Материалы по тегу: загрузчик

09.06.2021 [17:42], Андрей Галадей

Вышел GNU GRUB 2.06 с долгожданными патчами против BootHole

Вышла новая версия менеджера загрузки операционных систем — GNU GRUB 2.06. Новинка получила целый ряд обновлений и, самое главное, патчи, устраняющие уязвимости класса BootHole, о части которых стало известно почти год назад.

В новой версии появились поддержка механизма SBAT (UEFI Secure Boot Advanced Targeting), который упрощает работу с компонентами для UEFI Secure Boot, а также механизм блокировки Lockdown, который не позволяет обойти Secure Boot. Теперь также поддерживаются зашифрованные тома LUKS2 и модули XSM/FLASK. Последние нужны для работы виртуальных машин и гипервизора Xen. С помощью этих модулей можно гибко определять права и ограничения для ВМ.

По умолчанию теперь отключена утилита os-prober, которая автоматически находила загрузочные разделы других ОС и добавляла их в загрузочное меню. Кроме того, были устранены ошибки и добавлены патчи из разных дистрибутивов Linux. Наконец, появилась возможность сборки GRUB с использованием GCC 10 и Clang 10.

Постоянный URL: http://servernews.ru/1041623
03.06.2021 [21:39], Андрей Галадей

В GRUB2 добавили резервное копирование и восстановление, а также решили «проблему 2038 года»

В загрузчике GNU GRUB появились некоторые новые функции. Они могут существенно улучшить его работу и позволят обойти некоторые проблемы, касающиеся сбоев на начальном этапе загрузки операционной системы.

Во-первых, в grub-install теперь есть функции резервного копирования и восстановления. Вместо того чтобы сразу удалять все существующие файлы в grub-install, для них будет создана резервная копия, которая позволит откатить изменения. Это позволит более безопасно обновлять загрузчик и модули, чтобы не повредить систему и дать ей возможность загрузиться штатно.

Во-вторых, появилась поддержка некоторых функций файловой системы XFS. В частности, GRUB теперь понимает флаг XFS, который указывает на необходимость «ремонта» файловой системы, и выводит соответствующее сообщение. Также GRUB теперь поддерживает XFS-флаг bigtime, который исправляет «проблему 2038», и сам теперь тоже будет использовать 64-бит метки времени.

Постоянный URL: http://servernews.ru/1041174
03.03.2021 [14:03], Андрей Галадей

В GRUB2 обнаружены 8 уязвимостей, которые позволяют обойти защиту UEFI Secure Boot

На сайте Ubuntu появилась информация о 8 уязвимостях в загрузчике GRUB2. Они позволяют обойти механизм UEFI Secure Boot и запустить код на уровне загрузчика или даже ядра. Суть в том, что для работы используется заверенная сертификатом Microsoft прослойка shim, которая, в свою очередь, заверяет GRUB2. Однако последующие обновления ядра и самого GRUB2 зачастую не заверяются.

Таким образом, если вредоносный код сработает во время загрузки, он сможет внедриться в цепочку доверия и, фактически, будет верифицирован. После того он сможет менять процесс загрузки, модифицировать ОС и так далее. Как сообщается, для решения проблемы нужно обновить сертификаты, а не только сам GRUB2. Также потребуется обновление дистрибутивов, поскольку на ПК с обновлёнными сертификатами версии со старым загрузчиком уже не запустятся.

Подробности об уязвимостях доступны вот здесь. При этом отмечается, что проблем в будущем планируется решить с помощью нового механизма SBAT (UEFI Secure Boot Advanced Targeting). Он поддерживается в GRUB2, shim и fwupd. Этот механизм заменил аналог из пакета dbxtool.

Что касается технических подробностей, то в SBAT будет использоваться набор метаданных (сведения о производителе, продукте, версии и компонентах), заверенный цифровой подписью. Фактически, это будет ещё один уровень проверки и защиты. Напомним, что ранее сообщалось о проблеме BootHole, которая также была связана с GRUB2.

Постоянный URL: http://servernews.ru/1034008
08.12.2020 [21:49], Андрей Галадей

Загрузочная утилита Webboot позволяет скачивать ISO-образы Linux из Сети

Более года в разработке находится проект Webboot. Он призван стать простым способом для скачивания актуальных ISO-образов Linux-дистрибутивов из Интернета непосредственно во время загрузки компьютера. Также он позволяет использовать уже скачанные и сохранённые образы.

wikimedia.org

wikimedia.org

Идея состоит в том, чтобы иметь лёгкий доступ к нескольким Live-образам на одной загрузочной флешке и быстро переключаться между ними. Что касается использования новинки, то там задействован простой текстовый интерфейс, позволяющий скачивать и сохранять ISO-образы на флешку, а также передавать правильные параметры ядра в зависимости от дистрибутива или операционной системы для корректного запуска.

Также там уже появилась поддержка Wi-Fi соединений и их настройка, улучшились параметры сохранения и так далее. А в 2021 году ожидается появление функции проверки контрольной суммы. На данный момент утилита уже функциональна и может загружать систему. Это выглядит примерно так:

Проект Webboot был анонсирован на конференции Open-Source Firmware Conference 2019, а на прошлой неделе в рамках конференции OSFC 2020 разработчики представили обновлённую информацию о его многочисленных улучшениях за последний год. Подробности об этом есть в презентации. Сама утилита Webboot является частью проекта U-Root.

Скачать исходники Webboot можно на GitHub. При этом отметим, что пока список дистрибутивов ограничен Arch, CentOS, Debian, Fedora, Kali, Linux Mint, Manjaro, Tinycore и Ubuntu. В будущем появится ещё и OpeSUSE.

Постоянный URL: http://servernews.ru/1027306
30.07.2020 [11:34], Юрий Поздеев

Серьезная уязвимость BootHole в GRUB2 ставит под угрозу миллионы систем по всему миру

Исследователи из Eclypsium обнаружили серьезную уязвимость в загрузчике GRUB2, которая может быть использована киберпреступниками для контроля над системами Linux и другими ОС во время процесса загрузки, а также для установки срытых вредоносных загрузчиков-буткитов, которые будут работать даже если включить опцию SecureBoot (Безопасная загрузка).

Уязвимость BootHole оценена в 8.2 по CVSS и затрагивает системы, использующие почти каждую версию GRUB2. Таким образом, практически все дистрибутивы Linux находятся в зоне риска. Если вы думаете, что на этом плохие новости заканчиваются, то вы ошибаетесь: GRUB2 используется для поддержки других операционных систем и гипервизоров, таких как Xen. Проблема касается и Windows, если используется этот загрузчик.

Ожидается, что отдельные патчи и рекомендации будут выпущены в ближайшее время Microsoft, Oracle, Red Hat, Canonical, SuSE, Debian, Citrix, VMware и OEM-производителями.

Используя уязвимость BootHole, злоумышленники могут не только контролировать загрузку операционной системы, но и отключать практически любые средства защиты более высокого уровня. Уязвимость основана на переполнении буфера при работе GRUB2 и позволяет выполнять произвольный код при загрузке. Для этого требуется, чтобы злоумышленник имел повышенные привилегии доступа, чтобы менять содержимое файла конфигуратора загрузчика, вне зависимости от включенного SecureBoot. На практике это не такое уж большое ограничение, так как можно воспользоваться другими уязвимостями ОС.

Eclypsium согласовала ответственное раскрытие этой уязвимости с различными отраслевыми организациями, включая поставщиков ОС, производителей ПК и серверов, о чем она сообщила в своем блоге. Для устранения этой уязвимости производителям придется проделать большую работу по внесению изменений и выпуску патчей. В первую очередь обновления требует список отозванных UEFI-сертификатов dbx, что приведёт к невозможности загрузки старых сборок Linux.

Eclypsium рекомендует ИТ отделам и подразделениям ИБ проверить наличие у них возможностей для мониторинга загрузчиков и встроенного ПО UEFI и протестировать возможность восстановления по мере появления обновлений (включая параметры сброса к заводским настройкам).

UPD: как и ожидалось, выпущенные для GRUB2  обновлениявызвали проблемы с их установкой и/или последующей загрузкой ОС. На ошибки жалуются, к примеру, пользователи RHEL и Debian/Ubuntu.

Постоянный URL: http://servernews.ru/1016991
04.09.2019 [12:08], Андрей Галадей

В AMD подтвердили поддержку Coreboot, хотя и опосредованно

Компания AMD, как известно, работает над возвращением поддержки прошивки Coreboot с открытым исходным кодом в свои решения. И вот появилась новая информация на этот счёт.

Эдвард Бенюхис (Edward Benyukhis), глава отдела разработки прошивок сообщил в LinkedIn, что ищет специалиста по Coreboot и UEFI. Однако это не единственный факт в пользу поддержки свободной прошивки со стороны «красных». 

Компания стала спонсором тематической конференции Open-Source Firmware Conference, которая состоится на следующей неделе. Иначе говоря, AMD присоединилась к Amazon AWS, Arm, System76, TrustedFirmware.org и другим, которые поддерживают это мероприятие. Сама же конференция посвящена Coreboot, LinuxBoot, U-Boot и связанным с ними проектам на основе открытого исходного кода.

Отметим, что эти открытые прошивки не просто могут заменить проприетарные версии UEFI. Они также потенциально гарантируют отсутствие каких-либо «закладок», программных бэкдоров и так далее. То есть, повышают безопасность, что важно для корпоративных систем. Также следует отметить, что Google использует Coreboot в своих «хромбуках». 

Постоянный URL: http://servernews.ru/993479
Система Orphus