如果被利用,這些漏洞可能允許攻擊者未經授權訪問敏感信息或通常會導致問題
幾天前 已發布有關故障的訊息 在提供工作的控制器中檢測到的 GRUB2 開機載入程式中使用 NTFS 檔案系統,編目號為 CVE-2023-4692。
脆弱性 是由於 NTFS 屬性的解析程式碼中出現錯誤所造成的,可用於將使用者控制的資訊寫入分配的緩衝區之外的記憶體區域。 處理特製的 NTFS 映像時,溢位會導致覆蓋 GRUB 記憶體的一部分,並且在某些情況下還會損壞 UEFI 韌體記憶體區域,從而可能允許您在引導程式或韌體層級組織程式碼的執行。
有人提到 該漏洞允許惡意者執行程式碼 當存取特製的檔案系統映像時,在引導程式層級。 此漏洞可用於繞過 UEFI 安全啟動驗證啟動機制。
大家好,
該補丁集包含針對多個已發現的安全漏洞的修復程式包 最近在 GRUB2 NTFS 驅動程式程式碼中。 最嚴重的,就是可能 可利用,已分配 CVE。
針對所有 CVE 的完全緩解需要使用最新的 SBAT 進行更新
(安全啟動高級目標)。 這次將不再使用 UEFI 撤銷清單 (dbx),並且損壞的清單將被撤銷。
GRUB2 中此類漏洞的問題在於,它們允許在成功驗證後、載入作業系統之前的階段實現程式碼執行,在安全啟動模式處於活動狀態時進入信任鏈並獲得對後續進程的完全控制權。啟動過程。
阻止漏洞 在不撤銷數位簽章的情況下,提到 發行版可以使用 SBAT 機制(UEFI 安全啟動進階目標),支援 GRUB2、shim 和 fwupd。
對於那些不了解SBAT機制的人來說,你應該知道它是與微軟共同開發的,涉及到為UEFI元件的可執行檔添加額外的元數據,包括有關製造商、產品、元件和版本的資訊。 指定的元資料經過數位簽章認證,並且可以單獨包含在 UEFI 安全啟動允許或禁止的元件清單中。
這就是為什麼 SBAT 機制允許您阻止對各個元件版本號使用數位簽名,而無需撤銷安全啟動金鑰。 透過 SBAT 阻止漏洞不需要使用 UEFI 憑證撤銷清單 (dbx),而是在替換內部金鑰的層級上完成,以產生簽名並更新 GRUB2、shim 和發行版提供的其他引導工件。
除了這個漏洞,據說還發現了另一個漏洞 (CVE-2023-4693) 在 GRUB2 NTFS 驅動程式中,它允許透過解析特製 NTFS 映像中的“$DATA”屬性來讀取任意記憶體區域的內容。 除此之外,該漏洞還允許檢索記憶體中快取的敏感資料或確定 EFI 變數的值。
到現在 這些問題僅透過補丁解決,雖然解決了GRUB2中的問題,但僅僅更新軟體包是不夠的; 您還需要產生新的內部數位簽章並更新安裝程式、引導程式、核心包、fwupd 韌體和填充層。
大多數 Linux 發行版都使用 Microsoft 進行數位簽章的小型修補程式層,用於在 UEFI 安全啟動模式下驗證啟動。 此層使用自己的憑證驗證 GRUB2,讓發行版開發人員不必讓每個 GRUB 核心和更新都經過 Microsoft 認證。
最後, 如果您有興趣了解更多信息, 您可以檢查發行版中漏洞的消除狀態,可以在以下頁面上進行評估: Debian, Ubuntu, SUSE, RHEL y 軟呢帽。