De upptäckte två sårbarheter i GRUB2

David Y. Naranjo

4 minuter

sårbarhet

Om de utnyttjas kan dessa brister tillåta angripare att få obehörig åtkomst till känslig information eller i allmänhet orsaka problem

Detaljer om två sårbarheter i GRUB2-starthanteraren har avslöjats som pkan leda till kodexekvering när du använder specialdesignade typsnitt och hanterar vissa Unicode-sekvenser.

Det nämns att de upptäckta sårbarheterna äre kan användas för att kringgå den UEFI Secure Boot-verifierade startmekanismen. Sårbarheter i GRUB2 tillåter att kod exekveras i skedet efter den framgångsrika shim-verifieringen, men innan operativsystemet laddas, bryta förtroendekedjan med Secure Boot-läge aktivt och få full kontroll över post-boot-processen, t.ex. för att starta ett annat operativsystem, ändra operativsystemets komponenter och kringgå låsskyddet.

När det gäller de identifierade sårbarheterna nämns följande:

  • CVE-2022-2601: ett buffertspill i funktionen grub_font_construct_glyph() vid bearbetning av specialgjorda typsnitt i pf2-format, vilket uppstår på grund av felaktig beräkning av parametern max_glyph_size och allokering av ett minnesområde som uppenbarligen är mindre än vad som behövs för att placera glyfer.
  • CVE-2022-3775: Skrivning utanför ramarna när du renderar några Unicode-strängar i ett anpassat teckensnitt. Problemet finns i teckensnittshanteringskoden och orsakas av brist på korrekta kontroller för att säkerställa att glyfens bredd och höjd matchar den tillgängliga bitmappsstorleken. En angripare kan hämta indata på ett sådant sätt att en kö av data skrivs ut ur den tilldelade bufferten. Det noteras att trots komplexiteten i att utnyttja sårbarheten, är det inte uteslutet att utsätta problemet för kodexekvering.

Full begränsning mot alla CVE:er kräver korrigeringar som uppdateras med den senaste SBAT (Secure Boot Advanced Targeting) och data från distributioner och leverantörer.
Den här gången kommer UEFI-återkallningslistan (dbx) inte att användas och återkallelsen av de trasiga
artefakter kommer endast att göras med SBAT. För information om hur du tillämpar
senaste SBAT-återkallelser, se mokutil(1). Leverantörsfixar kan explicit tillåta uppstart av äldre kända startartefakter.

GRUB2, shim och andra startartefakter från alla berörda leverantörer kommer att uppdateras. den kommer att vara tillgänglig när embargot hävs eller en tid efter.

Det nämns de flesta Linux-distributioner använder ett litet patchlager, digitalt signerad av Microsoft, för verifierad uppstart i UEFI Secure Boot-läge. Detta lager verifierar GRUB2 med sitt eget certifikat, vilket tillåter distributionsutvecklare att inte certifiera varje kärna och GRUB-uppdatering med Microsoft.

För att blockera sårbarheten utan att återkalla den digitala signaturen, distributioner kan använda SBAT-mekanismen (UEFI Secure Boot Advanced Targeting), som stöds av GRUB2, shim och fwupd på de flesta populära Linux-distributioner.

SBAT utvecklades i samarbete med Microsoft och innebär att lägga till ytterligare metadata till UEFI-komponentens körbara filer, inklusive tillverkare, produkt, komponent och versionsinformation. Den angivna metadatan är digitalt signerad och kan inkluderas i separata tillåtna eller förbjudna komponentlistor för UEFI Secure Boot.

SBAT tillåter blockering av användningen av en digital signatur för individuella komponentversionsnummer utan att behöva återkalla nycklar för säker start. Blockering av sårbarheter via SBAT kräver inte användning av en UEFI CRL (dbx), utan görs snarare på den interna nyckelersättningsnivån för att generera signaturer och uppdatera GRUB2, shim och andra startartefakter som tillhandahålls av distributioner.

Före introduktionen av SBAT var uppdatering av certifikatspärrlistan (dbx, UEFI Revocation List) en förutsättning för att helt blockera sårbarheten, eftersom en angripare, oavsett vilket operativsystem som används, kunde använda startbara media. med en sårbar äldre version av GRUB2 certifierad av en digital signatur för att äventyra UEFI Secure Boot.

Slutligen Det är värt att nämna att fixen har släppts som en patch., för att fixa problem i GRUB2 räcker det inte med att uppdatera paketet, du kommer också att behöva skapa nya interna digitala signaturer och uppdatera installationsprogrammet, bootloaders, kärnpaketen, fwupd-firmware och shim-layer.

Status för åtgärdande av sårbarheter i distributioner kan bedömas på dessa sidor: ubuntu, SUSE, RHELfedoraDebian.

Du kan kolla mer om det i följande länk.