GRUB2セキュリティの脆弱性:バックスペース28を押す:何が危険ですか?どうすればいいですか? [閉鎖]

GRUB2セキュリティの脆弱性:バックスペース28を押す:何が危険ですか?どうすればいいですか? [閉鎖]

昨日、新しいセキュリティ上の欠陥について報告がありました:

ニュース報道によると、この欠陥により、「ハッカーがロックされたLinuxシステムにマルウェアをインストールし、「ロックされたLinuxシステムのすべてのセキュリティを迂回する」ことができ、「コンピュータのパスワード保護を迂回する」ことができるという。実際の脆弱性自体は、発見者の一人が作成したCVE-2015-8370です。

ニュース報道ではLinuxの脆弱性について話していますが、MarcoとRipollのレポートは、カラーソースコードまたはGRUB2と40文字の数字と文字列を詳しく扱い、非常に技術的でプログラマーでない人も理解できます。最初のページ。

私はただ普通の「警備員」です。セキュリティパッチにより、アプリケーションとオペレーティングシステムを最新の状態に保ちます。したがって、ニュース報道に誇張された表現を使用せず、ソースコードや16進ダンプと混同しないようにします。

  • 私が取るべき即時の措置がありますか?私が取るべき即時の措置がありますか?できる取る?
  • 自宅の個人システムにはどのような危険がありますか?
  • 私のサーバーが作業している間、どのようなリスクに直面していますか?たとえば、誰かがIPKVMまたはILOアクセス権を持っている場合、それを悪用できますか?

答え1

この問題は避けられません。それとも少なくともそうです。2回可能。人々がgrub存在について話すとき必要性彼らはほとんど常にカーネルイメージを暗号化されたディスクに保存したり、セキュアブートキーなどの質問をします。彼らは通常、これらのことを処理できないと言います。それ以外の場合は、起動中に中間ローダーを使用して対話する必要があります。〜サイファームウェアとカーネル。

grubさまざまな種類のファイルシステムを読み取ることができ、ネットワークサポートが組み込まれており、EFI SecureBoot shimをサポートするのは本当ですが、他の人はこれを少し奇妙に思うようです。いいねもの。私はそれらが冗長で過度に複雑で、2番目の攻撃面だと思います。

昔はそうだった必要-いつもそうだったけど愚かな- あった必要ファームウェアに中間ローダーバイナリを呼び出すようにします。それからカーネルを呼び出します。これは、BIOSが利用可能な実際のシステムカーネルを理解するには古すぎて愚かであるために必要です。それ以外の場合はロードすることをお勧めします。アイデアブートローダーまず、愚かなファームウェアの解決策です。

ほぼすべてのLinuxディストリビューションはまだ基本的にこれを行いますが、過去5年以内に構築された一般的なシステムではこれ以上そうではありません。 BIOSは消えた。 (U)EFI標準はBIOSを効果的に置き換え、このファームウェアはシステムカーネルを直接呼び出すことに問題はありません。ブートローダは必要ありません。実際にinitramfsでコンパイルしている場合は、カーネルイメージの名前だけを指定すると、/boot/EFI/BOOT/BOOTX64.efiコンピュータはそれを起動します。自動的に

暗号化されたファイルシステムなどを処理するために必要なものについてのすべてはgrub無駄で、普通でシンプルです。私の考えでは、ロックされたディスクのロックを解除できるプログラムが少ないほど、ロックが安全になります。したがって、カーネルを入れると明らかにEFIシステムパーティションによって実行される非常に基本的なFAT fsなどのファイルシステムは、(U)EFIがそれをロードしますコアもちろん、ディスクのロックは解除されます。

あなたもできます自己署名システムカーネルこれらのキーはファームウェアのNVRAMにインストールされるため、ファームウェアは起動するたびにカーネルイメージの証明書を直接確認できます。

君はできて、いやgrub、君はできるよ簡単にgrubいいえ

したがって、2番目のオペレーティングシステムカーネルの追加の複雑さと追加の攻撃面を心配するには、grubチェーンローダをすぐに更新する必要があります。それ以外の場合は削除する必要があります。

情報セキュリティWebサイトの回答は、この問題に関連する脆弱性を無視しているようです。彼らはそれを悪用するためにマシンに物理的にアクセスする必要があります。

私は同意しません。誰かがコンピュータにアクセスできる場合は、コンピュータの電源を切ってから再びオンにし、バックスペースキーを28回押して起動メニューのパスワードを無視し、コマンドラインからディスクにgrubアクセスします。そしてMACを介してネットワークに接続することは問題です。

答え2

ブートローダなしでLinuxを起動する方法。個人的にはテストしませんでしたが、おそらく良い出発点になります。

関連情報