AbcLinuxu:/ Zprávičky / Zranitelnost v zavaděči GRUB 2

Štítky: boot, distribuce, Grub, problém, Ubuntu

Zranitelnost v zavaděči GRUB 2

Byl nalezena a postupně je řešena (Red Hat, Ubuntu, ...) zranitelnost CVE-2015-8370 v systémovém zavaděči GRUB 2 (GRand Unified Bootloader). Problém se týká všech verzí od 1.98 (prosinec 2009) až do 2.02 (prosinec 2015). Útočník s fyzickým přístupem může obejít autentizaci nastavenou v zavaděči.

16.12.2015 21:45 | Ladislav Hagara | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (0) ? , Tisk

Vložit další komentář

16.12.2015 22:22 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Odpovědět | Sbalit | Link | Blokovat | Admin

No. Anebo třeba nabootovat z CD, USB nebo jiného disku. :-)

17.12.2015 03:34 dutá palice
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

A co když je celý disk šifrovaný?

17.12.2015 09:33 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Tak útočníkovi nepomůže ani obejití autentizace Grubu.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

17.12.2015 10:36 mikro
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Vzhladom na to, ze ti to umozni nainstalovat vlastny malware s root pravami, tak si myslim, ze tento bug utocnikovi pomoze cekom dost, aj v pripade zasifrovaneho disku.

17.12.2015 10:47 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Neni jednodussi ten disk vytahnout a zapsat na nej ten malvare z jineho pocitace, nez neco datlit na klavesnici v grub2-rescue?

I can only show you the door. You're the one that has to walk through it.

17.12.2015 10:47 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

oprava: malware

I can only show you the door. You're the one that has to walk through it.

17.12.2015 11:15 kukacka
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Asi te to prekvapi, ale v rade pripadu to neni jednodussi.

17.12.2015 11:15 enkeys
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Vzhledem k tomu, ze v dnesni dobe, kdy pomalu kterykoliv.. mobil s linuxem (androidem chces li) za par tisic se umi chovat jako HID zarizeni a natukat ti tam automatizovane celej rootkit s vlastni tcp vrstvou klidne na 10 000 radku zabere par sekund..(ber to trosku s nadsazkou) :]

17.12.2015 11:35 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Kam nainstalovat? Tyhle věci lze hlídat secure bootem nebo TPM.

17.12.2015 12:51 Pali
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

A keď mám šifrovanú aj partíciu /boot, kde je uložený samotný Grub2? Potom ten malware nainštaluješ jedine tak, že nejakú partíciu zrušíš. Tým pádom ale s veľkou pravepodobnossťou už systém ani nenabootuje a malware bude nepoužiteľný...

17.12.2015 13:39 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Tomu ale heslo v GRUBu tak jako tak nezabrání. Je to jen security by obscurity, nic víc.

Když mám šifrovaný disk, pak šifruji i boot partition, GRUB 2 to podporuje. Pak musíš zadat dešifrovací heslo, aby ses vůbec do GRUBu dostal.

Pořád je tu ale riziko, že ti někdo nahraje malware přímo do MBR. Proti tomu pomůže jedině TPM (viz antievilmaid) nebo EFI secureboot (s vlastními klíči).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

17.12.2015 13:53 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Ještě bych podotknul, že tím EFI securebootem si rozhodně nejsem jistý. Nahrát vlastní podpisové klíče jde, ale když jsem si to naposledy zjišťoval, zdálo se že defaultní platform klíče odstranit nelze. Takže secureboot je zdá se spíš jen bezpečnostní divadélko.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

18.12.2015 10:01 tom62 | skóre: 14 | blog: tom62 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Když mám šifrovaný disk, pak šifruji i boot partition, GRUB 2 to podporuje.

Zrovna nedávno jsem řešil, jak šifrovat /boot na Debianu Jessie. Instalátor to nepovolí, je potřeba to udělat ručně po instalaci a vhodně nastavit, aby nebylo třeba heslo zadávat dvakrát. Kdyby byl zájem, můžu o tom napsat blog.

18.12.2015 14:14 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

To jako ze grub preda nejakym zpusobem kernelu (nasledne userspace - cryptsetup) heslo/master klic a nebo je to tak ze v initramfs je /etc/crypttab odkazujici se na soubor klicem ktery je v ramdisku a nasledne na disku? Spis asi to druhe.

I can only show you the door. You're the one that has to walk through it.

18.12.2015 14:23 tom62 | skóre: 14 | blog: tom62 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

To druhé. Nestačí ale do crypttab přidat jen cestu ke klíči (který je v initramfs), je tam potřeba přidat i například keyscript=/bin/cat.

18.12.2015 14:52 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Hm, to jsem na Fedora/RHEL nikdy nemusel.

I can only show you the door. You're the one that has to walk through it.

17.12.2015 18:42 j
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Pokud se dostanes k tomu HW, tak grub neni vubec zadna prekazka.

17.12.2015 13:41 pupu | skóre: 31
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Odpovědět | Sbalit | Link | Blokovat | Admin

Rekl bych, ze fyzicky pristup neni nutny. Staci iLO/DRAC nebo neco podobneho. Nic moc...

18.12.2015 08:52 R
Rozbalit Rozbalit vše Re: Zranitelnost v zavaděči GRUB 2

Takato vzdialena sprava sa povazuje za ekvivalent fyzickeho pristupu (mozes ovladat lokalnu klavesnicu, vypinac, reset, datove media) a podla toho musi byt zabezpecena.

Založit nové vlákno • Nahoru