Bu kusurlardan yararlanılırsa, saldırganların hassas bilgilere yetkisiz erişim elde etmesine izin verebilir veya genellikle sorunlara neden olabilir.
GRUB2 önyükleyicideki iki güvenlik açığının ayrıntıları açıklandı.kod yürütmeye yol açabilir özel olarak tasarlanmış yazı tiplerini kullanırken ve belirli Unicode dizilerini işlerken.
Tespit edilen güvenlik açıklarınıne, UEFI Güvenli Önyükleme doğrulanmış önyükleme mekanizmasını atlamak için kullanılabilir. GRUB2'deki güvenlik açıkları, kodun başarılı şim doğrulamasından sonraki aşamada, ancak işletim sistemi yüklenmeden önce yürütülmesine izin verir, Güvenli Önyükleme modu etkinken güven zincirini kırar ve önyükleme sonrası süreç üzerinde tam kontrol elde eder, örn. başka bir işletim sistemini başlatmak, işletim sistemi bileşenlerini değiştirmek ve kilit korumasını atlamak için.
Tespit edilen güvenlik açıkları ile ilgili olarak şunlardan bahsedilmektedir:
- CVE-2022-2601: grub_font_construct_glyph() işlevinde, pf2 biçiminde özel hazırlanmış yazı tiplerini işlerken, max_glyph_size parametresinin yanlış hesaplanması ve glifleri yerleştirmek için gerekenden açıkça daha küçük bir bellek alanının tahsis edilmesi nedeniyle oluşan bir arabellek taşması.
- CVE-2022-3775: Bazı Unicode dizelerini özel bir yazı tipinde işlerken sınırların dışında yazma. Sorun, yazı tipi işleme kodunda mevcuttur ve glif genişliğinin ve yüksekliğinin mevcut bitmap boyutuyla eşleşmesini sağlamak için uygun kontrollerin bulunmamasından kaynaklanır. Bir saldırgan, tahsis edilen arabellekten bir veri kuyruğunun yazılmasına neden olacak şekilde girdi toplayabilir. Güvenlik açığından yararlanmanın karmaşıklığına rağmen, sorunu kod yürütmeye maruz bırakmanın dışlanmadığına dikkat çekiliyor.
Tüm CVE'lere karşı tam hafifletme, en son SBAT ile güncellenen düzeltmeleri gerektirecektir. (Güvenli Önyükleme Gelişmiş Hedefleme) ve dağıtımlar ve satıcılar tarafından sağlanan veriler.
Bu kez UEFI iptal listesi (dbx) kullanılmayacak ve bozulanların iptali
artefaktlar sadece SBAT ile yapılacaktır. nasıl uygulanacağı hakkında bilgi için
en son SBAT iptalleri, bkz. mokutil(1). Satıcı düzeltmeleri açıkça bilinen daha eski önyükleme yapıtlarının önyüklenmesine izin ver.Etkilenen tüm satıcılardan GRUB2, şim ve diğer önyükleme yapıları güncellenecektir. ambargo kaldırıldığında veya bir süre sonra kullanıma sunulacaktır.
bundan bahsediliyor çoğu linux dağıtımı küçük bir yama katmanı kullanırUEFI Güvenli Önyükleme modunda doğrulanmış önyükleme için Microsoft tarafından dijital olarak imzalanmış. Bu katman, GRUB2'yi kendi sertifikasıyla doğrulardağıtım geliştiricilerinin her çekirdeği ve GRUB güncellemesini Microsoft ile onaylamamasına olanak tanır.
Güvenlik açığını engellemek için dijital imzayı iptal etmeden, dağıtımlar SBAT mekanizmasını kullanabilir En popüler Linux dağıtımlarında GRUB2, şim ve fwupd tarafından desteklenen (UEFI Güvenli Önyükleme Gelişmiş Hedefleme).
SBAT, Microsoft ile işbirliği içinde geliştirilmiştir ve üretici, ürün, bileşen ve sürüm bilgileri dahil olmak üzere UEFI bileşeni yürütülebilir dosyalarına ek meta veriler eklemeyi içerir. Belirtilen meta veriler dijital olarak imzalanmıştır ve UEFI Güvenli Önyükleme için ayrı izin verilen veya yasaklanan bileşen listelerine dahil edilebilir.
SBAT, dijital imza kullanımının engellenmesine izin verir Güvenli Önyükleme için anahtarları iptal etmeye gerek kalmadan bireysel bileşen sürüm numaraları için. Güvenlik açıklarını SBAT aracılığıyla engellemek, bir UEFI CRL kullanımını gerektirmez (dbx), bunun yerine imza oluşturmak ve dağıtımlar tarafından sağlanan GRUB2, şim ve diğer önyükleme yapıtlarını güncellemek için dahili anahtar değiştirme düzeyinde yapılır.
SBAT'nin kullanıma sunulmasından önce, bir saldırgan, kullanılan işletim sisteminden bağımsız olarak, güvenlik açığı bulunan eski bir sürümüyle önyüklenebilir medya kullanabileceğinden, sertifika iptal listesinin (dbx, UEFI İptal Listesi) güncellenmesi güvenlik açığını tamamen engellemek için bir ön koşuldu. GRUB2, UEFI Güvenli Önyüklemeden ödün vermek için dijital imza ile onaylanmıştır.
Nihayet Düzeltmenin bir yama olarak yayınlandığını belirtmekte fayda var., GRUB2'deki sorunları çözmek için paketi güncellemek yeterli değildir, ayrıca yeni dahili dijital imzalar oluşturmanız ve yükleyicileri, önyükleyicileri, çekirdek paketlerini, fwupd-firmware ve shim-layer'ı güncellemeniz gerekecektir.
Dağıtımlardaki güvenlik açığı iyileştirme durumu şu sayfalarda değerlendirilebilir: Ubuntu, SUSE, RHEL, Fötr şapka y Debian.
Bu konuda daha fazla kontrol edebilirsiniz. aşağıdaki bağlantı.