从理论上讲,最近发现的GRUB2和安全启动的BootHole安全问题可以用来攻击Linux系统。实际上,唯一易受攻击的Linux系统是已经被攻击者成功破坏的系统。因此,尽管BootHole获得了所有宣传,但实际上这并不是一个大问题。尽管如此,几乎所有企业Linux发行商都发布了补丁。不幸的是,对于其中包括Red Hat在内的其中几家,该修复程序证明比安全漏洞还差。用户发现他们的新“修复”系统无法启动。现在,这些修复程序的修复程序已经发布。
不幸的是,修复花费了几天而不是数小时的时间。现在,该修补程序已准备就绪,可以部署在Red Hat Enterprise Linux(RHEL)7.8和8.2上。尽管尚未针对RHEL 7.9和8.1扩展更新支持(EUS)确认该解决方案,但它也应适用于它们。
维修包括更新的垫片程序包。甲在这种情况下垫片是一个UEFI(统一可扩展固件接口)安全引导证书。它由Linux发行商签名,通过嵌入到Microsoft签名的shim加载器中,隐式地信任了Linux发行商。之所以使用Microsoft的UEFI安全启动,是因为几乎所有计算机都预装有Microsoft安全启动密钥。
这些更新的填充程序包现已上市。您可以将它们与先前发布的grub2,fwupd和fwupdate软件包一起使用。要执行此修复,您需要在故障排除模式下使用RHEL DVD重新启动。启动后,您进入chroot容器,然后用修复的版本替换有问题的shim软件包。
使用RHEL克隆操作系统CentOS,可以使用类似的方法对其进行修复。请确保完全阅读CentOS BootHole修复错误报告。您将升级到shim-x64-15-15.el8_2.x86_64.rpm(EL8)或分别为shim-x64-15-8.el7_8,而不是按照报告开头所述恢复到旧的启动shim。 x86_64.rpm(EL7)(或更高版本)。
红帽工作人员告诉我,不可启动的系统问题从未遇到过红帽社区Linux发行版Fedora。Fedora程序员目前正在努力在不久的将来为BootHole提供广泛的修补程序。“也就是说,鉴于BootHole的攻击面非常狭窄(已经需要访问权限等),它被视为一个严重的问题,但并不是过于严重的问题。”
Canonical是Ubuntu Linux的母公司,很少有系统实例无法使用其BootHole补丁启动的情况。如果遇到这种情况,Canonical建议,您确实会降级,而降级来自另一个Ubuntu会话的grub2 / grub2-signed。在本地计算机上,您可以使用可引导的Ubuntu Live DVD或USB记忆棒。在云上,您可以从同一云可用性区域中的单独实例执行此操作。无论哪种方式,您都使用相同的最终步骤。也就是说,将受影响的系统的根卷/设备安装到活动/分离的云实例中,然后将chroot安装到其中,并使用apt降级grub2 / grub2-signed /。
对于Debian Linux,更正后的BootHole修复来自最新的Debian 10“ Buster”发行版:Debian 10.5。
如果您选择的Linux发行版还没有修复,我建议您。等待。在您知道已经完成真正的维修之前,请勿对系统打补丁。通常,我都希望尽快修补安全漏洞。这是一个例外。BootHole确实不是一个严重的问题,但是由于修补程序不足而无法运行您的系统会变得很糟糕。真正的修补程序已经存在,并将在适当的时候发布给您。
点击阅读全文
13MM
下载DriverPack Network(多功能驱动器管理程序)
257KBM
下载57.2MM
下载