Para sa mga hindi nakakaalam ng Canonical ito ay isang kumpanya na itinatag sa United Kingdom, itinatag at pinondohan ni Mark Shuttleworth na nagmula sa South Africa. Ang kumpanya ay namamahala sa pagbuo ng software para sa mga serbisyo sa computer at merkado na nakatuon sa oriented Ubuntu, ang operating system Gnu / Linux at mga application batay sa libreng software.
Sa kaso ng GRUB o GRand Pinag-isang BootloaderMaaari nating sabihin na ginagamit ito upang simulan ang isa o maraming mga operating system para sa parehong computer, ito ang kilala bilang isang boot manager, ganap na bukas na mapagkukunan.
Ngayon, pag-uusapan natin ang tungkol sa Zero-Day na kahinaan sa GRUB2. Ito ay unang natagpuan nina Ismael Ripoll at Hector Marco, dalawang tagabuo mula sa Unibersidad ng Valencia sa Espanya. Talaga ito ang maling paggamit ng delete key, kapag ang pagsasaayos ng boot ay ipinatupad sa seguridad ng password. Ito ay maling paggamit ng mga kumbinasyon ng keyboard, kung saan ang pagpindot sa anumang key ay maaaring lampasan ang pagpasok ng password. Ang problemang ito ay naisalokal sa mga pakete salungat sa agos at halatang ginagawa nilang mahina ang impormasyong nakaimbak sa computer.
Sa kaso ng Ang Ubuntu, maraming mga bersyon ang nagpapakita ng kapintasan sa kahinaan na ito, tulad ng maraming mga pamamahagi na batay dito.
Kabilang sa mga apektadong bersyon ng Ubuntu mayroon kaming:
- Ubuntu 15.10
- Ubuntu 15.04
- Ubuntu LTS 14.04
- Ubuntu LTS 12.04
Maaaring maitama ang problema sa pamamagitan ng pag-update ng system sa mga bersyon ng mga sumusunod na pakete:
- Ubuntu 15.10: grub2-karaniwang a 2.02 ~ beta2-29ubuntu0.2
- Ubuntu 15.04: grub2-karaniwang a 2.02 ~ beta2-22ubuntu1.4
- Ubuntu 14.04 LTS: grub2-karaniwang a 2.02 ~ beta2-9ubuntu1.6
- Ubuntu 12.04 LTS: grub2-karaniwang a 1.99-21ubuntu3.19
Matapos ang pag-update, kinakailangan upang i-restart ang computer upang magawa ang lahat ng mga nauugnay na pagbabago.
Tandaan na ang kahinaan na ito ay maaaring magamit upang ma-bypass ang GRUB password, kaya inirerekumenda na isagawa mo ang pag-update upang mapanatiling ligtas ang iyong sarili.
Hindi tulad ng Windows at OS x kung saan ang mga error na ito ay naitama sa loob ng ilang taon [http://www.cnnexpansion.com/tecnologia/2015/02/12/microsoft-corrige-falla-critica-en-windows-15-anos - pagkatapos], ang mga kahinaan sa GNU / Linux ay naayos sa loob ng ilang minuto o oras (naayos nila ito nang matuklasan nila ang kahinaan)
Mukhang hindi mo pa nabasa ang iyong sariling link.
Ang kahinaan ay nasa paligid ng 15 taon, ngunit natuklasan 1 taon na ang nakakaraan.
Sa Linux mayroon ding mga nakatagong kahinaan sa loob ng mga dekada, kahit na tiniyak ng pangangaral na ang mga kahinaan ay natagpuan nang mas mabilis o kaagad dahil bukas ang mapagkukunan.
Sa sandaling naiulat ang kahinaan, nagsimulang magtrabaho ang Microsoft sa isang solusyon na mabagal na lumabas dahil sa pagiging kumplikado ng isang ligtas at mabisang solusyon at ang mga pagsubok, at walang kagyat na hindi alam sa mga umaatake.
Ang isang bagay na naayos nang mabilis ay nangangahulugan lamang na ang paggawa ng patch ay hindi kumplikado o walang QA na inilalapat kapag naglalabas ng anumang mga pagbabago sa code, wala nang iba pa.
Ngunit ang canonical ay walang natuklasan na anuman ... .. Nakakaapekto lamang ito sa kanilang mga distrito
Ano Paano?
Mangyaring iwasto ang pamagat na iyon dahil ito ay isang napakalaking kasinungalingan ... isang kasinungalingan sa katotohanan ng balita at isang kasinungalingan sa nilalaman ng artikulo ...
Ang isang kahinaan ay natuklasan sa GRUB, ngunit ang Canonical ay walang kinalaman dito. Ang kahinaan na ito ay nakakaapekto sa anumang pamamahagi na tulad ng Linux, hindi lamang sa Ubuntu.
Pinag-uusapan ang background, ang gayong kahinaan ay hindi mapanganib, dahil ang paggamit ng isang password sa GRUB ay ligtas tulad ng paggamit ng isang password sa BIOS. Kung nais ng isang gumagamit ng seguridad, malinaw na magkakaroon sila ng isang password ng gumagamit at pag-encrypt ng disk (kung sakaling may access ang mang-atake sa aparato).
Hindi ito magiging higit pa sa isang anekdota.
Regards
Hindi ito kasing simple ng nais mong paniwalaan.
Dito ipinaliwanag nila nang kaunti kung bakit mahalaga ang password sa GRUB at hindi ito nalulutas sa mga password ng gumagamit o naka-encrypt na mga bagay.
https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/
Siguradong
Kailan man may mangyari sa Linux, agad itong binabawasan ng halaga at pagkatapos ay nakakalimutan.
PS: hinigpitan ba nila ang censorship desdelinux na hindi na lumalabas ang mga komento kapag nagpapadala?
yan ?. Nabasa mo na ang entry na iyong mga quote ... ay hindi nagsasabi tungkol sa pag-encrypt ng disk o password ng gumagamit, ipinapaliwanag lamang nito kung para saan ito at kung paano ginagamit ang password sa GRUB2 ... Kinukumpirma din nito na dapat kang magkaroon ng pag-access sa aparato upang lumabag sa seguridad ng koponan (maraming iba pang mga mas mabisang paraan kaysa sa pamamagitan ng GRUB ...)
At gaano man ka mag-access bilang administrator sa pamamagitan ng GRUB, kung mayroon kang mga pahintulot ng mga paghati, mga key ng gumagamit at LUKS na naka-encrypt na mahusay (bukod sa iba pang mga bagay), hindi nila maa-access ang iyong data (kung may access sila sa iyong aparato syempre ).
Samakatuwid, wala pa rin akong nakitang kahulugan dito. (maliban kung pinagkakatiwalaan mo lamang ang GRUB password upang ma-secure ang iyong data).
Sa iyong bagong sagot kinumpirma mo na hindi mo nakikita ang kahulugan ng problema dahil mananatili kang simple at hindi mo maisip ang mga simpleng posibilidad mula sa puwang na iyon.
Siyempre nabasa ko ito, ngunit naintindihan ko rin ito.
O marahil ito ay ang maaari kong mapagtanto ang mga implikasyon at saklaw ng pagbubukas ng anumang puwang.
Isang puwang na hindi dapat naroroon, isang puwang sa isang mekanismo ng seguridad na naroroon para sa isang bagay.
Kung nabasa mo ang link, malalaman mo na habang nalalaktawan ang pag-login sa seguridad, posible na i-access ang system bilang root, kung saan wala ang iyong password ng super user. At kung may alam ka tungkol sa kung ano ang iniisip mo, hindi ko dapat ipaliwanag na kapag nag-log in ka bilang root posible na tingnan o i-edit ang mga hash ng password, i-edit ang mga gumagamit, baguhin ang system upang mai-load o palitan ang mga proseso na sinusubaybayan ang lahat ng aktibidad ng gumagamit kapag napatunayan na maaaring magmula sa pagkuha ng kanilang mga password hanggang sa kunin ang kanilang na-decrypt na data at ipadala ang lahat ng "home" na iyon; sa libu-libong iba pang mga bagay na maaaring mangyari sa isang umaatake na may higit na kaalaman kaysa sa mga taong katulad mo na naninirahan sa mga bula ng kasiyahan, maling seguridad at "hindi sila magtatagumpay kung naitatag mo nang maayos ang bla bla bla."
Dahil hindi mo maiisip ang mga bagay ay hindi nangangahulugang hindi mo kayang gawin ang mga bagay.
Hindi rin mahalaga na maraming mga "mas mabisang" pamamaraan, ang problema ay ngayon may isa pang pamamaraan, na hindi dapat naroroon dahil sa isang kahinaan.
At ito ay isang lubos na naa-access at madaling pamamaraan, na-rate ng mga taong nagtatasa ng mga kahinaan.
Hindi mo na kailangan ang Livecds, USBs, i-unlock ang BIOS, buksan ang mga kahon, alisin ang mga hard drive, maglagay ng mga panlabas na drive, atbp; tumayo lamang sa harap ng keyboard at pindutin ang ONE key.
At huwag mag-alala, na bukas kapag ang balita ay ang iyong sobrang LUKS ngayon ay may isang kahinaan, ang mga taong katulad mo ay lalabas upang sabihin na ang "isang tunay na seryosong Scotsman" ay hindi nagtitiwala sa pag-encrypt ng disk ngunit iba pang mga bagay (tulad ng GRUB kahit).
Syempre …. madalas na headline: "Natuklasan ng Canonical ang kahinaan sa GRUB2." At kung ano ang isang paraan upang isulat ang balita. Sa balitang ito sa huli ay tila ang Canonical / Ubuntu lamang ang gumagawa ng mga bagay para sa libreng software. Ang pakete ay pinapanatili ni colin watson para kay Debian, at hindi sinasadyang na-upload ito sa Ubuntu, tulad ng ipinahiwatig sa bersyon ng package. Wala ring puna kung paano na-trigger ang kahinaan, na sa pamamagitan ng pagpindot sa backspace key nang 28 beses.
Pagbati.
Ano ang masisisi sa akin ay ang puna nito, at sa paulit-ulit, na ang kahinaan ay dahil sa isang "maling paggamit ng keyboard." Iyon ang tunog: "mali ang hawak nila sa iPhone."
Hindi, ang kahinaan ay sanhi ng hindi magandang programa, tulad ng lagi, tagal. Hindi maipaliwanag na ang pagpindot sa X beses sa isang pangunahing laktaw ay isang pag-login sa seguridad.
Ano ang isang headline, sasabihin din nila na habang nagsimula ang grub ng isang bug ay natuklasan ang pagpindot sa "e", sinubukan ko rin sa linux mint at walang nangyayari lamang sa ubuntu.
PS: unang kailangan nilang ipasok ang aking bahay upang magamit ang kahinaan ng mata na i-uninstall muna ang mint at i-install ang Ubuntu.
Ang iyong spelling ay umalis ng maraming nais
Ang mga lokal na kahinaan ay mga kahinaan pagkatapos ng lahat.
Sa mga workstation, kumpanya at iba pang kritikal na kapaligiran ay hindi sila malibang magkaroon ng kahinaan na ito at higit pa gamit ang "secure linux". Pero maganda ang laro ko dahil hindi sila pumasok sa bahay mo.
Ang e ay isang peligro rin na dapat na-block. Hindi ko alam kung alam mo.
Hahaha Paco22, paano mo ipagtatanggol ang kahinaan na ito ...
Maniwala ka sa akin na sa isang seryosong kumpanya maraming mga security security upang a) ma-access ang pisikal na aparato b) upang maprotektahan ang pag-access sa data.
At kung ang iyong interes ay GRUB pa rin, mas madaling hadlangan ito upang wala kang access dito ...
@Hugo
Hindi ito isang katanungan na ang isang "tunay na seryosong Scotsman" ay gagamit ng iba pang mga security protokol, ngunit ito ay isa sa mga protokol na iyon at AY NABABIG, panahon. At hindi sinasadya, sa pamamagitan ng pagkabigo ay maaari nitong ikompromiso ang natitira, tulad ng iyong nabanggit na pagmumura na sila ang maximum na garantiya.
Ang kahinaan na ito ay hindi kailangan sa akin upang ipagtanggol ito, sapagkat natuklasan ito at kwalipikado ng mga dalubhasa na alam ang tungkol sa seguridad at ang mga pagpapababa ng wannabes na nauunawaan na marami silang alam sa pamamagitan ng paggamit ng distro ay hindi nauugnay.
Naiintindihan ko na nasasaktan sila sa kanilang unti-unting mitolohiya na "secure linux" ay napupunit, kahit na sa pamamagitan ng pagpindot sa isang solong susi.
Karaniwan, hindi sila nagbabago, palaging pareho upang mabawasan ang mga bahid ng superlinux.
ang tao ay hindi nakatira sa Ubuntu lamang