V GRUB2 opravili 117 bezpečnostných chýb
Opravené boli všetky hlavné chyby.
- CVE-2020-14372 grub2: The acpi command allows privileged user to load crafted ACPI tables when Secure Boot is enabled CWE-184 (CVSS 7.5) – Reported by Máté Kukri.
- CVE-2020-25632 grub2: Use-after-free in rmmod command CWE-416 (CVSS 7.5) – Reported by Chris Coulson (Canonical).
- CVE-2020-25647 grub2: Out-of-bound write in grub_usb_device_initialize() CWE-787 (CVSS 6.9). – Reported-by: Joseph Tartaro (IOActive) and Ilja van Sprundel (IOActive).
- CVE-2020-27749 grub2: Stack buffer overflow in grub_parser_split_cmdline CWE-121(CVSS 7.5) – Reported-by: Chris Coulson (Canonical).
- CVE-2020-27779 grub2: The cutmem command allows privileged user to remove memory regions when Secure Boot is enabled CWE-285 (CVSS 7.5) – Reported-by: Teddy Reed.
- CVE-2021-3418 – grub2: GRUB 2.05 reintroduced CVE-2020-15705 CWE-281 (CVSS 6.4) – Reported-by: Dimitri John Ledkov (Canonical).
- CVE-2021-20225 grub2: Heap out-of-bounds write in short form option parser CWE-787 (CVSS 7.5) – Reported-by: Daniel Axtens (IBM).
- CVE-2021-20233 grub2: Heap out-of-bound write due to mis-calculation of space required for quoting. (CVSS 7.5) – Reported-by: Daniel Axtens (IBM)
Zdroj: securityaffairs
Pre pridávanie komentárov sa musíte prihlásiť.
Hm, opravili.. ale nie u mňa :)
Updaty sú vždy jeden stres, ale o update GRUB-u to platí dvojnásobne, veď preto sa aj volá GRUB2 :)
bohuzial.
Ja osobne sa update nebojím, klop, klop, klop, možno mám šťastie. Update Grubu tiež vždy bez problémov, teraz si s update Grubu, ale radšej počkám.
Viac menej ani neviem, či má dnes Grub2, bezpečnú alternatívu, teda ak nepočítam tú Lennartovinu.
Ono bezpečnosť a bootloader je otázna. Po prvé potrebuje fyzický prístup k počítaču. Ťažko bude niekto háčkovať svoj počítač v práci, je tam dosť ľahké nájsť páchateľa. Nedá sa použiť vzdialene, takže treba sa do objektu vlámať. Viac ako 99% percent ľudí sa to netýka, mno dobre úradníci vlády, čo stratia notebook, tieto fjučúry ocenia, pre nás normálnych smrtelníkov sú to ptákoviny :) Teda ešte supervízori vo firmách, čo majú prístup všade sú určite spokojnejší, keď zabudnú notebook v bare :) Teda moc tomu neverím, kámoš aj keď bol na kašu a chcel som mu notebook odložiť u mňa, nedal ho z ruky :)
To, že sa do toho angažuje Ubuntu, naznačuje, že by sa Ubuntu na desktopy chcelo vrátiť.