⚡️Критические уязвимости в GRUB: патчи есть, релиза нет
⚡️Критические уязвимости в GRUB: патчи есть, релиза нет
💬 Загрузчик GRUB получил 73 патча, исправляющих серьезные уязвимости безопасности, однако обновлённая версия до сих пор не выпущена официально. Несмотря на то что исправления были публично опубликованы еще в феврале и уже добавлены в Git-репозиторий проекта, официального релиза так и не последовало. Последняя стабильная версия — GRUB 2.12 — вышла полтора года назад.
О наличии этих критических патчей стало широко известно только сейчас, с выходом шестого релиз-кандидата GNU Boot 0.1 . Именно этот релиз привлёк внимание к множеству потенциально опасных уязвимостей, включая те, которым были присвоены CVE-идентификаторы. Разработчики GNU Boot обновили встроенную копию GRUB, чтобы закрыть эти проблемы.
Одна из самых опасных уязвимостей связана с пользовательскими изображениями, которые заменяют стандартный логотип GRUB. Если такое изображение было специально подготовлено злоумышленником, оно могло использоваться для получения полного контроля над компьютером. Подобная проблема уже встречалась ранее в реализации UEFI с открытым исходным кодом. Эксперты подчёркивают важность использования только проверенных изображений при настройке загрузчиков, поскольку ошибки в обработке графики могут привести к компрометации всей системы.
Под угрозой также оказались пользователи, использующие защищённую загрузку с GPG-подписями или пароли GRUB в сочетании с полным шифрованием диска. Некоторые уязвимости позволяли обойти эти защитные механизмы. Кроме того, выявлены серьезные ошибки в обработке файловых систем: при загрузке с USB-носителя GRUB может автоматически прочитать другую подключённую флешку с файловой системой, специально подготовленной для атаки. Это создаёт риск исполнения вредоносного кода еще до запуска операционной системы.
Общий список уязвимостей включает переполнения буфера, ошибки с целочисленными значениями и другие недочёты. В режиме Secure Boot теперь также заблокирована команда
dump
, которая ранее могла быть использована для обхода защиты.
Позитивный момент заключается в том, что большинство крупных дистрибутивов Linux уже применили или планируют применить эти исправления. Это значительно снижает риск масштабной эксплуатации уязвимостей. Однако не все дистрибутивы готовы использовать нестабильные версии GRUB из Git-репозитория. Например, в дистрибутивах Trisquel, Parabola и Guix, придерживающихся политики 100% свободного ПО, выразили сомнения относительно перехода на неподписанные релизы. В Parabola рассматривается возможность создания отдельного пакета grub-git без известных уязвимостей, который будет существовать параллельно с текущим пакетом grub.
Разработчики сообщества надеются, что текущая ситуация подтолкнет проект GRUB к улучшению процесса выпуска новых версий и более оперативному реагированию на проблемы безопасности.