Для тих, хто не знає Canonical, це компанія, створена у Великобританії, заснована та фінансувана Марком Шаттлвортом південноафриканського походження. Компанія відповідає за розробку програмного забезпечення для комп'ютерів та просування послуг, орієнтованих на Ubuntu, Операційна система Gnu / Linux та додатки на основі вільного програмного забезпечення.
У разі GRUB або GR та уніфікований завантажувачМожна сказати, що він використовується для запуску однієї або декількох операційних систем для одного і того ж комп'ютера, це те, що відоме як менеджер завантажень, повністю з відкритим кодом.
Тепер ми поговоримо про Вразливість Zero-Day у GRUB2. Вперше це виявили Ісмаель Ріполл і Гектор Марко, два розробники з Університету Валенсії в Іспанії. В основному це неправильне використання клавіші видалення, коли в конфігурації завантаження реалізована захист паролем. Це неправильне використання комбінацій клавіатур, коли натискання будь-якої клавіші може обійти введення пароля. Ця проблема локалізована в пакетах вгору за течією і очевидно, вони роблять інформацію, що зберігається в комп'ютері, дуже вразливою.
У випадку Ubuntu, кілька версій представляють цю ваду вразливості, як і багато інших дистрибутивів, які базуються на ньому.
Серед уражених версій Ubuntu ми маємо:
- Ubuntu 15.10
- Ubuntu 15.04
- Ubuntu LTS 14.04
- Ubuntu LTS 12.04
Проблему можна виправити, оновивши систему у версіях наступних пакетів:
- Ubuntu 15.10: grub2-загальний a 2.02 ~ beta2-29ubuntu0.2
- Ubuntu 15.04: grub2-загальний a 2.02 ~ beta2-22ubuntu1.4
- Ubuntu 14.04 LTS: grub2-загальний a 2.02 ~ beta2-9ubuntu1.6
- Ubuntu 12.04 LTS: grub2-загальний a 1.99-21ubuntu3.19
Після оновлення необхідно перезавантажити комп'ютер, щоб внести всі відповідні зміни.
Пам'ятайте, що цю вразливість можна використовувати для обходу пароля GRUB, тому рекомендується виконати оновлення, щоб захистити себе.
На відміну від Windows та OS x, де ці помилки виправляються за лічені роки [http://www.cnnexpansion.com/tecnologia/2015/02/12/microsoft-corrige-falla-critica-en-windows-15-anos - після], уразливості в GNU / Linux виправляються за лічені хвилини або години (вони виправили це, коли виявили вразливість)
Здається, ви навіть не прочитали власного посилання.
Вразливість існувала протягом 15 років, але була виявлена рік тому.
У Linux також існували приховані вразливості протягом десятиліть, хоча проповідь гарантувала швидше або негайне виявлення вразливостей, оскільки джерело було відкритим.
Як тільки було повідомлено про вразливість, Microsoft почала працювати над рішенням, яке повільно виходило через складність безпечного та ефективного рішення та тестів, і не було терміновості, оскільки воно не було відомо зловмисникам.
Те, що щось швидко виправляється, означає лише те, що виготовлення виправлення не було складним або що ніяке забезпечення якості не застосовується під час випуску будь-яких змін коду, не більше того.
Але канонік нічого не виявив ... .. Це просто не впливає на їхні дистрибутиви більше нічого
Що як?
Будь ласка, виправте цей заголовок, оскільки це надзвичайна брехня ... брехня в новинах та брехня у змісті статті ...
У GRUB виявлено вразливість, але Canonical не мала до цього нічого спільного. Ця вразливість зачіпає будь-який дистрибутив, подібний до Linux, а не лише Ubuntu.
Якщо говорити про передісторію, така вразливість не є настільки небезпечною, оскільки використання пароля в GRUB настільки ж безпечне, як використання пароля в BIOS. Якщо користувач хоче безпеки, він, очевидно, матиме пароль користувача та шифрування диска (у випадку, якщо зловмисник має доступ до пристрою).
Це не стане лише анекдотом.
привіт
Це не так просто, як хочеться вірити.
Тут вони трохи пояснюють, чому пароль важливий у GRUB, і що його не можна вирішити за допомогою паролів користувачів чи шифрування.
https://blog.desdelinux.net/como-proteger-grub-con-una-contrasena-linux/
Без сумніву
Щоразу, коли щось відбувається в Linux, це відразу знецінюється, а потім забувається.
PS: посилили цензуру desdelinux що коментарі більше не з'являються при відправці?
що ?. Ви прочитали запис про те, що у ваших цитатах ... нічого не сказано про шифрування диска чи пароль користувача, він лише пояснює, для чого він призначений, і як пароль використовується в GRUB2 ... Він також підтверджує, що ви повинні мати доступ до пристрій для порушення безпеки команди (є багато інших більш ефективних способів, ніж через GRUB ...)
І незалежно від того, наскільки ви отримуєте доступ як адміністратор через GRUB, якщо у вас є добре встановлені дозволи на розділи, користувацькі ключі та шифрування LUKS (серед іншого), вони не матимуть доступу до ваших даних (якщо вони, звичайно, мають доступ до вашого пристрою) ).
Тому я досі не бачу в цьому сенсу. (якщо тільки ви не довіряєте паролю GRUB лише для захисту ваших даних).
Своєю новою відповіддю ви підтверджуєте, що не бачите сенсу проблеми, тому що залишаєтесь простими і навіть не можете уявити прості можливості з цього розриву.
Звичайно, я це читав, але також розумів.
А може, це те, що я можу усвідомити наслідки та масштаби відкриття будь-якої прогалини.
Розрив, якого не повинно бути, розрив у механізмі безпеки, який був через щось.
Якщо ви прочитаєте посилання, то з’ясуєте, що оскільки цей логін безпеки можна пропустити, ви можете отримати доступ до системи з правами root, з яким ваш пароль суперкористувача ніщо. І якщо ви знаєте щось про те, що ви коментуєте, я не повинен пояснювати вам, що коли ви входите в систему з правами root, можна буде переглядати або редагувати хеші паролів, редагувати користувачів, модифікувати систему для завантаження або заміни процесів, які контролюють вся діяльність користувача, коли вона аутентифікується, яка може переходити від захоплення їх паролів до отримання їх розшифрованих даних і відправки всього цього "додому"; серед тисяч інших речей, які можуть трапитись у зловмисника, який має більше знань, ніж люди, подібні до вас, які живуть у бульбашках самовдоволення, фальшивої безпеки і "вони ніколи не досягнуть успіху, якщо ви добре зарекомендували себе" бла-бла-бла ".
Те, що ти не можеш думати про щось, не означає, що ти не можеш щось робити.
Також не має значення, що існує багато «більш ефективних» методів, проблема полягає в тому, що зараз існує ще один метод, якого не повинно бути через вразливість.
Це дуже доступний і простий метод, який оцінюють люди, які оцінюють вразливі місця.
Вам більше не потрібні Livecds, USB, розблокувати BIOS, відкрити коробки, видалити жорсткі диски, поставити зовнішні диски тощо; просто поставте перед клавіатурою та натисніть ОДНУ клавішу.
І не хвилюйтеся, що завтра, коли з’явиться новина про те, що сьогодні у вашому супер LUKS є вразливість, такі люди, як ви, вийдуть, щоб сказати, що "справжній серйозний шотландець" не довіряє шифруванню диска, а іншим речам (як, наприклад, GRUB).
Звичайно …. часто заголовок: "Canonical виявляє вразливість у GRUB2". І який спосіб писати новини. Зрештою, завдяки цій новині здається, що Canonical / Ubuntu - єдині, хто робить щось для вільного програмного забезпечення. Колін Ватсон підтримує пакет для Debian і вже завантажив його в Ubuntu, як зазначено у версії пакету. Також немає коментарів щодо того, як спрацьовує вразливість, наприклад, натисканням клавіші backspace 28 разів.
Привіт.
Для мене докоряє те, що це коментується, і, до речі, знову і знову, що вразливість пов'язана з "неправильним використанням клавіатури". Це звучить так: "вони неправильно тримають iPhone".
Ні, вразливість спричинена поганим програмуванням, як завжди, періодом. Непростимо, що натискання клавіші X натискає клавішу, щоб пропустити вхід безпеки.
Який заголовок, вони також скажуть, що, поки grub запускав помилку, було виявлено натискання на "e", я також пробував у lint mint, і нічого не відбувається лише в ubuntu.
PS: спочатку вони повинні зайти до мене додому, щоб скористатися цією вразливістю, спочатку видалити монетний двір та встановити ubuntu.
Ваш правопис залишає бажати кращого
Локальні вразливості - це зрештою вразливості.
На робочих станціях, компаніях та інших критичних середовищах вони не будуть розважені, маючи цю вразливість, і тим більше, використовуючи "безпечний Linux". Але я добре граю, бо вони не заходять у твій дім.
Е - це також ризик, який потрібно заблокувати. Не знаю, чи знали ви.
Ха-ха-ха, Paco22, як ти захищаєш цю вразливість ...
Повірте, у серйозній компанії існує безліч протоколів безпеки для а) доступу до фізичного пристрою б) для захисту доступу до даних.
І якщо ваш інтерес все ще GRUB, його легше заблокувати, щоб не мати до нього доступу ...
@Hugo
Не питання, що "справжній серйозний шотландець" буде використовувати інші протоколи безпеки, але це те, що це один із цих протоколів, і він ПРИПУСКУЄ, точка. І, до речі, якщо його не вдасться, це може скомпрометувати решту, як ті, про яких ви згадали, присягаючи, що вони є максимальною гарантією.
Ця вразливість не потрібна мені, щоб я її захищав, оскільки вона була виявлена та кваліфікована фахівцями, які знають про безпеку, а девальвація бажаючих розуміє, що вони багато знають, використовуючи дистрибутив, неактуально.
Я розумію, що їм боляче, що поступово міф про "безпечний Linux" руйнується, навіть натисканням однієї клавіші.
Як правило, вони ніколи не змінюються, завжди однакові, щоб мінімізувати недоліки superlinux.
людина живе не лише на Ubuntu