинација тастатуре, када притиском било ког тастера можете заобићи унос лозинке. Овај проблем је локализован у пакетима узводно и очигледно чине информације ускладиштене у рачунару веома рањивим.
У случају Убунту, неколико верзија представља ову грешку рањивости, попут многих дистрибуција које се на њему заснивају.
Међу погођеним верзијама Убунту-а имамо:
- убунту КСНУМКС
- убунту КСНУМКС
- Убунту ЛТС КСНУМКС
- Убунту ЛТС КСНУМКС
Проблем се може исправити ажурирањем система у верзијама следећих пакета:
- Убунту 15.10: груб2-цоммон а 2.02 ~ бета2-29убунту0.2
- Убунту 15.04: груб2-цоммон а 2.02 ~ бета2-22убунту1.4
- Убунту 14.04 ЛТС: груб2-цоммон а 2.02 ~ бета2-9убунту1.6
- Убунту 12.04 ЛТС: груб2-цоммон а КСНУМКС-КСНУМКСубунтуКСНУМКС
Након ажурирања, потребно је поново покренути рачунар да бисте извршили све битне промене.
Имајте на уму да би се ова рањивост могла користити за заобилажење ГРУБ лозинке, па се препоручује да извршите ажурирање како бисте се заштитили.
За разлику од Виндовс-а и ОС-а к где се ове грешке исправљају за неколико година [хттп://ввв.цннекпансион.цом/тецнологиа/2015/02/12/мицрософт-цорриге-фалла-цритица-ен-виндовс-15-анос -након], рањивости у ГНУ / Линук-у су поправљене за неколико минута или сати (отклонили су је када су открили рањивост)
Чини се да нисте прочитали ни свој линк.
Рањивост је постојала 15 година, али је откривена пре годину дана.
У Линуку такође постоје скривене рањивости деценијама, иако је проповед осигуравао да се рањивости откривају брже или одмах јер је извор отворен.
Чим је пријављена рањивост, Мицрософт је почео да ради на решењу које је споро излазило због сложености сигурног и ефикасног решења и тестова, а није било хитности јер нападачима није било познато.
То што се нешто брзо поправи, само значи да прављење закрпе није било сложено или да се не примењује КА приликом објављивања било каквих промена кода, ништа више.
Али канонски није открио ништа ... .. То само не утиче на њихове дистрибуције, ништа друго
Шта како?
Молимо вас да исправите тај наслов јер је то страховита лаж ... лаж у вестима и лаж у садржају чланка ...
У ГРУБ-у је откривена рањивост, али Цаноницал са њом нема никакве везе. Ова рањивост утиче на било коју дистрибуцију сличну Линуку, не само на Убунту.
Говорећи о позадини, таква рањивост није толико опасна, јер је коришћење лозинке у ГРУБ-у једнако сигурно као коришћење лозинке у БИОС-у. Ако корисник жели сигурност, очигледно ће имати корисничку лозинку и шифровање диска (у случају да нападач има приступ уређају).
Ово неће постати више од анегдоте.
поздрави
Није тако једноставно као што желите да поверујете.
Овде објашњавају мало зашто је лозинка важна у ГРУБ-у и да се не решава корисничким лозинкама или шифрирањем ствари.
https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/
Нема сумње
Кад год се нешто догоди у Линуку, то се прво девалвира, а затим заборави.
ПС: да ли су пооштрили цензуру desdelinux да се коментари више не појављују при слању?
Шта?. Прочитали сте унос да ваши цитати ... не говоре ништа о шифрирању диска или корисничкој лозинци, већ само објашњава чему служи и како се лозинка користи у ГРУБ2 ... Такође потврђује да морате имати приступ уређају да бисте нарушили безбедност тима (постоји много других ефикаснијих начина него путем ГРУБ-а ...)
И без обзира на то колико приступате као администратор преко ГРУБ-а, ако имате добро успостављене дозволе за партиције, корисничке кључеве и ЛУКС енкрипцију (између осталог), они неће приступити вашим подацима (ако наравно имају приступ вашем уређају).
Стога још увек не видим смисла у томе. (Осим ако само верујете ГРУБ лозинци да бисте заштитили своје податке).
Новим одговором потврђујете да не видите смисао проблема јер остајете једноставни и из тог јаза не можете ни да замислите једноставне могућности.
Наравно да сам га прочитао, али сам га и разумео.
Или можда је то што могу да схватим импликације и обим отварања било које празнине.
Јаз који не би требало да постоји, јаз у безбедносном механизму који је постојао због нечега.
Ако прочитате везу, сазнаћете да је, пошто се ова безбедносна пријава може прескочити, могуће приступити систему као роот, а са којом ваша лозинка супер корисника није ништа. А ако знате нешто о ономе што коментаришете, не бих требало да вам објашњавам да би, када се пријавите као роот, било могуће прегледати или изменити хеш лозинке, уредити кориснике, изменити систем да би учитао или заменио процесе који надгледају све активности корисника када је потврђена идентитет. то би могло прећи од хватања њихових лозинки до узимања њихових дешифрованих података и слања свих тих „кућа“; међу хиљадама других ствари које се могу догодити нападачу који има више знања од људи попут вас који живе у мехурићима самозадовољства, лажне сигурности и „никада неће успети ако сте добро утврдили бла бла бла“.
То што не можете да размишљате о стварима не значи да не можете и да радите ствари.
Нити је битно што постоји много „ефикаснијих“ метода, проблем је што сада постоји још један метод који не би требало да постоји због рањивости.
И то је изузетно приступачна и лака метода, коју оцењују људи који процењују рањивости.
Више вам нису потребни Ливецдс, УСБ, откључавање БИОС-а, отварање кутија, уклањање чврстих дискова, стављање спољних дискова итд; само станите испред тастатуре и притисните ЈЕДАН тастер.
И не брините, да ће сутра, када се вести да ваш супер ЛУКС данас има рањивост, људи попут вас изаћи да кажу да „стварно озбиљни Шкот“ не верује у шифровање диска већ у друге ствари (попут ГРУБ-а) .
Наравно …. често наслов: „Цаноницал открива рањивост у ГРУБ2“. И какав начин да се напишу вести. На крају ће се с овим вестима чинити да су Цаноницал / Убунту једини који раде ствари за бесплатни софтвер. Пакет одржава Цолин Ватсон за Дебиан и случајно га је отпремио на Убунту, као што је назначено у верзији пакета. Такође нема коментара о томе како се рањивост покреће, а то је притискањем тастера за враћање уназад 28 пута.
Поздрав.
Оно што ми је замерљиво је што се коментарише и успут изнова и изнова, да је рањивост настала због „злоупотребе тастатуре“. То звучи тако: „погрешно држе иПхоне“.
Не, рањивост је узрокована лошим програмирањем, као и увек, тачком. Неопростиво је што притиском Кс тастера прескаче безбедносна пријава.
Какав наслов, они ће такође рећи да, док је груб покренуо грешку, откривена је типка „е“, такође сам покушао у линук минт-у и ништа се не дешава само у убунту-у.
ПС: прво морају да уђу у моју кућу да би користили то око рањивости, прво деинсталирају ковницу и инсталирају убунту.
Ваш правопис оставља много жеља
Локалне рањивости су ипак рањивости.
На радним станицама, компанијама и другим критичним окружењима неће бити забавно што имају ову рањивост, а поготово помоћу „сигурног линука“. Али играм добро јер не улазе у вашу кућу.
Е је такође ризик који се мора блокирати. Не знам да ли сте знали.
Хахаха Пацо22, како браниш ову рањивост ...
Верујте ми да у озбиљној компанији постоји много сигурносних протокола за а) приступ физичком уређају б) за заштиту приступа подацима.
А ако је ваш интерес и даље ГРУБ, лакше га је блокирати како не бисте имали приступ њему ...
@Хуго
Није питање да ли би „стварно озбиљни Шкот“ користио друге безбедносне протоколе, већ да је ово један од тих протокола и НЕ ПОСТАЈЕ, тачка. Успут, неуспехом може угрозити остатак, попут оних које сте споменули заклињући се да су они максимална гаранција.
За ову рањивост не требам да је браним, јер су је открили и квалификовали специјалисти који знају за безбедност, а девалвације оних који схватају да знају много тога користећи дистро није важно.
Схватам да их боли што се мало по мало разбија мит о „сигурном линуку“, чак и притиском на један тастер.
Типично је да се они никад не мењају, увек исти да би умањили недостатке у суперлинуксу.
човек не живи само на Убунтуу