如果被利用,这些漏洞可能允许攻击者未经授权访问敏感信息或通常会导致问题
GRUB2 引导加载程序中两个漏洞的详细信息已被披露,p可能导致代码执行 使用专门设计的字体和处理某些 Unicode 序列时。
提到检测到的漏洞是e 可用于绕过 UEFI 安全启动验证启动机制。 GRUB2 中的漏洞允许代码在 shim 验证成功后但在操作系统加载之前的阶段执行,从而打破信任链并激活安全启动模式并获得对启动后过程的完全控制,例如,启动另一个操作系统,修改操作系统组件,绕过锁定保护。
关于已识别的漏洞,提到了以下内容:
- CVE-2022-2601: 处理 pf2 格式的特制字体时 grub_font_construct_glyph() 函数中的缓冲区溢出,这是由于 max_glyph_size 参数计算不正确以及分配的内存区域明显小于放置字形所需的内存区域所致。
- CVE-2022-3775: 以自定义字体呈现某些 Unicode 字符串时越界写入。 该问题存在于字体处理代码中,是由于缺少适当的控件来确保字形宽度和高度与可用位图大小相匹配而导致的。 攻击者可以通过导致数据队列从分配的缓冲区中写出的方式获取输入。 请注意,尽管利用该漏洞很复杂,但不排除将问题暴露给代码执行。
针对所有 CVE 的全面缓解将需要使用最新 SBAT 更新的修复程序 (安全启动高级定位)以及发行版和供应商提供的数据。
这次UEFI吊销列表(dbx)不会用到坏掉的吊销
工件将仅使用 SBAT 制作。 有关如何应用的信息
最新的 SBAT 撤销,请参阅 mokutil(1)。 供应商修复可以明确 允许启动较旧的已知启动工件。来自所有受影响供应商的 GRUB2、shim 和其他引导工件将被更新。 它将在解除禁运后或一段时间后可用。
提到的是 大多数 Linux 发行版都使用一个小的补丁层,由 Microsoft 数字签名,用于在 UEFI 安全启动模式下验证启动。 该层使用自己的证书验证GRUB2,它允许发行版开发人员不向 Microsoft 认证每个内核和 GRUB 更新。
阻止漏洞 在不撤销数字签名的情况下,分发 可以使用SBAT机制 (UEFI Secure Boot Advanced Targeting),在大多数流行的 Linux 发行版上受 GRUB2、shim 和 fwupd 支持。
SBAT 是与 Microsoft 合作开发的,涉及向 UEFI 组件可执行文件添加额外的元数据,包括制造商、产品、组件和版本信息。 指定的元数据经过数字签名,可以包含在 UEFI 安全启动的单独允许或禁止组件列表中。
SBAT 允许阻止使用数字签名 对于单个组件版本号,无需撤销安全启动密钥. 通过 SBAT 阻止漏洞不需要使用 UEFI CRL (dbx),而是在内部密钥替换级别完成,以生成签名并更新 GRUB2、垫片和发行版提供的其他引导工件。
在引入 SBAT 之前,更新证书吊销列表(dbx,UEFI 吊销列表)是完全阻止该漏洞的先决条件,因为无论使用何种操作系统,攻击者都可以使用可启动媒体和易受攻击的旧版本经数字签名认证的 GRUB2 可破坏 UEFI 安全启动。
最后 值得一提的是,该修复程序已作为补丁发布。, 要修复 GRUB2 中的问题,仅更新软件包是不够的,您还需要创建新的内部数字签名并更新安装程序、引导加载程序、内核软件包、fwupd-firmware 和 shim-layer。
可以在这些页面上评估发行版中的漏洞修复状态: Ubuntu, SUSE, RHEL, Fedora y Debian的。
您可以在 以下链接。